+49 7131 / 1226 – 500 info@dataglobal.com

Social Engineering – 6 Tipps, wie Unternehmen sich schützen können

Was ist Social Engineering? Definition und Tipps für Unternehmen

Egal, wie gut die technischen Sicherheitsvorkehrungen in Unternehmen auch sind: Der Faktor „Mensch“ bildet häufig das schwächste Glied in der Sicherheitskette. Beim Social Engineering nutzen Cyberkriminelle diese potenzielle Schwachstelle aus, indem sie eine persönliche Beziehung zum Opfer vortäuschen und so ihre kriminellen Machenschaften durchsetzen. Wie erkennt man Social Engineering und wie können Unternehmen sich und Ihre Mitarbeitenden schützen?

Jetzt Beratungstermin vereinbaren

Was ist Social Engineering?

Beim Social Engineering versuchen Cyberkriminelle, das Vertrauen ihrer Opfer zu gewinnen, damit diese sensible Informationen wie z. B. Zugangsdaten oder Kreditkartennummern preisgeben oder Überweisungen tätigen. Das Social Engineering beschränkt sich nicht aufs Internet, sondern ist eine weit verbreitete Betrugsmasche: Ein bekanntes Beispiel ist der sogenannte Enkel-Trick, bei dem Kriminelle ältere Menschen per Telefonanruf davon überzeugen, dass sie Verwandte seien und aufgrund eines Notfalls sofort Geld benötigen.

Mit der Verbreitung digitaler Kommunikationsmittel haben Cyberkriminelle eine Vielzahl neuer Möglichkeiten, ihre Opfer zu täuschen. Der Weg, dazu verleitet zu werden, Überweisungen zu tätigen, vertrauliche Informationen preiszugeben oder Schadsoftware auf dem eigenen Gerät zu installieren, ist oft nur einen Klick entfernt. Die Fälle von Social Engineering stiegen infolgedessen in den letzten Jahren stark an und betreffen verstärkt Unternehmen und deren Mitarbeitende.

 

Wie funktioniert Social Engineering?

Social Engineering zielt auf die Manipulation auf zwischenmenschlicher Ebene ab. Es werden daher psychologische Techniken angewandt, um Vertrauen, Angst, Neugier oder andere menschliche Emotionen auszunutzen. Hier einige gängige Techniken, die im Social Engineering genutzt werden:

 

Phishing

Beim Phishing werden gefälschte E-Mails oder Nachrichten versendet, die vorgeben, von vertrauenswürdigen Quellen zu stammen, wie beispielsweise einer Bank oder einem Unternehmen. Benutzer sollen so dazu gebracht werden, ihre persönlichen Daten preiszugeben oder auf schädliche Links zu klicken.

Social Engineering

Pretexting

Bei dieser Methode gibt sich der Angreifer als eine vertrauenswürdige Person oder Autoritätsperson aus, um Informationen zu erhalten. Dies kann im Unternehmenskontext beispielsweise das Vortäuschen der Identität von Vorgesetzten, Kolleg:innen oder Personen, die extern mit dem Unternehmen im Zusammenhang stehen, bedeuten, um Zugriff auf sensible Daten zu erhalten.

 

Baiting

Hier lockt der Angreifer seine Opfer mit etwas Wertvollem oder Verlockendem, wie beispielsweise einem USB-Stick mit „geheimer“ Information, der dann in ein Unternehmensnetzwerk eingeführt wird und Malware enthält.

 

Quid pro quo

Diese Methode beinhaltet das Angebot eines Vorteils oder einer Belohnung im Austausch für Informationen oder Handlungen. Ein Beispiel wäre ein Anruf, bei dem der Angreifer behauptet, ein Techniker zu sein, und kostenlose IT-Unterstützung anbietet, jedoch Zugangsdaten benötigt, um zu „helfen“.

 

Tailgating/Shoulder Surfing

Bei Tailgating schleicht sich der Angreifer in ein gesichertes Gebäude ein, indem er sich hinter einem autorisierten Benutzer versteckt, der das Gebäude betritt und ihn z. B. freundlich bittet, die Tür aufzuhalten. Shoulder Surfing beinhaltet das Beobachten von Benutzern, während sie ihre Passwörter oder andere vertrauliche Informationen eingeben.

 

Social Engineering Angriffe auf Unternehmen

Unternehmen sind ein beliebtes Ziel für Social Engineering Attacken, da höhere Beträge als bei Privatpersonen erbeutet werden können. Dabei bleibt das Vorgehen das gleiche, wobei der Aufwand, die benötigten Informationen für einen Social Engineering Angriff auf ein Unternehmen einzuholen, größer ist. Folgende Informationen sind für Kriminelle besonders relevant:

  • Wer ist der CEO des Unternehmens? Wer sind die Bereichsleiter?
  • Wann sind einzelne Personen aus diesem Kreis auf Geschäftsreise oder im Urlaub?
  • Welche Personen im Unternehmen sind dazu berechtigt, Überweisungen auszuführen?
  • Welche aktuellen geschäftsbezogenen Aktivitäten finden statt?

Sobald diese Informationen vorliegen, richtet sich der Hacker nun an einen Mitarbeitenden – gewöhnlich an eine Person, die zu finanziellen Transaktionen berechtigt ist. Mit einer gefälschten E-Mail-Adresse und im Namen des Vorgesetzten fordert er nun mit eindringlichen Worten Informationen oder eine Überweisung an.

 

Wie können sich Unternehmen schützen? 6 Tipps

Sie können sich und Ihr Unternehmen gegen Social Engineering schützen, indem sie verschiedene Maßnahmen ergreifen, um

Ihre Mitarbeitenden zu schulen,

Sicherheitsrichtlinien zu implementieren und 

technische Sicherheitsmaßnahmen zu verstärken.

Hier sehen Sie die wichtigsten Maßnahmen im Kampf gegen Social Engineering:

 

1) Schulung und Sensibilisierung Ihrer Mitarbeitenden

Schulen Sie Ihre Mitarbeitenden regelmäßig in Bezug auf die Risiken von Social Engineering und wie sie verdächtige Anfragen oder Aktivitäten erkennen. Möglich sind Schulungen, Simulationen von Phishing-Angriffen und regelmäßige Sicherheitsbriefings.

 

Social Engineering 2

2) Etablieren Sie klare Sicherheitsrichtlinien

Etablieren Sie klare Sicherheitsrichtlinien und -verfahren für den Umgang mit vertraulichen Informationen, den Zugang zu sensiblen Systemen und die Überprüfung von Identitäten, insbesondere bei Remote-Zugriffen oder ungewöhnlichen Anfragen.

 

3) Nutzen Sie Zwei-Faktor-Authentifizierung (2FA)

Implementieren Sie die Zwei-Faktor-Authentifizierung, um den Zugang zu Systemen zu erschweren. Dadurch wird es schwieriger für Angreifer, sich Zugriff zu verschaffen, selbst mit den jeweiligen Passwörtern.

 

4)Beschränken Sie die Zugriffsrechte

Begrenzen Sie den Zugriff auf sensible Daten und Systeme auf diejenigen Mitarbeitenden, die diese auch wirklich benötigen. Somit reduzieren Sie das Risiko von Datenlecks oder unbefugtem Zugriff durch Social Engineering Angriffe.

 

5) Implementieren Sie technische Sicherheitslösungen

Nutzen Sie technische Sicherheitslösungen wie Firewalls, Intrusion Detection Systems (IDS) und Antivirus-Software, um Malware zu erkennen und zu blockieren, die möglicherweise durch Social Engineering-Angriffe eingeführt wird. Implementieren Sie eine E-Mail-Security-Lösung, die Social Engineering Angriffe per E-Mail bereits im Vorfeld zuverlässig abfängt. 

 

6) Betrachten Sie „Sicherheit“ als kontinuierlichen Prozess

Überwachen Sie aktiv Ihre Systeme und Netzwerke auf verdächtige Aktivitäten, um Anomalien oder ungewöhnliche Zugriffe zu erkennen und darauf zu reagieren, bevor Schaden entsteht. Es ist wichtig, dass Unternehmen Sicherheit als kontinuierlichen Prozess betrachten und ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten.

 

Weitere News

Phishing Mail Report für April 2024

Willkommen zum aktuellen Phishing-Mail-Report! Auch im April registrierte das eleven Detection Lab wieder zahlreiche betrügerische E-Mails, darunter auch viele Phishing-Angriffe. Phishing-Mails zielen darauf ab, sensible Informationen, insbesondere Zugangsdaten zu...

mehr lesen

Managed IT Services: Lohnt es sich für mein Unternehmen? Kann ich meine IT einfach outsourcen?

Die Verwaltung und Überwachung ihrer IT stellt viele Unternehmen vor Herausforderungen. Es mangelt an Ressourcen, um ein hausinternes Support-Team aufzubauen, welches der Aufgabe gewachsen ist. Eine Lösung bieten Managed IT Services Angebote, bei der externe Spezialisten einzelne Teilbereiche der IT bis hin zum kompletten IT-Betrieb übernehmen. Was Managed IT Services überhaupt sind, welche Vorteile sich daraus ergeben ob sich das Modell auch für Sie lohnt, erfahren Sie hier.

mehr lesen

Ihre Anfrage – Wir beraten Sie gerne & jederzeit

Your Digital Workplace - Solutions

Reisekostenabrechnung
Digitales Aktenmanagement (E-Akte)
Vertragsmanagement
Business Process Management (BPM)
Digitale Bedarfsanforderung - eBANF

Security

Email Security Cloud
Email Security On-Premise

Managed Service

Managed IT Services
Managed Services für ECM

Ressourcen-Management

Raumverwaltung

it-sa 2024 | 22. – 24.10.2024

Die it-sa Expo&Congress ist Europas größte...

Comic: Der Alltag im Büro – Schutz vor Social Engineering

In diesem Comic erfahren Sie mehr zum Thema Social Engineering und wie Sie sich durch Awareness-Trainings und Software schützen können.

Mitarbeiterinterview 06/2024: Pia Studzinski (Auszubildende in Sales)

Interviewreihe mit Mitarbeitenden der dataglobal Group. Dieses Mal mit Pia (Sales).

Maverick Buying – Ungeplante Einkäufe in Unternehmen

Maverick Buying stellt eine Herausforderung für das Beschaffungsmanagement von Unternehmen dar. Der Begriff beschreibt eine Praxis, bei der Mitarbeitende Waren oder Dienstleistungen außerhalb der etablierten Einkaufsprozesse und ohne Genehmigung beschaffen.

SoSafe-Partnerschaft

Die Mail-Security-Experten der dataglobal Group...

SAP ILM Rezertifizierung für unser ECM-System

Unser ECM-System ist seit Jahren durchgängig von der SAP AG zertifiziert und hat nun erneut die SAP ILM Rezertifizierung erreicht. Für unsere Kunden ein entscheidendes Feature für die sichere und rechtskonforme Verwaltung ihrer Daten.

IT-Sicherheit für den Mittelstand: dg Group veröffentlicht offizielles E-Book

Die dataglobal Group veröffentlicht den offiziellen dg Group-Guide zum Thema IT Sicherheit für den Mittelstand. Erfahren Sie alles über die aktuelle Lage der IT-Security im Mittelstand, über Cyber-Bedrohungen und mit welchen Maßnahmen Sie diesen erfolgreich begegnen.

Phishing Mail Report für Juni 2024

Willkommen zum neuesten Phishing Mail Report für Juni 2024. In diesem Bericht werfen wir einen Blick auf einige der häufigsten Phishing-Mails im Juni und zeigen, woran Sie diese erkennen.

Phishing Mail Report für Mai 2024

In diesem Bericht werfen wir einen Blick auf die häufigsten Phishing-Mails im Monat Mai und erläutern, woran Sie diese erkennen. Zu den vermeintlichen Absendern der größten Phishing-Angriffe gehören dieses Mal comdirect Bank, Commerzbank und Telekom.

Content & News Hub

News

Events

Presse

Whitepaper

Webcasts on demand

Success Stories

Wissen - Was ist...?

Zum Newsletter anmelden