+49 7131 / 1226 – 500 info@dataglobal.com

Social Engineering – 6 Tipps, wie Unternehmen sich schützen können

Was ist Social Engineering? Definition und Tipps für Unternehmen

Egal, wie gut die technischen Sicherheitsvorkehrungen in Unternehmen auch sind: Der Faktor „Mensch“ bildet häufig das schwächste Glied in der Sicherheitskette. Beim Social Engineering nutzen Cyberkriminelle diese potenzielle Schwachstelle aus, indem sie eine persönliche Beziehung zum Opfer vortäuschen und so ihre kriminellen Machenschaften durchsetzen. Wie erkennt man Social Engineering und wie können Unternehmen sich und Ihre Mitarbeitenden schützen?

Jetzt Beratungstermin vereinbaren

Was ist Social Engineering?

Beim Social Engineering versuchen Cyberkriminelle, das Vertrauen ihrer Opfer zu gewinnen, damit diese sensible Informationen wie z. B. Zugangsdaten oder Kreditkartennummern preisgeben oder Überweisungen tätigen. Das Social Engineering beschränkt sich nicht aufs Internet, sondern ist eine weit verbreitete Betrugsmasche: Ein bekanntes Beispiel ist der sogenannte Enkel-Trick, bei dem Kriminelle ältere Menschen per Telefonanruf davon überzeugen, dass sie Verwandte seien und aufgrund eines Notfalls sofort Geld benötigen.

Mit der Verbreitung digitaler Kommunikationsmittel haben Cyberkriminelle eine Vielzahl neuer Möglichkeiten, ihre Opfer zu täuschen. Der Weg, dazu verleitet zu werden, Überweisungen zu tätigen, vertrauliche Informationen preiszugeben oder Schadsoftware auf dem eigenen Gerät zu installieren, ist oft nur einen Klick entfernt. Die Fälle von Social Engineering stiegen infolgedessen in den letzten Jahren stark an und betreffen verstärkt Unternehmen und deren Mitarbeitende.

 

Wie funktioniert Social Engineering?

Social Engineering zielt auf die Manipulation auf zwischenmenschlicher Ebene ab. Es werden daher psychologische Techniken angewandt, um Vertrauen, Angst, Neugier oder andere menschliche Emotionen auszunutzen. Hier einige gängige Techniken, die im Social Engineering genutzt werden:

 

Phishing

Beim Phishing werden gefälschte E-Mails oder Nachrichten versendet, die vorgeben, von vertrauenswürdigen Quellen zu stammen, wie beispielsweise einer Bank oder einem Unternehmen. Benutzer sollen so dazu gebracht werden, ihre persönlichen Daten preiszugeben oder auf schädliche Links zu klicken.

Social Engineering

Pretexting

Bei dieser Methode gibt sich der Angreifer als eine vertrauenswürdige Person oder Autoritätsperson aus, um Informationen zu erhalten. Dies kann im Unternehmenskontext beispielsweise das Vortäuschen der Identität von Vorgesetzten, Kolleg:innen oder Personen, die extern mit dem Unternehmen im Zusammenhang stehen, bedeuten, um Zugriff auf sensible Daten zu erhalten.

 

Baiting

Hier lockt der Angreifer seine Opfer mit etwas Wertvollem oder Verlockendem, wie beispielsweise einem USB-Stick mit „geheimer“ Information, der dann in ein Unternehmensnetzwerk eingeführt wird und Malware enthält.

 

Quid pro quo

Diese Methode beinhaltet das Angebot eines Vorteils oder einer Belohnung im Austausch für Informationen oder Handlungen. Ein Beispiel wäre ein Anruf, bei dem der Angreifer behauptet, ein Techniker zu sein, und kostenlose IT-Unterstützung anbietet, jedoch Zugangsdaten benötigt, um zu „helfen“.

 

Tailgating/Shoulder Surfing

Bei Tailgating schleicht sich der Angreifer in ein gesichertes Gebäude ein, indem er sich hinter einem autorisierten Benutzer versteckt, der das Gebäude betritt und ihn z. B. freundlich bittet, die Tür aufzuhalten. Shoulder Surfing beinhaltet das Beobachten von Benutzern, während sie ihre Passwörter oder andere vertrauliche Informationen eingeben.

 

Social Engineering Angriffe auf Unternehmen

Unternehmen sind ein beliebtes Ziel für Social Engineering Attacken, da höhere Beträge als bei Privatpersonen erbeutet werden können. Dabei bleibt das Vorgehen das gleiche, wobei der Aufwand, die benötigten Informationen für einen Social Engineering Angriff auf ein Unternehmen einzuholen, größer ist. Folgende Informationen sind für Kriminelle besonders relevant:

  • Wer ist der CEO des Unternehmens? Wer sind die Bereichsleiter?
  • Wann sind einzelne Personen aus diesem Kreis auf Geschäftsreise oder im Urlaub?
  • Welche Personen im Unternehmen sind dazu berechtigt, Überweisungen auszuführen?
  • Welche aktuellen geschäftsbezogenen Aktivitäten finden statt?

Sobald diese Informationen vorliegen, richtet sich der Hacker nun an einen Mitarbeitenden – gewöhnlich an eine Person, die zu finanziellen Transaktionen berechtigt ist. Mit einer gefälschten E-Mail-Adresse und im Namen des Vorgesetzten fordert er nun mit eindringlichen Worten Informationen oder eine Überweisung an.

 

Wie können sich Unternehmen schützen? 6 Tipps

Sie können sich und Ihr Unternehmen gegen Social Engineering schützen, indem sie verschiedene Maßnahmen ergreifen, um

Ihre Mitarbeitenden zu schulen,

Sicherheitsrichtlinien zu implementieren und 

technische Sicherheitsmaßnahmen zu verstärken.

Hier sehen Sie die wichtigsten Maßnahmen im Kampf gegen Social Engineering:

 

1) Schulung und Sensibilisierung Ihrer Mitarbeitenden

Schulen Sie Ihre Mitarbeitenden regelmäßig in Bezug auf die Risiken von Social Engineering und wie sie verdächtige Anfragen oder Aktivitäten erkennen. Möglich sind Schulungen, Simulationen von Phishing-Angriffen und regelmäßige Sicherheitsbriefings.

 

Social Engineering 2

2) Etablieren Sie klare Sicherheitsrichtlinien

Etablieren Sie klare Sicherheitsrichtlinien und -verfahren für den Umgang mit vertraulichen Informationen, den Zugang zu sensiblen Systemen und die Überprüfung von Identitäten, insbesondere bei Remote-Zugriffen oder ungewöhnlichen Anfragen.

 

3) Nutzen Sie Zwei-Faktor-Authentifizierung (2FA)

Implementieren Sie die Zwei-Faktor-Authentifizierung, um den Zugang zu Systemen zu erschweren. Dadurch wird es schwieriger für Angreifer, sich Zugriff zu verschaffen, selbst mit den jeweiligen Passwörtern.

 

4)Beschränken Sie die Zugriffsrechte

Begrenzen Sie den Zugriff auf sensible Daten und Systeme auf diejenigen Mitarbeitenden, die diese auch wirklich benötigen. Somit reduzieren Sie das Risiko von Datenlecks oder unbefugtem Zugriff durch Social Engineering Angriffe.

 

5) Implementieren Sie technische Sicherheitslösungen

Nutzen Sie technische Sicherheitslösungen wie Firewalls, Intrusion Detection Systems (IDS) und Antivirus-Software, um Malware zu erkennen und zu blockieren, die möglicherweise durch Social Engineering-Angriffe eingeführt wird. Implementieren Sie eine E-Mail-Security-Lösung, die Social Engineering Angriffe per E-Mail bereits im Vorfeld zuverlässig abfängt. 

 

6) Betrachten Sie „Sicherheit“ als kontinuierlichen Prozess

Überwachen Sie aktiv Ihre Systeme und Netzwerke auf verdächtige Aktivitäten, um Anomalien oder ungewöhnliche Zugriffe zu erkennen und darauf zu reagieren, bevor Schaden entsteht. Es ist wichtig, dass Unternehmen Sicherheit als kontinuierlichen Prozess betrachten und ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten.

 

Weitere News

Managed IT Services: Lohnt es sich für mein Unternehmen? Kann ich meine IT einfach outsourcen?

Die Verwaltung und Überwachung ihrer IT stellt viele Unternehmen vor Herausforderungen. Es mangelt an Ressourcen, um ein hausinternes Support-Team aufzubauen, welches der Aufgabe gewachsen ist. Eine Lösung bieten Managed IT Services Angebote, bei der externe Spezialisten einzelne Teilbereiche der IT bis hin zum kompletten IT-Betrieb übernehmen. Was Managed IT Services überhaupt sind, welche Vorteile sich daraus ergeben ob sich das Modell auch für Sie lohnt, erfahren Sie hier.

mehr lesen

Ihre Anfrage – Wir beraten Sie gerne & jederzeit