Social Engineering – 6 Tipps, wie Unternehmen sich schützen können
Was ist Social Engineering? Definition und Tipps für UnternehmenEgal, wie gut die technischen Sicherheitsvorkehrungen in Unternehmen auch sind: Der Faktor „Mensch“ bildet häufig das schwächste Glied in der Sicherheitskette. Beim Social Engineering nutzen Cyberkriminelle diese potenzielle Schwachstelle aus, indem sie eine persönliche Beziehung zum Opfer vortäuschen und so ihre kriminellen Machenschaften durchsetzen. Wie erkennt man Social Engineering und wie können Unternehmen sich und Ihre Mitarbeitenden schützen?
Was ist Social Engineering?
Beim Social Engineering versuchen Cyberkriminelle, das Vertrauen ihrer Opfer zu gewinnen, damit diese sensible Informationen wie z. B. Zugangsdaten oder Kreditkartennummern preisgeben oder Überweisungen tätigen. Das Social Engineering beschränkt sich nicht aufs Internet, sondern ist eine weit verbreitete Betrugsmasche: Ein bekanntes Beispiel ist der sogenannte Enkel-Trick, bei dem Kriminelle ältere Menschen per Telefonanruf davon überzeugen, dass sie Verwandte seien und aufgrund eines Notfalls sofort Geld benötigen.
Mit der Verbreitung digitaler Kommunikationsmittel haben Cyberkriminelle eine Vielzahl neuer Möglichkeiten, ihre Opfer zu täuschen. Der Weg, dazu verleitet zu werden, Überweisungen zu tätigen, vertrauliche Informationen preiszugeben oder Schadsoftware auf dem eigenen Gerät zu installieren, ist oft nur einen Klick entfernt. Die Fälle von Social Engineering stiegen infolgedessen in den letzten Jahren stark an und betreffen verstärkt Unternehmen und deren Mitarbeitende.
Wie funktioniert Social Engineering?
Social Engineering zielt auf die Manipulation auf zwischenmenschlicher Ebene ab. Es werden daher psychologische Techniken angewandt, um Vertrauen, Angst, Neugier oder andere menschliche Emotionen auszunutzen. Hier einige gängige Techniken, die im Social Engineering genutzt werden:
Phishing
Beim Phishing werden gefälschte E-Mails oder Nachrichten versendet, die vorgeben, von vertrauenswürdigen Quellen zu stammen, wie beispielsweise einer Bank oder einem Unternehmen. Benutzer sollen so dazu gebracht werden, ihre persönlichen Daten preiszugeben oder auf schädliche Links zu klicken.
Pretexting
Bei dieser Methode gibt sich der Angreifer als eine vertrauenswürdige Person oder Autoritätsperson aus, um Informationen zu erhalten. Dies kann im Unternehmenskontext beispielsweise das Vortäuschen der Identität von Vorgesetzten, Kolleg:innen oder Personen, die extern mit dem Unternehmen im Zusammenhang stehen, bedeuten, um Zugriff auf sensible Daten zu erhalten.
Baiting
Hier lockt der Angreifer seine Opfer mit etwas Wertvollem oder Verlockendem, wie beispielsweise einem USB-Stick mit „geheimer“ Information, der dann in ein Unternehmensnetzwerk eingeführt wird und Malware enthält.
Quid pro quo
Diese Methode beinhaltet das Angebot eines Vorteils oder einer Belohnung im Austausch für Informationen oder Handlungen. Ein Beispiel wäre ein Anruf, bei dem der Angreifer behauptet, ein Techniker zu sein, und kostenlose IT-Unterstützung anbietet, jedoch Zugangsdaten benötigt, um zu „helfen“.
Tailgating/Shoulder Surfing
Bei Tailgating schleicht sich der Angreifer in ein gesichertes Gebäude ein, indem er sich hinter einem autorisierten Benutzer versteckt, der das Gebäude betritt und ihn z. B. freundlich bittet, die Tür aufzuhalten. Shoulder Surfing beinhaltet das Beobachten von Benutzern, während sie ihre Passwörter oder andere vertrauliche Informationen eingeben.
Social Engineering Angriffe auf Unternehmen
Unternehmen sind ein beliebtes Ziel für Social Engineering Attacken, da höhere Beträge als bei Privatpersonen erbeutet werden können. Dabei bleibt das Vorgehen das gleiche, wobei der Aufwand, die benötigten Informationen für einen Social Engineering Angriff auf ein Unternehmen einzuholen, größer ist. Folgende Informationen sind für Kriminelle besonders relevant:
- Wer ist der CEO des Unternehmens? Wer sind die Bereichsleiter?
- Wann sind einzelne Personen aus diesem Kreis auf Geschäftsreise oder im Urlaub?
- Welche Personen im Unternehmen sind dazu berechtigt, Überweisungen auszuführen?
- Welche aktuellen geschäftsbezogenen Aktivitäten finden statt?
Sobald diese Informationen vorliegen, richtet sich der Hacker nun an einen Mitarbeitenden – gewöhnlich an eine Person, die zu finanziellen Transaktionen berechtigt ist. Mit einer gefälschten E-Mail-Adresse und im Namen des Vorgesetzten fordert er nun mit eindringlichen Worten Informationen oder eine Überweisung an.
Wie können sich Unternehmen schützen? 6 Tipps
Sie können sich und Ihr Unternehmen gegen Social Engineering schützen, indem sie verschiedene Maßnahmen ergreifen, um
– Ihre Mitarbeitenden zu schulen,
– Sicherheitsrichtlinien zu implementieren und
– technische Sicherheitsmaßnahmen zu verstärken.
Hier sehen Sie die wichtigsten Maßnahmen im Kampf gegen Social Engineering:
1) Schulung und Sensibilisierung Ihrer Mitarbeitenden
Schulen Sie Ihre Mitarbeitenden regelmäßig in Bezug auf die Risiken von Social Engineering und wie sie verdächtige Anfragen oder Aktivitäten erkennen. Möglich sind Schulungen, Simulationen von Phishing-Angriffen und regelmäßige Sicherheitsbriefings.
2) Etablieren Sie klare Sicherheitsrichtlinien
Etablieren Sie klare Sicherheitsrichtlinien und -verfahren für den Umgang mit vertraulichen Informationen, den Zugang zu sensiblen Systemen und die Überprüfung von Identitäten, insbesondere bei Remote-Zugriffen oder ungewöhnlichen Anfragen.
3) Nutzen Sie Zwei-Faktor-Authentifizierung (2FA)
Implementieren Sie die Zwei-Faktor-Authentifizierung, um den Zugang zu Systemen zu erschweren. Dadurch wird es schwieriger für Angreifer, sich Zugriff zu verschaffen, selbst mit den jeweiligen Passwörtern.
4)Beschränken Sie die Zugriffsrechte
Begrenzen Sie den Zugriff auf sensible Daten und Systeme auf diejenigen Mitarbeitenden, die diese auch wirklich benötigen. Somit reduzieren Sie das Risiko von Datenlecks oder unbefugtem Zugriff durch Social Engineering Angriffe.
5) Implementieren Sie technische Sicherheitslösungen
Nutzen Sie technische Sicherheitslösungen wie Firewalls, Intrusion Detection Systems (IDS) und Antivirus-Software, um Malware zu erkennen und zu blockieren, die möglicherweise durch Social Engineering-Angriffe eingeführt wird. Implementieren Sie eine E-Mail-Security-Lösung, die Social Engineering Angriffe per E-Mail bereits im Vorfeld zuverlässig abfängt.
6) Betrachten Sie „Sicherheit“ als kontinuierlichen Prozess
Überwachen Sie aktiv Ihre Systeme und Netzwerke auf verdächtige Aktivitäten, um Anomalien oder ungewöhnliche Zugriffe zu erkennen und darauf zu reagieren, bevor Schaden entsteht. Es ist wichtig, dass Unternehmen Sicherheit als kontinuierlichen Prozess betrachten und ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten.
Weitere News
Phishing Mail Report für April 2024
Willkommen zum aktuellen Phishing-Mail-Report! Auch im April registrierte das eleven Detection Lab wieder zahlreiche betrügerische E-Mails, darunter auch viele Phishing-Angriffe. Phishing-Mails zielen darauf ab, sensible Informationen, insbesondere Zugangsdaten zu...
Kritische Outlook-Sicherheitslücke entdeckt (Februar 2024)
Im Februar 2024 haben Sicherheitsforscher eine Schwachstelle in Microsoft Outlook entdeckt und als kritisch eingestuft. Alles, was Sie als Nutzer jetzt wissen müssen, lesen Sie hier.
Bitcoin Halving 2024 : Gefahr durch Phishing Mails steigt
Immer mehr Fälle von Krypto Phishing! Der Grund ist der hohe Bitcoin-Kurs sowie das bevorstehende Bitcoin Halving 2024.
Managed IT Services: Lohnt es sich für mein Unternehmen? Kann ich meine IT einfach outsourcen?
Die Verwaltung und Überwachung ihrer IT stellt viele Unternehmen vor Herausforderungen. Es mangelt an Ressourcen, um ein hausinternes Support-Team aufzubauen, welches der Aufgabe gewachsen ist. Eine Lösung bieten Managed IT Services Angebote, bei der externe Spezialisten einzelne Teilbereiche der IT bis hin zum kompletten IT-Betrieb übernehmen. Was Managed IT Services überhaupt sind, welche Vorteile sich daraus ergeben ob sich das Modell auch für Sie lohnt, erfahren Sie hier.