Das Telefon klingelt. Der Mitarbeiter des mittelständischen Unternehmens erfährt am Telefon, dass „wie angekündigt“ die IT-Systeme überprüft würden und er jetzt laut Terminplan an der Reihe sei. Als er den vermeintlichen Techniker darauf hinweist, dass er von dem Check gar nichts wisse, ist auch der Anrufer ganz erstaunt. Das Ganze sei doch von Herrn Müller, dem Geschäftsführer, beauftragt und sehr dringend. Der Chef habe auch seine Mitarbeiter informiert, zumindest hätten die Kollegen, mit denen er die Überprüfung bereits gemacht habe, davon gewusst. Auf jeden Fall müsse der Check jetzt durchgeführt werden, sonst gerate der ganze Zeitplan durcheinander und er habe erst wieder in ein paar Wochen Zeit. Er brauche deshalb die Anmeldedaten des Mitarbeiters. Bitte jetzt! Sofort!
Was würden Sie tun? Würden Sie merken, dass Sie gerade Opfer einer Social-Engineering-Attacke sind?
Social-Engineering-Attacken zielen auf die Schwachstelle Mensch. Die Betrüger gehen raffiniert vor, sind sehr überzeugend und bringen Menschen so dazu, Dinge zu tun, die ihnen selbst oder ihrem Arbeitgeber schaden. Welches Verhalten und welche Versäumnisse es Betrügern leicht macht, die Sicherheitslücke Mensch zu hacken und warum gerade Telekommunikation im Visier der Cyber-Kriminellen ist, erfahren Sie in diesem Blogartikel – inklusive Tipps, wie Sie vorbeugen können.
Inhaltsverzeichnis
- Zu viel Vertrauen
- Keine Schulungen
- Keine klaren Anweisungen
- Einfache Passwörter
- Zu viele öffentliche Informationen
- Sorgloser Umgang mit Telekommunikation
- Fazit
Zu viel Vertrauen
Betrüger manipulieren bei Social-Engineering-Attacken ihre „Opfer“ mit psychologischen Tricks und nutzen dabei gezielt deren Gutgläubigkeit aus. Experten sprechen deshalb auch von Social Hacking oder Human Hacking, weil nicht die Technik, sondern der Mensch die Sicherheitslücke ist, die gehackt wird. Die Manipulationsversuche zielen auf Charaktereigenschaften wie Hilfsbereitschaft, Vertrauen, Pflichtbewusstsein und Respekt vor Autoritätspersonen. Typischerweise geben die Täter vor, jemand anders zu sein, verfügen über Informationen, die sie vertrauenswürdig erscheinen lassen und bauen gleichzeitig Druck auf. Die Masche funktioniert: Opfer gibt es auf allen Hierarchieebenen. Sie alle haben in bester Absicht und im Glauben gehandelt, durch ihr Tun zu helfen und zu schützen.
So schützen Sie sich vor Social-Engineering-Attacken:
Der wichtigste Schutz ist der gesunde Menschenverstand und eine gesunde Portion Misstrauen. Lassen Sie sich nicht unter Druck setzen! Erbitten Sie sich von dem Anrufer Zeit für interne Rückfragen und fragen Sie nach den Kontaktdaten! Geben Sie vertrauliche Informationen, Anmeldedaten, Passwörter, Kontoinformationen oder PINS niemals telefonisch, per E-Mail oder Messenger-Dienste weiter! Öffnen Sie nicht vorschnell Links!
Keine Schulungen
Social-Engineering-Kriminelle gehen geschickt vor: Die Täter verfügen häufig über internes Detailwissen. Erfolgen die Social-Engineering-Attacken über sogenannte Phishing-Mails, arbeiten sie mit perfekten Kopien von Webseiten und täuschen so ihre Opfer. Unternehmen, die ihre Mitarbeiter nicht gezielt schulen und für die Gefahren sensibilisieren, haben ein höheres Risiko, Opfer von Social-Engineering-Attacken zu werden.
So schützen Sie sich vor Social-Engineering-Attacken:
Führen Sie für die komplette Belegschaft Schulungen durch. In speziellen Awareness Trainings lernen Teilnehmer in Praxisübungen, wie sie Social Engineers Attacken erkennen. Schulen Sie zeitnah neue Mitarbeiter und wiederholen Sie die Schulungen regelmäßig.
Keine klaren Anweisungen
In Ihrem Unternehmen erfolgt Kommunikation meist mündlich? Oder Sie haben schriftliche Anweisungen, die aber kompliziert zu lesen und deshalb schwer zu verstehen sind? Das kann schnell dazu führen, dass es keine eindeutigen Regeln gibt und niemand weiß, wie er sich im Angriffsfall konkret zu verhalten hat.
So schützen Sie sich vor Social-Engineering-Attacken:
Erstellen Sie eindeutige und verständliche Standardanweisungen, die klare Handlungsanleitungen enthalten und somit Orientierung und Sicherheit bieten. Regeln Sie darin den Umgang mit Passwörtern, Links und Anhängen von E-Mails, um zu verhindern, dass darüber Schadsoftware eingeschleust wird. Wichtig: Legen Sie auch fest, wie mit Telefonen und PBX-Funktionen umzugehen ist. Definieren Sie einen Meldeprozess, für den Fall, dass es zu einer Social-Engineering-Attacke und einem IT-Sicherheitsfall gekommen ist. Jeder Mitarbeiter sollte die Anweisung unterschreiben und damit bestätigen, dass er mit den Bestimmungen vertraut ist und im Fall der Fälle weiß, wie er sich zu verhalten hat.
Einfache Passwörter
Wissen Sie welches Passwort Jahr für Jahr auf Platz 1 der beliebtesten Passwörter landet? „123456“. Platz 2 belegte 2021 „passwort“, auf dem 3. Rang findet sich „12345“. Nicht unbedingt kreativ und schon gar nicht sicher. Selbst dann, wenn die Betrüger Ihren Mitarbeitern nur den Anmeldenamen entlocken, ist die Wahrscheinlichkeit groß, dass sie nach ein paar Versuchen auch das richtige Passwort wissen.
So schützen Sie sich vor Social-Engineering-Attacken:
Weisen Sie Ihre Mitarbeiter ausdrücklich darauf hin, sichere Passwörter zu benutzen. Sicher heißt: mindestens 15 Zeichen lang und ein Mix aus alle Zeichenarten (Groß- und Kleinschreibung, Zahlen, Sonderzeichen). Namen, beispielsweise von Kindern oder dem Partner, sowie Geburtstage lassen sich leicht über Social-Media-Kanäle herausfinden und eignen sich deshalb nicht!
Zu viele öffentliche Informationen
Social-Engineering-Attacken funktionieren deshalb so gut, weil sich die Betrüger vorab Informationen besorgen, um mit Insiderwissen Vertrauen zu wecken. Wer in sozialen Netzwerken persönliche Informationen über sich, seinen Arbeitsplatz und seine Arbeitgeber verrät, spielt Kriminellen damit in die Hände. Das gilt auch für Firmen, die auf ihrer Website detaillierte Adresslisten veröffentlichen oder in Pressemitteilungen viele technische Details preisgeben.
So schützen Sie sich vor Social-Engineering-Attacken:
Überlegen Sie, welche Daten und Infos Sie wo mitteilen und wer sie mitlesen kann. Seien Sie zurückhaltend mit Ihren Informationen.
Sorgloser Umgang mit Telekommunikation
Telefonanlagen werden häufig vernachlässigt, wenn es um Cybersecurity geht. Betrüger haben sie aber durchaus im Visier. Zum einen erfolgen die Angriffe unbemerkt bei einem Telefongespräch, weil psychologische Tricks besser funktionieren und im Gespräch einfacher Druck aufgebaut werden kann. Fachjargon und versäumte Fristen sorgen zusätzlich für Verwirrung und Schuldgefühle. Zudem kann die angezeigte Telefonnummer von den Kriminellen so manipuliert werden, dass sie einer internen Nummer gleicht. Zum anderen können auch Infos auf Voicemails Social-Engineering-Betrügern weiterhelfen, beispielsweise wenn per Voicemail verraten wird, dass man zurzeit in Urlaub ist oder wenn das Passwort einfach zu knacken ist.
So schützen Sie sich vor Social-Engineering-Attacken:
Nachrichten keine vertraulichen Informationen enthalten dürfen. Dazu zählen auch Hinweise auf Urlaub, Krankheit etc. Denken Sie daran, auch für Telefonanlagen Updates durchzuführen, damit die Systeme aktuell und auf dem neuesten Sicherheitsstandard sind. Schulen Sie insbesondere Mitarbeiter, die häufig telefonieren, beispielsweise Telefonisten an der Zentrale: Sie nehmen sehr viele Telefongespräche entgegen und sind deshalb besonders häufig Opfer von Social-Engineering-Attacken.
Fazit
Social-Engineering-Attacken zielen auf die Psyche des Menschen und können deshalb nicht einfach mit einer Firewall abgewehrt werden. Schulungen und spezielle Awareness-Trainings helfen, sich vor den raffinierten Tricks der Cyber-Kriminellen zu schützen. Unternehmen sollten ihre Mitarbeiter regelmäßig schulen und ihnen verständliche Anweisungen an die Hand geben, die klar regeln, wie sie mit Passwörtern, E-Mails und Anhängen umzugehen haben. Da viele Social-Engineering-Attacken telefonisch erfolgen, sollten insbesondere Mitarbeiter geschult werden, die viel telefonieren. Kontaktdaten, Informationen über das Unternehmen, Mitarbeiter und Produkte sollten mit Bedacht veröffentlicht werden. Wichtig ist, auf allen Ebenen für die Gefahren durch Social-Engineering-Attacken zu sensibilisieren, um die Sicherheitslücke Mensch so klein wie möglich zu halten oder sie idealerweise ganz zu schließen.
In unserem kostenfreien Whitepaper finden Sie neben weiteren Infos und Tipps einen Quick-Check für den sicheren Umgang mit Voicemails sowie eine Checkliste mit konkreten Maßnahmen, um sich vor Social-Engineering-Attacken zu schützen.