Die häufigsten Risiken für Social-Engineering-Attacken

Der wichtigste Schutz ist der gesunde Menschenverstand und eine gesunde Portion Misstrauen. Lassen Sie sich nicht unter Druck setzen! Erbitten Sie sich von dem Anrufer Zeit für interne Rückfragen und fragen Sie nach den Kontaktdaten! Geben Sie vertrauliche Informationen, Anmeldedaten, Passwörter, Kontoinformationen oder PINS niemals telefonisch, per E-Mail oder Messenger-Dienste weiter! Öffnen Sie nicht vorschnell Links!

Social-Engineering-Kriminelle gehen geschickt vor: Die Täter verfügen häufig über internes Detailwissen. Erfolgen die Social-Engineering-Attacken über sogenannte Phishing-Mails, arbeiten sie mit perfekten Kopien von Webseiten und täuschen so ihre Opfer. Unternehmen, die ihre Mitarbeiter nicht gezielt schulen und für die Gefahren sensibilisieren, haben ein höheres Risiko, Opfer von Social-Engineering-Attacken zu werden.

Führen Sie für die komplette Belegschaft Schulungen durch. In speziellen Awareness Trainings lernen Teilnehmer in Praxisübungen, wie sie Social Engineers Attacken erkennen. Schulen Sie zeitnah neue Mitarbeiter und wiederholen Sie die Schulungen regelmäßig.

In Ihrem Unternehmen erfolgt Kommunikation meist mündlich? Oder Sie haben schriftliche Anweisungen, die aber kompliziert zu lesen und deshalb schwer zu verstehen sind? Das kann schnell dazu führen, dass es keine eindeutigen Regeln gibt und niemand weiß, wie er sich im Angriffsfall konkret zu verhalten hat.

Erstellen Sie eindeutige und verständliche Standardanweisungen, die klare Handlungsanleitungen enthalten und somit Orientierung und Sicherheit bieten. Regeln Sie darin den Umgang mit Passwörtern, Links und Anhängen von E-Mails, um zu verhindern, dass darüber Schadsoftware eingeschleust wird. Wichtig: Legen Sie auch fest, wie mit Telefonen und PBX-Funktionen umzugehen ist. Definieren Sie einen Meldeprozess, für den Fall, dass es zu einer Social-Engineering-Attacke und einem IT-Sicherheitsfall gekommen ist. Jeder Mitarbeiter sollte die Anweisung unterschreiben und damit bestätigen, dass er mit den Bestimmungen vertraut ist und im Fall der Fälle weiß, wie er sich zu verhalten hat.

Wissen Sie welches Passwort Jahr für Jahr auf Platz 1 der beliebtesten Passwörter landet? „123456“. Platz 2 belegte 2021 „passwort“, auf dem 3. Rang findet sich „12345“. Nicht unbedingt kreativ und schon gar nicht sicher. Selbst dann, wenn die Betrüger Ihren Mitarbeitern nur den Anmeldenamen entlocken, ist die Wahrscheinlichkeit groß, dass sie nach ein paar Versuchen auch das richtige Passwort wissen.

Weisen Sie Ihre Mitarbeiter ausdrücklich darauf hin, sichere Passwörter zu benutzen. Sicher heißt: mindestens 15 Zeichen lang und ein Mix aus alle Zeichenarten (Groß- und Kleinschreibung, Zahlen, Sonderzeichen). Namen, beispielsweise von Kindern oder dem Partner, sowie Geburtstage lassen sich leicht über Social-Media-Kanäle herausfinden und eignen sich deshalb nicht!

Social-Engineering-Attacken funktionieren deshalb so gut, weil sich die Betrüger vorab Informationen besorgen, um mit Insiderwissen Vertrauen zu wecken. Wer in sozialen Netzwerken persönliche Informationen über sich, seinen Arbeitsplatz und seine Arbeitgeber verrät, spielt Kriminellen damit in die Hände. Das gilt auch für Firmen, die auf ihrer Website detaillierte Adresslisten veröffentlichen oder in Pressemitteilungen viele technische Details preisgeben.

Überlegen Sie, welche Daten und Infos Sie wo mitteilen und wer sie mitlesen kann. Seien Sie zurückhaltend mit Ihren Informationen.

Telefonanlagen werden häufig vernachlässigt, wenn es um Cybersecurity geht. Betrüger haben sie aber durchaus im Visier. Zum einen erfolgen die Angriffe unbemerkt bei einem Telefongespräch, weil psychologische Tricks besser funktionieren und im Gespräch einfacher Druck aufgebaut werden kann. Fachjargon und versäumte Fristen sorgen zusätzlich für Verwirrung und Schuldgefühle. Zudem kann die angezeigte Telefonnummer von den Kriminellen so manipuliert werden, dass sie einer internen Nummer gleicht. Zum anderen können auch Infos auf Voicemails Social-Engineering-Betrügern weiterhelfen, beispielsweise wenn per Voicemail verraten wird, dass man zurzeit in Urlaub ist oder wenn das Passwort einfach zu knacken ist.

Nachrichten keine vertraulichen Informationen enthalten dürfen. Dazu zählen auch Hinweise auf Urlaub, Krankheit etc. Denken Sie daran, auch für Telefonanlagen Updates durchzuführen, damit die Systeme aktuell und auf dem neuesten Sicherheitsstandard sind. Schulen Sie insbesondere Mitarbeiter, die häufig telefonieren, beispielsweise Telefonisten an der Zentrale: Sie nehmen sehr viele Telefongespräche entgegen und sind deshalb besonders häufig Opfer von Social-Engineering-Attacken.

Social-Engineering-Attacken zielen auf die Psyche des Menschen und können deshalb nicht einfach mit einer Firewall abgewehrt werden. Schulungen und spezielle Awareness-Trainings helfen, sich vor den raffinierten Tricks der Cyber-Kriminellen zu schützen. Unternehmen sollten ihre Mitarbeiter regelmäßig schulen und ihnen verständliche Anweisungen an die Hand geben, die klar regeln, wie sie mit Passwörtern, E-Mails und Anhängen umzugehen haben. Da viele Social-Engineering-Attacken telefonisch erfolgen, sollten insbesondere Mitarbeiter geschult werden, die viel telefonieren. Kontaktdaten, Informationen über das Unternehmen, Mitarbeiter und Produkte sollten mit Bedacht veröffentlicht werden. Wichtig ist, auf allen Ebenen für die Gefahren durch Social-Engineering-Attacken zu sensibilisieren, um die Sicherheitslücke Mensch so klein wie möglich zu halten oder sie idealerweise ganz zu schließen.