+49 (0) 821 80 99 46-0
Rückruf anfordern
zum Kontaktformular
+49 (0) 821 80 99 46-0
exali.de Mein Business bestens versichert
Mein exali Login
exali.de
  • Versicherungen

    IT und Engineering

    IT-Haftpflicht

    Kreative und Agenturen

    Media-Haftpflicht

    Unternehmensberater

    Consulting-Haftpflicht

    Rechtsanwälte

    Anwalts-Haftpflicht

    eCommerce-Versicherungen

    Webshop-Versicherung
    Portal-Versicherung

    Architekten und Ingenieure

    Architektenhaftpflicht
    Haftpflicht für Ingenieure

    Manager und Beauftragte

    Firmen D&O-Versicherung
    Persönliche D&O Versicherung

    Weitere Versicherungen

    Haftpflicht für Dienstleister
    Cyber-Versicherung

    Allgemein

    Berufshaftpflichtversicherung
    Betriebshaftpflichtversicherung
    Vermögensschadenhaftpflicht
     

    Versicherungslexikon

    Glossar
    Ausgewählte Berufe
  • News & Stories
  • Blog
  • Produktfinder
    Produktfinder
  • Mein exali Login
"Versicherungsschutz, der auf Ihre Bedürfnisse angepasst ist"
Chastine Tanta
Webentwicklung
Ihr Business bestens versichert
Chastine Tanta
Webentwicklung
Home / News&Stories /
Social Engineering: Wenn der Mensch zum Risiko wird
Schwachstelle Mensch

Social Engineering: Wenn der Mensch zum Risiko wird

Beitrag von Daniela Reichert Beitrag von Daniela Reichert Daniela Reichert
Beitrag von Daniela Reichert Beitrag von Daniela Reichert Daniela Reichert
Montag, 25. Juli 2022
Montag, 25. Juli 2022
Zurück zur Übersicht

Nachrichten von angeblichen Vorgesetzten oder Kolleginnen beziehungsweise Kollegen, Links mit Schadsoftware in Social-Media-Posts oder vorgebliche Techniker:innen im Bürogebäude, von denen niemand etwas weiß: Immer öfter gerät bei Cyberattacken mittlerweile der Mensch ins Fadenkreuz von Cyberkriminellen. Erfahren Sie jetzt, wie Sie Ihr Unternehmen vor sogenannten Social Engineering Attacken schützen können.

Social Engineering: Definition

Der Begriff „Social Engineering“ bezeichnet die gezielte Manipulation von Menschen. Die Angreifer:innen nutzen dabei Eigenschaften wie Hilfsbereitschaft, Vertrauen oder die Angst vor Autoritäten aus, um die Opfer dazu zu verleiten, Sicherheitsvorkehrungen auszuschalten oder sensible Informationen preiszugeben. Social Engineering gibt es in den verschiedensten Varianten und die Angreifer:innen werden dabei immer kreativer und vor allem auch besser.

Social Engineering: So schnell wird der Mensch zur Schwachstelle

Eine E-Mail von dem/der Vorgesetzten, der nach einer Geldüberweisung fragt. Ein unerwarteter Gewinn bei einem Gewinnspiel auf einem sozialen Netzwerk. Eine E-Mail mit einem Superschnäppchen-Angebot. Eine SMS von der IT-Abteilung, die nach dem Passwort für das Warenwirtschaftssystem fragt. Social Engineering gibt es in den verschiedensten Varianten und die Angreifer:innen werden dabei immer kreativer und vor allem auch besser. Wir haben für Sie einen Überblick der gängigen Maschen der Betrüger:innen zusammengestellt:

Phishing

Eine der wohl bekanntesten Formen des Social Engineering ist die Phishing-Mail. Diese stammt meist aus einer vermeintlich vertrauenswürdigen Quelle (zum Beispiel von einer:m Vorgesetzten oder von einer Bank) und zielt darauf ab, dass die Empfänger:innen auf einen Link klicken, der zu einer gefälschten Internetseite führt. Auf dieser Seite sollen dann Zugangsdaten eingegeben werden, die die Angreifer:innen erbeuten wollen. Auch im Anhang einer solchen Mail kann sich Schadsoftware in Dokumenten verstecken.

Zu den häufigsten Phishing-Angriffen gehört der sogenannte Fake President Trick. Wie dieser aussehen kann, haben wir in diesem Video für Sie zusammengefasst:

 
 

 

Tipp:

Weitere Informationen zum Fake President Trick, wie Sie diesen erkennen und wie Ihr Unternehmen schützen können, finden Sie auch in diesem Artikel: Fake President Trick – wenn Betrüger:innen sich als CEO ausgeben.

Pretexting-Angriff

Beim Pretexting-Angriff täuschen die Angreifer:innen falsche Tatsachen vor, um ihre Opfer dazu zu verleiten, Login-Daten preiszugeben oder den Zugang zu sensiblen Systemen zu gewähren. Dabei geben sich die Betrüger:innen oft als Mitarbeiter:in der IT-Abteilung aus, die/der Zugangsdaten benötigen um ein Problem in einem IT-Programm oder einem IT-System zu beheben.

Spear-Phishing-Attacke

Beim Spear-Phishing nutzen Cyberkriminelle auf die Zielperson zugeschnittene Informationen, um sich deren Vertrauen zu erschleichen und besonders authentisch zu wirken. Die Informationen werden im Vorfeld aus den Social-Media-Kanälen des Opfers gesammelt und durch weitere Informationen aus dem Internet und anderen Quellen ergänzt. Die umfassende Recherche sorgt für höhere Erfolgsquoten und bringt das Opfer oftmals dazu, sensible Daten preiszugeben, da die Täter:innen ihre wahre Identität durch die umfassenden Informationen verschleiern können. Die Angreifer:innen versuchen Gemeinsamkeiten mit der Zielperson aufzubauen, das sorgt für Sympathie und Vertrauen.

Physische Attacke

Wenn Sie jetzt denken, dass Angriffe lediglich über das Telefon und das Internet erfolgen, dann irren Sie sich. Denn Cyberkriminelle nutzen auch physische Attacken, um sich Zugang zu Unternehmen zu verschaffen. Ein Beispiel hierfür ist der auf dem Firmenparkplatz liegengelassene USB-Stick. Dieser wird mit Schadsoftware versehen und an einem Ort platziert, an dem er leicht gefunden wird. Findet ein:e Mitarbeiter:in diesen USB-Stick, kann es passieren, dass sie/er herausfinden will, was sich darauf befindet. Sobald der USB-Stick an den PC angeschlossen wird installiert sich die Schadsoftware auf dem Rechner und sammelt heimlich Informationen oder verschlüsselt wichtige Daten im System.

Die Cyberkriminellen erscheinen gelegentlich auch selbst am „Tatort“. Getarnt als Techniker:innen, Mitarbeiter:innen oder Dienstleister:innen verschaffen sie sich Zugang in die Geschäfts- oder Serverräume um dort Informationen und sensible Daten zu stehlen. Oder aber, sie leihen sich von Mitarbeiter:innen ein Telefon oder einen Computer aus, um darauf heimlich Schadsoftware zu platzieren.

Cybercrime: Studien zeigen steilen Anstieg

Egal welche Studien zum Thema Cybercrime in den letzten Jahren veröffentlicht wurden, sie alle malen das gleiche Bild: Cyberangriffe nehmen mehr und mehr zu und gehören deshalb auch mittlerweile zu den größten Business-Risiken. Eine Studie des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) aus dem Jahr 2020 zeigte, wie lax teilweise kleine und mittelständische Unternehmen mit sensiblen Daten umgehen: So wurde hier mit einem Analyse-Tool nach Daten von 1019 Unternehmen mit weniger als 250 Mitarbeiter:innen und einem Jahresumsatz von höchstens 50 Millionen Euro im Darknet gesucht. Tatsächlich wurde das Tool bei über 543 der Unternehmen (53 Prozent) fündig – vor allem E-Mail-Adressen mit zugehörigen Passwörtern waren im Darknet hinterlegt.

Dass Cyberkriminalität weiterhin zunimmt, bestätigte auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI), dass in seinem Bericht für das Jahr 2021 einen Anstieg von Cybercrime um 22 Prozent im Vergleich zum Vorjahr feststellte. Seit Beginn des Ukraine-Krieges warnen Expertinnen und Experten zudem immer wieder vor einem erhöhten Risiko durch Cyber-Angriffe. Bereits 2020/2021 verzeichnete eine Studie von Bitkom: Neun von zehn Unternehmen (88 Prozent) – unabhängig von ihrer Größe – waren von Cyber-Angriffen betroffen.

Cybercrime: Erhöhtes Risiko, aber nicht bei mir?

76 Prozent der Unternehmen sehen laut einer Umfrage des GDV ein hohes Risiko von Cyberkriminalität für mittelständische Unternehmen – doch nur 34 Prozent bewerten das Risiko auch für das eigene Business als sehr hoch. Leider ist der Gedanke „ich habe nur eine kleine Firma und bin damit für Cyberkriminelle nicht interessant“ ein gefährlicher Trugschluss. Ebenso wie die Annahme, dass das eigene Business bereits ausreichend geschützt ist. Denn – um zurück zur ersten Studie des GDV zu kommen: Wissen Sie, wie die Daten der Mitarbeiter:innen im Darknet gelandet sind? Durch Unachtsamkeit und unzureichende Sicherheitskontrollen seitens der Unternehmen.

So nutzen viele Mitarbeiter:innen beispielsweise Ihre Firmen-Mail-Adresse, um sich in Onlineshops, Social Media oder auf Gaming-Webseiten anzumelden. Werden diese Seiten gehackt, landen die Mail-Adressen und Passwörter im Darknet. Es geht aber noch schlimmer: Die Studie hat außerdem ergeben, dass einige Angestellte sich mit ihrer beruflichen Mail-Adresse auf Dating- und Porno-Seiten anmeldeten. Das Problem: Die private Nutzung beruflicher Mail-Adressen ist in nur wenigen Unternehmen verboten, die meisten verzichten auf eine Regelung. Dabei ist die Mail immer noch die beliebteste Möglichkeit von Cyberkriminellen, sich Zugang zu Unternehmen zu verschaffen. Sie setzen darauf, dass Mitarbeiter:innen schädliche Links anklicken oder Anhänge öffnen.

Tipp:

Wie wichtig Strategien zu mehr Cybersicherheit sind und wie auch kleine und mittelständige Unternehmen diese umsetzen können, haben wir in folgendem Artikel zusammengefasst: KMU Cyber Security: So gelingen wirksame Sicherheitsstandards

Social Engineering: Beispiele aus der Praxis

Dass Social Engineering Angriffe nicht nur praktisch jedem Unternehmen – unabhängig von der Größe oder der Branche – passieren können, zeigen auch unsere folgenden Beispiele:

Anruf vom falschen CEO: 220.000 Euro Schaden!

Die Methoden von Cyberkriminellen werden immer raffinierter, das zeigt das Beispiel eines britischen Energiekonzerns: Hier wurde der CEO in Großbritannien vom (vermeintlichen) CEO des deutschen Mutterkonzerns angerufen, der ihn um eine Überweisung in Höhe von 220.000 Euro an eine Zulieferfirma bat. Das Geld werde dann in Kürze vom Mutterkonzern rückerstattet. Die Begründung? Der angebliche Chef des deutschen Mutterkonzerns wollte die Überweisung selbst in Auftrag geben, da es in Deutschland aber bereits nach 16 Uhr war, wäre das Geld erst montags bei den Empfänger:innen angekommen.

Aufgrund der Zeitverschiebung war es in Großbritannien noch vor 16 Uhr und somit wäre die Überweisung noch rechtzeitig abgewickelt worden. Das kuriose an der Geschichte: Obwohl der CEO der Tochterfirma von dieser Art des Telefonbetrugs gehört hatte, fiel er auf die Betrugsmasche rein. Zum einen weil die Begründung für die Überweisung plausibel war, zum anderen weil die Betrüger:innen ein KI-(Künstliche Intelligenz) gestütztes Programm verwendeten, dass die Stimme des deutschen CEO nahezu perfekt imitierte. Der CEO der britischen Tochterfirma glaubte, er würde tatsächlich mit seinem deutschen Vorgesetzten sprechen und überwies das Geld wie gewünscht. Der Betrug fiel zwar später auf, doch die 220.000 Euro waren da bereits über alle Berge.

Echter exali Schadenfall: Falscher CEO erbeutet mehr als 3.000 Euro

Auch ein Mitarbeiter eines über exali versicherten App-Entwicklers fiel auf Cyberkriminelle herein. In diesem Fall meldete sich der angebliche Chef und wies den Angestellten zum Kauf von Gutschein- und Geschenkkarten im Wert von 3.000 Euro an. Als der echte Chef davon erfuhr, war der Schaden nicht mehr rückgängig zu machen. Mehr über diesen Fall finden Sie in diesem Artikel:  Falscher CEO erschleicht sich mehr als 3.000 Euro.

So schützen Sie sich und Ihre Mitarbeiter:innen vor Social Engineering

Wenn es um die Sicherheit von sensiblen Daten und die Abwehr von Schadsoftware geht, dann investieren bereits viele Unternehmen in eine starke IT-Infrastruktur, Antivirensoftware und Sicherheitsmaßnahmen. Damit Sie das Risiko von Social Engineering Attacken reduzieren können, haben wir eine Übersicht für Sie zusammengestellt:

Schulungen von Mitarbeiter:innen

Ihre beste Abwehr gegen Social Engineering Angriffe sind aufmerksame Angestellte. Deshalb gilt:

  • Schulen Sie Ihre Mitarbeiter:innen und sensibilisieren Sie sie für Social Engineering Attacken.
  • Schaffen Sie ein Bewusstsein dafür, wie schnell Daten in privaten oder beruflichen sozialen Netzwerken in die falschen Hände geraten können und das deshalb das Teilen von vertraulichen Informationen zur Arbeit oder den Arbeitgeber:innen keine gute Idee ist.
  • Führen Sie interne Kontrollmechanismen ein – das kann beispielsweise ein wechselndes Codewort sein, mit dem sich Mitarbeiter:innen legitimieren können.
  • Führen Sie klare Regeln zum Umgang mit unternehmensfremden Personen ein, wie zum Beispiel Rücksprache mit den Abteilungen.

Klare Regelungen Zahlen und Daten

Fast genauso wichtig wie die Schulung Ihrer Mitarbeiter:innen ist die Etablierung klarer Regelungen zu folgenden Punkten:

  • Welche Personen im Unternehmen die Berechtigung haben, Zahlungen anzuweisen und stellen sie sicher, dass eine Überweisung nur im „Vier-Augenprinzip“ möglich ist.
  • Welche Personen Zugang zu welchen IT-Systemen, Programmen oder Online-Plattformen haben.
  • Welche Regeln es zum Umgang mit der betrieblichen E-Mail-Adresse gibt (beispielsweise keine Anmeldung in Portalen, die für den privaten Gebrauch genutzt werden).

Stellen Sie sicher, dass alle Ihre Mitarbeiter:innen diese Regelungen, sowie Änderungen daran kennen und frischen Sie sie zusätzlich in regelmäßigen Schulungen auf.

Achtsamer Umgang mit E-Mails

Öffnen Sie nicht leichtfertig Ihre E-Mails, da diese oft mit Schadsoftware belastet sein können. Nutzen Sie die 3-Sekunden-Regel um das Risiko zu verringern. Nehmen Sie sich einen Moment Zeit und prüfen Sie den Namen und die Adresse der Absenderin oder des Absenders. Prüfen Sie ebenfalls, ob der Betreff sinnvoll erscheint und keine Schreibfehler aufweist. Besonders kritisch sollten Sie bei Anhängen sein. Überlegen Sie, ob Sie einen Anhang erwarten, ob der Dateiname und das Dateiformat stimmig sind und auch ob die Größe der Datei zum angeblichen Inhalt passt. Geben Sie außerdem niemals Kontodaten, Zugangsdaten und/oder Passwörter über Telefon oder E-Mail preis. Banken und andere seriöse Geschäftspartner:innen werden Sie nie am Telefon oder per E-Mail zur Preisgabe von Passwörtern und Zugangsdaten auffordern.

Verantwortungsvoller Umgang mit Social Media

Gehen Sie verantwortungsvoll mit Daten – sowohl Ihre privaten, als auch Unternehmensdaten – in sozialen Netzwerken um. Cyberkriminelle recherchieren vor ihren Angriffen ausführlich im Netz und kommen so an wichtige Informationen, die ihnen bei gezielten Angriffen nutzen können.

Die exali Cyber-Versicherung: Schutz gegen die Folgen von Cyber-Angriffen

Geschulte Mitarbeiter:innen, klare Regelungen und eine gute IT-Infrastruktur sind effektive Schutzmechanismen gegen Cyberkriminelle. Doch die Angreifer:innen schlafen nicht und finden immer neue Schlupflöcher, durch die sie sich unberechtigten Zugriff auf IT-Systeme, Programme oder elektronische Daten Ihres Unternehmens verschaffen können. Mit der Cyber-Versicherung über exali sind Sie gegen die Folgen von Cyberkriminalität abgesichert.

Mit dem Basisschutz der Cyber-Eigenschaden-Versicherung erhalten Sie beispielsweise bereits im Falle einer Cyberattacke eine sofortige Notfallhilfe von einer IT-Expertin oder einem IT-Experten, der sich zudem um die schnellstmögliche Wiederherstellung Ihrer IT-Systeme und Daten kümmert. Sowohl diese Kosten, als auch die für eine umfassende Sicherheitsanalyse übernimmt der Versicherer für Sie. Mit insgesamt sechs optional wählbaren Zusatzbausteinen können Sie Ihren Versicherungsschutz zudem individuell anpassen. Mit dem Zusatzbaustein „Cyber-Vertrauensschaden“ können Sie beispielsweile Ihr Business vor den finanziellen Folgen der beschriebenen Social-Engineering-Attacken wie Phishing, Fake President Trick oder Umleiten von Zahlungsströmen (so genannter Payment Diversion Fraud) umfassend schützen.

Sie haben noch Fragen? Rufen Sie uns gerne an! Bei exali gibt es keine Warteschleife und kein Callcenter. Unsere Kundenberater:innen sind gerne für Sie da – telefonisch von Montag bis Freitag 09:00 Uhr bis 18:00 Uhr unter der  0821 – 80 99 46-0 oder über unser Kontaktformular.

Daniela Reichert
Autorenprofil
Daniela Reichert
Online-Redakteurin

Wer bin ich?
Nach einigen Praktika und einem Volontariat habe ich einige Jahre als Online-Redakteurin und Social Media Managerin gearbeitet, bevor ich zu exali kam.
Was mag ich?
Bücher, Katzen, Reisen und Chewbacca.
Was mag ich nicht?
Spinnen, Mayonnaise und langes Anstehen.

Autorenprofil
Daniela Reichert
Daniela Reichert

Online-Redakteurin

Wer bin ich?
Nach einigen Praktika und einem Volontariat habe ich einige Jahre als Online-Redakteurin und Social Media Managerin gearbeitet, bevor ich zu exali kam.
Was mag ich?
Bücher, Katzen, Reisen und Chewbacca.
Was mag ich nicht?
Spinnen, Mayonnaise und langes Anstehen.

vorheriger Artikel
 
zurück
 
nächster Artikel
Diese Artikel könnten Sie auch interessieren
Cyberkriminalität auf Rekordhoch: Was eine Cyber-Versicherung leistet
Cyberkriminalität auf Rekordhoch: Was eine Cyber-Versicherung leistet
KMU Cyber Security: So gelingen wirksame Sicherheitsstandards
KMU Cyber Security: So gelingen wirksame Sicherheitsstandards
5 Tipps für gutes Passwortmanagement im Business
5 Tipps für gutes Passwortmanagement im Business
Viren, Würmer und Trojaner: Diese Malware Arten gibt es
Viren, Würmer und Trojaner: Diese Malware Arten gibt es
Diese Artikel könnten Sie auch interessieren
Cyberkriminalität auf Rekordhoch: Was eine Cyber-Versicherung leistet
Cyberkriminalität auf Rekordhoch: Was eine Cyber-Versicherung leistet
KMU Cyber Security: So gelingen wirksame Sicherheitsstandards
KMU Cyber Security: So gelingen wirksame Sicherheitsstandards
5 Tipps für gutes Passwortmanagement im Business
5 Tipps für gutes Passwortmanagement im Business
Viren, Würmer und Trojaner: Diese Malware Arten gibt es
Viren, Würmer und Trojaner: Diese Malware Arten gibt es
0 Kommentare
Schreiben Sie einen Kommentar
Bitte füllen Sie alle als * Pflichtfelder gekennzeichneten Bereiche aus.

Durch Betätigen des Buttons „Absenden“ werden die in das obige Formular eingetragenen Daten zum Zwecke der Verarbeitung Ihrer Anfrage erhoben und verarbeitet. Sämtliche Daten werden verschlüsselt übertragen und nur im Rahmen der Angaben in den Datenschutzhinweisen verarbeitet. Sie haben ein Widerspruchsrecht mit Wirkung für die Zukunft.
Kooperationspartner
Kooperationspartner
Kooperationspartner

Versicherungen

  • IT-Haftpflicht
  • Media-Haftpflicht
  • Consulting-Haftpflicht
  • Anwalts-Haftpflicht
  • eCommerce-Versicherungen
  • D&O Versicherung
  • Architektenhaftpflicht
  • Haftpflicht für Ingenieure
  • Haftpflicht für Dienstleister
  • Cyber-Versicherung
  • Hausverwalter-Haftpflicht
  • Ausgewählte Berufe
  • Schaden melden

News & Stories

  • Artikel
  • Videos
  • Glossar
  • Newsflash abonnieren
  • RSS Feed abonnieren

Kooperationspartner

  • GULP
  • freelancermap
  • BITMi
  • k2 Partnering Solutions
  • Kontist
  • sevDesk
  • Kooperationspartner werden

Über uns

  • Über exali.de
  • Karriere
  • Kontakt
  • Impressum
  • Nutzungsbedingungen
  • Datenschutz
  • Widerrufsbelehrung
© exali AG, alle Rechte vorbehalten
Ihr Webbrowser ist leider veraltet! Aktualisieren Sie bitte Ihren Browser, um alle Funktionen im Beitragsrechner nutzen zu können.
Wählen Sie das Land, in dem Sie Ihren Geschäftssitz haben
Choose the location of your headquarter
Je nach Land können die von exali angebotenen Versicherungen leicht variieren. Bitte wählen Sie das Land, in dem Sie Ihren Geschäftssitz haben, um das für Sie passende Angebot zu erhalten.
Depending on your country, the insurance offered by exali may vary slightly. Please select the country where you have your headquarter to get the offer that suits you best.