Social Engineering: Wie der Mensch zum Risiko wird und wie sich Unternehmen schützen können

Update: Cybercrime-Studie - Tausende Unternehmensdaten im Darknet

Eine Studie des Gesamtverbands der Deutschen Versicherungswirtschaft (GDW) zeigt, wie lax in kleinen und mittelständischen Unternehmen mit sensiblen Daten umgegangen wird. 1019 Unternehmen mit weniger als 250 Mitarbeitern und einem Umsatz von höchstens 50 Millionen Euro im Jahr wurden in der Studie getestet. Mit dem Analyse-Tool „Cysmo“ wurde das Darknet nach Daten dieser Firmen durchsucht. Das erschreckende Ergebnis: Infos über 543 Unternehmen (also 53 Prozent) wurden gefunden, darunter 6.500 E-Mail-Adressen mit zugehörigen Passwörtern.

Wie kommt es dazu? Mitarbeiter nutzen Ihre Firmen-Mail-Adresse, um sich in Onlineshops, in sozialen Medien oder auf Gaming-Webseiten anzumelden. Werden diese Seiten gehackt, landen die Mail-Adressen und Passwörter im Darknet. Es geht aber noch schlimmer: Die Studie hat außerdem ergeben, dass einige Mitarbeiter sich mit ihrer beruflichen Mail-Adresse auf Dating- und Porno-Seiten anmeldeten.

Das Problem: Die private Nutzung beruflicher Mail-Adressen ist in nur wenigen Unternehmen verboten, die meisten verzichten auf eine Regelung:

Dabei ist die Mail immer noch die beliebteste Möglichkeit von Cyberkriminellen, sich Zugang zu Unternehmen zu verschaffen. Sie setzen darauf, dass Mitarbeiter schädliche Links anklicken oder Anhänge öffnen:

Der GDV-Cyberexperte Peter Graß rät daher, private und dienstliche E-Mail-Adresse immer strikt voneinander zu trennen und niemals dasselbe Passwort zu nutzen.

Wie Cyberkriminelle Mitarbeiter nutzen und manipulieren, um an sensible Daten zu gelangen, können Sie nachfolgend in unserem Artikel zum Social Engineering nachlesen. Außerdem finden Sie Tipps, wie Sie Ihr Unternehmen schützen können:

Was ist Social Engineering?

Social Engineering ist die gezielte Manipulation von Menschen. Die Angreifer nutzen dabei die Hilfsbereitschaft, das Vertrauen oder die Angst vor Autoritäten aus, um die Opfer dazu zu verleiten, Sicherheitsvorkehrungen auszuschalten oder sensible Informationen preiszugeben.

Social Engineering gibt es in den verschiedensten Varianten und die Angreifer werden dabei immer kreativer und vor allem auch besser. Wir haben für Sie einen Überblick der gängigen Maschen der Betrüger zusammengestellt:

Phishing-Mail

Die wohl bekannteste und am weitesten verbreitete Form des Social Engineering ist die Phishing-Mail. Die Mail stammt meist aus einer vermeintlich vertrauenswürdigen Quelle (zum Beispiel von einem Vorgesetzten oder von einer Bank) und zielt darauf ab, dass der Empfänger auf einen Link klickt, der zu einer gefälschten Internetseite führt. Auf dieser Seite sollen dann Zugangsdaten eingegeben werden, die die Angreifer erbeuten wollen. Auch im Anhang der Mail kann sich Schadsoftware in Dokumenten verstecken. Glauben Sie, dass Sie eine echte Mail von einer Phishing-Mail unterscheiden können? Dann testen Sie Ihr Wissen bei diesem Phishing-Mail-Quiz.

Pretexting-Angriff

Beim Pretexting-Angriff täuscht der Angreifer falsche Tatsachen vor, um das Opfer dazu zu verleiten, Login-Daten preiszugeben oder den Zugang zu sensiblen Systemen zu gewähren. Dabei gibt sich der Angreifer oftmals als Mitarbeiter der IT-Abteilung aus, der die Zugangsdaten benötigt um ein Problem im System zu beheben.

Spear-Phishing-Attacke

Beim Spear-Phishing nutzen Cyberkriminelle auf die Zielperson zugeschnittene Informationen, um sich deren Vertrauen zu erschleichen und besonders authentisch zu wirken. Die Informationen werden im Vorfeld aus den Social-Media-Kanälen des Opfers gesammelt und durch weitere Informationen aus dem Internet und anderen Quellen ergänzt. Die umfassende Recherche sorgt für höhere Erfolgsquoten und bringt das Opfer oftmals dazu, sensible Daten preiszugeben, da der Täter seine wahre Identität durch die umfassenden Informationen über das Opfer verschleiern kann. Die Angreifer versuchen Gemeinsamkeiten mit der Zielperson aufzubauen, das sorgt für Sympathie und Vertrauen.

Physische Attacke

Wenn Sie jetzt denken, dass Angriffe lediglich über das Telefon und das Internet erfolgen, dann irren Sie sich. Denn Cyberkriminelle nutzen auch physische Attacken, um sich Zugang zu Unternehmen zu verschaffen. Ein Beispiel hierfür ist ein liegengelassener USB-Stick. Dieser wird mit Schadsoftware versehen und an einem Ort platziert, an dem er leicht gefunden wird. Findet ein Mitarbeiter diesen USB-Stick, möchte dieser wahrscheinlich herausfinden, wem er gehört und welche Daten sich darauf befinden. Sobald der USB-Stick an den PC angeschlossen wird installiert sich die Schadsoftware auf dem Rechner und sammelt heimlich Informationen oder verschlüsselt wichtige Daten im System.

Die Angreifer erscheinen gelegentlich auch selbst am „Tatort“. Getarnt als Techniker, Mitarbeiter oder Dienstleister verschaffen sich die Täter so Zugang in die Geschäftsräume um dort eventuell Informationen und sensible Daten zu sammeln oder sie leihen sich ein Telefon oder Computer eines Mitarbeiters aus um darauf heimlich Schadsoftware zu platzieren.

Diese kurze und nicht abschließende Liste soll Ihnen zeigen, wie umfangreich die Methoden der Kriminellen sind. Ein aktueller Fall aus den Medien zeigt, dass die Angreifer selbst Telefonanrufe perfekt fälschen können.

Anruf vom falschen Chef: 220.000 Euro Schaden!

Cyberkriminelle haben es gezielt auf Geschäftsführer und zahlungsberechtigte Mitarbeiter von Unternehmen abgesehen. So auch in einem aktuellen Fall aus Großbritannien. Der CEO eines Energieversorgers wurde (vermeintlich) vom CEO des deutschen Mutterkonzerns angerufen. Er sollte 220.000 Euro an einen Zulieferer überweisen. Das Geld werde dann in Kürze vom Mutterkonzern rückerstattet. Die Begründung? Der angebliche Chef des deutschen Mutterkonzerns wollte die Überweisung selbst in Auftrag geben, da es in Deutschland aber bereits nach 16 Uhr war, wäre das Geld erst montags beim Empfänger angekommen.

Aufgrund der Zeitverschiebung war es in Großbritannien noch vor 16 Uhr und somit wäre die Überweisung noch rechtzeitig abgewickelt worden. Das kuriose an der Geschichte: Obwohl der CEO der Tochterfirma von dieser Art des Telefonbetrugs gehört hatte, fiel er auf die Betrüger rein. Zum einen weil die Begründung für die Überweisung plausibel war, zum anderen weil die Betrüger ein KI-(Künstliche Intelligenz) gestütztes Programm verwendeten, dass die Stimme des deutschen CEO inklusive Akzente nahezu perfekt imitierte. Der CEO der britischen Tochterfirma glaubte, er würde wirklich mit seinem deutschen Chef sprechen, weil er dessen Stimme wiedererkannte.

Das Geld wurde wie gewünscht überwiesen. Erst als die Betrüger erneut anriefen und weitere Überweisungen abwickeln wollten, flog der Betrug auf, denn die versprochene Rückerstattung war noch nicht eingetroffen und statt aus Deutschland kam der Anruf dieses Mal von einer österreichischen Nummer. Obwohl der Betrug auffiel waren die 220.000 Euro bereits über alle Berge.

Diese Art des Betrugs ist auch als „Chef-Masche“, „Fake President Trick“, „CEO-Fraud“ oder „CEO-Betrug“ bekannt und hat in den letzten Jahren stark zugenommen. Neben den Social Engineering Attacken bedrohen noch weitere Risiken Ihr Business. Unser Cybercrime-Ausblick 2019 zeigt Ihnen, dass Krypto-Miner ebenfalls auf dem Vormarsch sind. Den Unternehmen entstehen dabei immer höhere Schäden.

So schützen Sie sich und Ihre Mitarbeiter vor Social Engineering

Wenn es um die Sicherheit von sensiblen Daten und die Abwehr von Schadsoftware geht, dann investieren bereits viele Unternehmen in eine starke IT-Infrastruktur, Antivirensoftware und Sicherheitsmaßnahmen. Damit Sie das Risiko von Social Engineering Attacken reduzieren können, haben wir eine Checkliste für Sie zusammengestellt:

• Schulen Sie Ihre Mitarbeiter und sensibilisieren Sie sie für Social Engineering Attacken. Aufmerksame und misstrauische Mitarbeiter sind Ihre beste Abwehr gegen die Betrugsversuche
• Gehen Sie verantwortungsvoll mit Unternehmensdaten in den sozialen Medien um. Cyberkriminelle recherchieren vor ihren Angriffen ausführlich im Netz und kommen so an wichtige Informationen, die ihnen bei gezielten Angriffen nutzen können
• Angehörige des Unternehmens sollten in privaten und beruflichen sozialen Netzwerken keine vertraulichen Informationen über ihre Arbeit oder den Arbeitgeber preisgeben
• Kontodaten, Zugangsdaten und Passwörter niemals über Telefon oder E-Mail preisgeben. Banken und andere seriöse Geschäftspartner werden Sie niemals am Telefon oder per E-Mail zur Preisgabe von Passwörtern und Zugangsdaten auffordern
• Öffnen Sie nicht leichtfertig Ihre E-Mails, da diese oft mit Schadsoftware belastet sein können. Nutzen Sie die 3-Sekunden-Regel um das Risiko zu verringern. Nehmen Sie sich einen Moment Zeit und prüfen Sie den Namen und die Adresse des Absenders. Prüfen Sie ebenfalls, ob der Betreff sinnvoll erscheint und keine Schreibfehler aufweist. Besonders kritisch sollten Sie bei Anhängen sein. Überlegen Sie, ob Sie einen Anhang erwarten, ob der Dateiname und das Dateiformat stimmig sind und auch ob die Größe der Datei zum angeblichen Inhalt passt
• Bei ungewöhnlichen Zahlungsanweisungen sollten Kontrollmechanismen greifen. Zur Sicherheit immer Rücksprache mit dem Vorgesetzten oder dem Auftraggeber halten und den Auftrag nochmals bestätigen lassen
• Führen Sie Unternehmensinterne Kontrollmechanismen ein. Zum Beispiel ein wechselndes Codewort, mit dem sich ein Mitarbeiter legitimieren kann.

Cyberkriminelle werden immer raffinierter, der Schutz von exali.de auch

Geschulte Mitarbeiter und eine gute IT-Infrastruktur sind effektive Schutzmechanismen gegen Cyberkriminelle. Aber die Angreifer schlafen nicht und finden immer neue Schlupflöcher, durch die sie sich unberechtigten Zugriff auf Unternehmensdaten verschaffen können. Und selbst vorsichtige Mitarbeiter können nicht alle Betrugsversuche fehlerfrei erkennen. Daher ist es umso wichtiger das eigene Business umfassend vor den Folgen der zunehmenden Cyberkriminalität zu schützen.

Mit einer Berufshaftpflichtversicherung über exali.de ist Ihr Unternehmen oder Ihre Tätigkeit als Freelancer bestens versichert. Vertrauensschäden durch eigene Mitarbeiter (z. B. Griff in die Unternehmenskasse) und Schäden durch Social Engineering (z. B. irrtümliche Überweisung aufgrund von Betrugsversuchen) sind in allen Haftpflichtversicherungen über exali.de kostenlos mitversichert.
Optional können Sie Ihre Berufshaftpflicht mit verschiedenen, auf Ihr Business zugeschnittenen Zusatzbausteinen erweitern.

Mit der Datenschutz- und Cyber-Eigenschaden-Deckung (DCD) schützen Sie Ihr Business vor den unkalkulierbaren Risiken der Cyberkriminalität. Der Versicherer übernimmt zum Beispiel die Kosten für die Bereinigung und Wiederherstellung Ihrer IT-Systeme, PR-Krisenberatung und stellt Ihnen spezialisierte Anwälte zur Seite.

Sie haben noch Fragen? Rufen Sie uns gerne an! Bei exali.de gibt es keine Warteschleife und kein Callcenter. Ihr persönlicher Beratungsexperte ist gerne für Sie da!