+49 (0) 821 80 99 46-0
Rückruf anfordern
zum Kontaktformular
+49 (0) 821 80 99 46-0
exali.de Mein Business bestens versichert
Mein exali Login
exali.de
  • Versicherungen

    IT und Engineering

    IT-Haftpflicht

    Kreative und Agenturen

    Media-Haftpflicht

    Unternehmensberater

    Consulting-Haftpflicht

    Rechtsanwälte

    Anwalts-Haftpflicht

    eCommerce-Versicherungen

    Webshop-Versicherung
    Portal-Versicherung

    Architekten und Ingenieure

    Architektenhaftpflicht
    Haftpflicht für Ingenieure

    Manager und Beauftragte

    Firmen D&O-Versicherung
    Persönliche D&O Versicherung

    Weitere Versicherungen

    Haftpflicht für Dienstleister
    Cyber-Versicherung

    Allgemein

    Berufshaftpflichtversicherung
    Betriebshaftpflichtversicherung
    Vermögensschadenhaftpflicht
     

    Versicherungslexikon

    Glossar
    Ausgewählte Berufe
  • News & Stories
  • Blog
  • Produktfinder
    Produktfinder
  • Mein exali Login
"Versicherungsschutz, der auf Ihre Bedürfnisse angepasst ist"
Alberto Solorzano Kraemer
Software-/Webentwicklung & Projektassistenz
Ihr Business bestens versichert
Alberto Solorzano Kraemer
Software-/Webentwicklung & Projektassistenz
Home / News&Stories /
Social Engineering: Wie der Mensch zum Risiko wird und wie sich Unternehmen schützen können
Schwachstelle Mensch
Schwachstelle Mensch

Social Engineering: Wie der Mensch zum Risiko wird und wie sich Unternehmen schützen können

Beitrag von exaliBeitrag von exaliexali
Beitrag von exaliBeitrag von exaliexali
Montag, 19. Oktober 2020
Montag, 19. Oktober 2020
Zurück zur Übersicht

Haben Ihre Mitarbeiter Cyberkriminellen bereits die Tür zu sensiblen Unternehmensdaten geöffnet? Dann sind sie nicht alleine! Denn egal ob Schadsoftware oder Betrugsversuche, Angreifer suchen sich das schwächste Glied in der Kette aus und so gerät der Mensch selbst zunehmend ins Fadenkreuz von Hackern und Betrügern. Erfahren Sie jetzt, wie Sie Ihr Unternehmen vor sogenannten Social Engineering Attacken schützen können.

Update: Cybercrime-Studie - Tausende Unternehmensdaten im Darknet

Eine Studie des Gesamtverbands der Deutschen Versicherungswirtschaft (GDW) zeigt, wie lax in kleinen und mittelständischen Unternehmen mit sensiblen Daten umgegangen wird. 1019 Unternehmen mit weniger als 250 Mitarbeitern und einem Umsatz von höchstens 50 Millionen Euro im Jahr wurden in der Studie getestet. Mit dem Analyse-Tool „Cysmo“ wurde das Darknet nach Daten dieser Firmen durchsucht. Das erschreckende Ergebnis: Infos über 543 Unternehmen (also 53 Prozent) wurden gefunden, darunter 6.500 E-Mail-Adressen mit zugehörigen Passwörtern.

Daten im Darknet

 

Wie kommt es dazu? Mitarbeiter nutzen Ihre Firmen-Mail-Adresse, um sich in Onlineshops, in sozialen Medien oder auf Gaming-Webseiten anzumelden. Werden diese Seiten gehackt, landen die Mail-Adressen und Passwörter im Darknet. Es geht aber noch schlimmer: Die Studie hat außerdem ergeben, dass einige Mitarbeiter sich mit ihrer beruflichen Mail-Adresse auf Dating- und Porno-Seiten anmeldeten.

Das Problem: Die private Nutzung beruflicher Mail-Adressen ist in nur wenigen Unternehmen verboten, die meisten verzichten auf eine Regelung:

Umfrage, ob dienstliche Mail-Accounts privat genutzt werden dürfen

 

Dabei ist die Mail immer noch die beliebteste Möglichkeit von Cyberkriminellen, sich Zugang zu Unternehmen zu verschaffen. Sie setzen darauf, dass Mitarbeiter schädliche Links anklicken oder Anhänge öffnen:

Statistik: So erfolgen Cyberangriffe

 

Der GDV-Cyberexperte Peter Graß rät daher, private und dienstliche E-Mail-Adresse immer strikt voneinander zu trennen und niemals dasselbe Passwort zu nutzen.

Wie Cyberkriminelle Mitarbeiter nutzen und manipulieren, um an sensible Daten zu gelangen, können Sie nachfolgend in unserem Artikel zum Social Engineering nachlesen. Außerdem finden Sie Tipps, wie Sie Ihr Unternehmen schützen können:

Was ist Social Engineering?

Social Engineering ist die gezielte Manipulation von Menschen. Die Angreifer nutzen dabei die Hilfsbereitschaft, das Vertrauen oder die Angst vor Autoritäten aus, um die Opfer dazu zu verleiten, Sicherheitsvorkehrungen auszuschalten oder sensible Informationen preiszugeben.

Social Engineering gibt es in den verschiedensten Varianten und die Angreifer werden dabei immer kreativer und vor allem auch besser. Wir haben für Sie einen Überblick der gängigen Maschen der Betrüger zusammengestellt:

Phishing-Mail

Die wohl bekannteste und am weitesten verbreitete Form des Social Engineering ist die Phishing-Mail. Die Mail stammt meist aus einer vermeintlich vertrauenswürdigen Quelle (zum Beispiel von einem Vorgesetzten oder von einer Bank) und zielt darauf ab, dass der Empfänger auf einen Link klickt, der zu einer gefälschten Internetseite führt. Auf dieser Seite sollen dann Zugangsdaten eingegeben werden, die die Angreifer erbeuten wollen. Auch im Anhang der Mail kann sich Schadsoftware in Dokumenten verstecken. Glauben Sie, dass Sie eine echte Mail von einer Phishing-Mail unterscheiden können? Dann testen Sie Ihr Wissen bei diesem Phishing-Mail-Quiz.

Pretexting-Angriff

Beim Pretexting-Angriff täuscht der Angreifer falsche Tatsachen vor, um das Opfer dazu zu verleiten, Login-Daten preiszugeben oder den Zugang zu sensiblen Systemen zu gewähren. Dabei gibt sich der Angreifer oftmals als Mitarbeiter der IT-Abteilung aus, der die Zugangsdaten benötigt um ein Problem im System zu beheben.

Spear-Phishing-Attacke

Beim Spear-Phishing nutzen Cyberkriminelle auf die Zielperson zugeschnittene Informationen, um sich deren Vertrauen zu erschleichen und besonders authentisch zu wirken. Die Informationen werden im Vorfeld aus den Social-Media-Kanälen des Opfers gesammelt und durch weitere Informationen aus dem Internet und anderen Quellen ergänzt. Die umfassende Recherche sorgt für höhere Erfolgsquoten und bringt das Opfer oftmals dazu, sensible Daten preiszugeben, da der Täter seine wahre Identität durch die umfassenden Informationen über das Opfer verschleiern kann. Die Angreifer versuchen Gemeinsamkeiten mit der Zielperson aufzubauen, das sorgt für Sympathie und Vertrauen.

Physische Attacke

Wenn Sie jetzt denken, dass Angriffe lediglich über das Telefon und das Internet erfolgen, dann irren Sie sich. Denn Cyberkriminelle nutzen auch physische Attacken, um sich Zugang zu Unternehmen zu verschaffen. Ein Beispiel hierfür ist ein liegengelassener USB-Stick. Dieser wird mit Schadsoftware versehen und an einem Ort platziert, an dem er leicht gefunden wird. Findet ein Mitarbeiter diesen USB-Stick, möchte dieser wahrscheinlich herausfinden, wem er gehört und welche Daten sich darauf befinden. Sobald der USB-Stick an den PC angeschlossen wird installiert sich die Schadsoftware auf dem Rechner und sammelt heimlich Informationen oder verschlüsselt wichtige Daten im System.

Die Angreifer erscheinen gelegentlich auch selbst am „Tatort“. Getarnt als Techniker, Mitarbeiter oder Dienstleister verschaffen sich die Täter so Zugang in die Geschäftsräume um dort eventuell Informationen und sensible Daten zu sammeln oder sie leihen sich ein Telefon oder Computer eines Mitarbeiters aus um darauf heimlich Schadsoftware zu platzieren.

Diese kurze und nicht abschließende Liste soll Ihnen zeigen, wie umfangreich die Methoden der Kriminellen sind. Ein aktueller Fall aus den Medien zeigt, dass die Angreifer selbst Telefonanrufe perfekt fälschen können.

Anruf vom falschen Chef: 220.000 Euro Schaden!

Cyberkriminelle haben es gezielt auf Geschäftsführer und zahlungsberechtigte Mitarbeiter von Unternehmen abgesehen. So auch in einem aktuellen Fall aus Großbritannien. Der CEO eines Energieversorgers wurde (vermeintlich) vom CEO des deutschen Mutterkonzerns angerufen. Er sollte 220.000 Euro an einen Zulieferer überweisen. Das Geld werde dann in Kürze vom Mutterkonzern rückerstattet. Die Begründung? Der angebliche Chef des deutschen Mutterkonzerns wollte die Überweisung selbst in Auftrag geben, da es in Deutschland aber bereits nach 16 Uhr war, wäre das Geld erst montags beim Empfänger angekommen.

Aufgrund der Zeitverschiebung war es in Großbritannien noch vor 16 Uhr und somit wäre die Überweisung noch rechtzeitig abgewickelt worden. Das kuriose an der Geschichte: Obwohl der CEO der Tochterfirma von dieser Art des Telefonbetrugs gehört hatte, fiel er auf die Betrüger rein. Zum einen weil die Begründung für die Überweisung plausibel war, zum anderen weil die Betrüger ein KI-(Künstliche Intelligenz) gestütztes Programm verwendeten, dass die Stimme des deutschen CEO inklusive Akzente nahezu perfekt imitierte. Der CEO der britischen Tochterfirma glaubte, er würde wirklich mit seinem deutschen Chef sprechen, weil er dessen Stimme wiedererkannte.

Das Geld wurde wie gewünscht überwiesen. Erst als die Betrüger erneut anriefen und weitere Überweisungen abwickeln wollten, flog der Betrug auf, denn die versprochene Rückerstattung war noch nicht eingetroffen und statt aus Deutschland kam der Anruf dieses Mal von einer österreichischen Nummer. Obwohl der Betrug auffiel waren die 220.000 Euro bereits über alle Berge.

Diese Art des Betrugs ist auch als „Chef-Masche“, „Fake President Trick“, „CEO-Fraud“ oder „CEO-Betrug“ bekannt und hat in den letzten Jahren stark zugenommen. Neben den Social Engineering Attacken bedrohen noch weitere Risiken Ihr Business. Unser Cybercrime-Ausblick 2019 zeigt Ihnen, dass Krypto-Miner ebenfalls auf dem Vormarsch sind. Den Unternehmen entstehen dabei immer höhere Schäden.

So schützen Sie sich und Ihre Mitarbeiter vor Social Engineering

Wenn es um die Sicherheit von sensiblen Daten und die Abwehr von Schadsoftware geht, dann investieren bereits viele Unternehmen in eine starke IT-Infrastruktur, Antivirensoftware und Sicherheitsmaßnahmen. Damit Sie das Risiko von Social Engineering Attacken reduzieren können, haben wir eine Checkliste für Sie zusammengestellt:

  • Schulen Sie Ihre Mitarbeiter und sensibilisieren Sie sie für Social Engineering Attacken. Aufmerksame und misstrauische Mitarbeiter sind Ihre beste Abwehr gegen die Betrugsversuche
  • Gehen Sie verantwortungsvoll mit Unternehmensdaten in den sozialen Medien um. Cyberkriminelle recherchieren vor ihren Angriffen ausführlich im Netz und kommen so an wichtige Informationen, die ihnen bei gezielten Angriffen nutzen können
  • Angehörige des Unternehmens sollten in privaten und beruflichen sozialen Netzwerken keine vertraulichen Informationen über ihre Arbeit oder den Arbeitgeber preisgeben
  • Kontodaten, Zugangsdaten und Passwörter niemals über Telefon oder E-Mail preisgeben. Banken und andere seriöse Geschäftspartner werden Sie niemals am Telefon oder per E-Mail zur Preisgabe von Passwörtern und Zugangsdaten auffordern
  • Öffnen Sie nicht leichtfertig Ihre E-Mails, da diese oft mit Schadsoftware belastet sein können. Nutzen Sie die 3-Sekunden-Regel um das Risiko zu verringern. Nehmen Sie sich einen Moment Zeit und prüfen Sie den Namen und die Adresse des Absenders. Prüfen Sie ebenfalls, ob der Betreff sinnvoll erscheint und keine Schreibfehler aufweist. Besonders kritisch sollten Sie bei Anhängen sein. Überlegen Sie, ob Sie einen Anhang erwarten, ob der Dateiname und das Dateiformat stimmig sind und auch ob die Größe der Datei zum angeblichen Inhalt passt
  • Bei ungewöhnlichen Zahlungsanweisungen sollten Kontrollmechanismen greifen. Zur Sicherheit immer Rücksprache mit dem Vorgesetzten oder dem Auftraggeber halten und den Auftrag nochmals bestätigen lassen
  • Führen Sie Unternehmensinterne Kontrollmechanismen ein. Zum Beispiel ein wechselndes Codewort, mit dem sich ein Mitarbeiter legitimieren kann.

Cyberkriminelle werden immer raffinierter, der Schutz von exali.de auch

Geschulte Mitarbeiter und eine gute IT-Infrastruktur sind effektive Schutzmechanismen gegen Cyberkriminelle. Aber die Angreifer schlafen nicht und finden immer neue Schlupflöcher, durch die sie sich unberechtigten Zugriff auf Unternehmensdaten verschaffen können. Und selbst vorsichtige Mitarbeiter können nicht alle Betrugsversuche fehlerfrei erkennen. Daher ist es umso wichtiger das eigene Business umfassend vor den Folgen der zunehmenden Cyberkriminalität zu schützen.

Berufshaftfpflicht

Mit einer Berufshaftpflichtversicherung über exali.de ist Ihr Unternehmen oder Ihre Tätigkeit als Freelancer bestens versichert. Vertrauensschäden durch eigene Mitarbeiter (z. B. Griff in die Unternehmenskasse) und Schäden durch Social Engineering (z. B. irrtümliche Überweisung aufgrund von Betrugsversuchen) sind in allen Haftpflichtversicherungen über exali.de kostenlos mitversichert.
Optional können Sie Ihre Berufshaftpflicht mit verschiedenen, auf Ihr Business zugeschnittenen Zusatzbausteinen erweitern.

Mit der Datenschutz- und Cyber-Eigenschaden-Deckung (DCD) schützen Sie Ihr Business vor den unkalkulierbaren Risiken der Cyberkriminalität. Der Versicherer übernimmt zum Beispiel die Kosten für die Bereinigung und Wiederherstellung Ihrer IT-Systeme, PR-Krisenberatung und stellt Ihnen spezialisierte Anwälte zur Seite.

Sie haben noch Fragen? Rufen Sie uns gerne an! Bei exali.de gibt es keine Warteschleife und kein Callcenter. Ihr persönlicher Beratungsexperte ist gerne für Sie da!

 

© Jan Mörgenthaler – exali AG
vorheriger Artikel
 
zurück
 
nächster Artikel
Diese Artikel könnten Sie auch interessieren
Viren, Würmer und Trojaner: Welche Unterschiede es gibt und wie Sie sich schützen können
Viren, Würmer und Trojaner: Welche Unterschiede es gibt und wie Sie sich schützen können
Risiko Ransomware: So schützen Sie Ihr Business vor der digitalen Geiselnahme
Risiko Ransomware: So schützen Sie Ihr Business vor der digitalen Geiselnahme
Kampf der KI: Cyberkriminelle setzen auf Automatisierung
Kampf der KI: Cyberkriminelle setzen auf Automatisierung
„Du bist ein großer Perverser!“ Erpresser-E-Mail oder doch nur Spam?
„Du bist ein großer Perverser!“ Erpresser-E-Mail oder doch nur Spam?
Diese Artikel könnten Sie auch interessieren
Viren, Würmer und Trojaner: Welche Unterschiede es gibt und wie Sie sich schützen können
Viren, Würmer und Trojaner: Welche Unterschiede es gibt und wie Sie sich schützen können
Risiko Ransomware: So schützen Sie Ihr Business vor der digitalen Geiselnahme
Risiko Ransomware: So schützen Sie Ihr Business vor der digitalen Geiselnahme
Kampf der KI: Cyberkriminelle setzen auf Automatisierung
Kampf der KI: Cyberkriminelle setzen auf Automatisierung
„Du bist ein großer Perverser!“ Erpresser-E-Mail oder doch nur Spam?
„Du bist ein großer Perverser!“ Erpresser-E-Mail oder doch nur Spam?
0 Kommentare
Schreiben Sie einen Kommentar
Bitte füllen Sie alle als * Pflichtfelder gekennzeichneten Bereiche aus.

Durch Betätigen des Buttons „Absenden“ werden die in das obige Formular eingetragenen Daten zum Zwecke der Verarbeitung Ihrer Anfrage erhoben und verarbeitet. Sämtliche Daten werden verschlüsselt übertragen und nur im Rahmen der Angaben in den Datenschutzhinweisen verarbeitet. Sie haben ein Widerspruchsrecht mit Wirkung für die Zukunft.
Kooperationspartner
Kooperationspartner
Kooperationspartner

Versicherungen

  • IT-Haftpflicht
  • Media-Haftpflicht
  • Consulting-Haftpflicht
  • Anwalts-Haftpflicht
  • eCommerce-Versicherungen
  • D&O Versicherung
  • Architektenhaftpflicht
  • Haftpflicht für Ingenieure
  • Haftpflicht für Dienstleister
  • Cyber-Versicherung
  • Hausverwalter-Haftpflicht
  • Ausgewählte Berufe
  • Schaden melden

News & Stories

  • Artikel
  • Videos
  • Glossar
  • Newsflash abonnieren
  • RSS Feed abonnieren

Kooperationspartner

  • GULP
  • freelancermap
  • BITMi
  • k2 Partnering Solutions
  • Kontist
  • sevDesk
  • Kooperationspartner werden

Über uns

  • Über exali.de
  • Karriere
  • Kontakt
  • Impressum
  • Nutzungsbedingungen
  • Datenschutz
  • Widerrufsbelehrung
© exali AG, alle Rechte vorbehalten
Cookie-Einstellungen

Um die Funktion unseres Online-Tarifrechners auf exali.de zu gewährleisten, ist der Einsatz von Cookies notwendig. Zusätzliche Cookies, die für statistische Zwecke oder personalisierte Inhalte genutzt werden, kommen nur dann zum Einsatz, wenn Sie diesen zustimmen. Um Ihre Cookie-Einstellungen anzupassen, klicken Sie auf die entsprechenden Checkboxen und anschließend auf „Auswahl bestätigen“. Alternativ können Sie mit dem Klick auf „Alles auswählen“ allen Cookies zustimmen. Ihre Cookie-Einstellungen können Sie jederzeit ändern. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Impressum
 
Details anzeigen Details ausblenden
Notwendig
Diese Cookies sind für den Betrieb der Seite notwendig. Hierzu zählen beispielsweise die Funktion des Online-Tarifrechners und sicherheitsrelevante Funktionen.

Statistik

Für unsere User möchten wir Angebote und Inhalte auf unseren Webseiten stets verbessern. Hierfür erfassen wir mit Google Analytics anonymisierte Daten für Analysen und Statistiken und werten diese aus. Mit diesen Cookies können wir beispielsweise erfassen, welche Infotexte besonders häufig angeklickt werden und entsprechend unsere Informationen optimieren.

Personalisierung

Mit diesen Cookies können wir den Service für unsere User verbessern und Ihnen individualisierte Inhalte, passend zu Ihren Interessen, anzeigen. Mit dem LinkedIn Insight-Tag, Google Ads und dem Facebook Pixel können wir Ihnen auch plattformübergreifend passende Inhalte ausspielen.
Auswahl bestätigen
alles auswählen und bestätigen
Ihr Webbrowser ist leider veraltet! Aktualisieren Sie bitte Ihren Browser, um alle Funktionen im Beitragsrechner nutzen zu können.
Wählen Sie das Land, in dem Sie Ihren Geschäftssitz haben
Choose the location of your headquarter
Je nach Land können die von exali angebotenen Versicherungen leicht variieren. Bitte wählen Sie das Land, in dem Sie Ihren Geschäftssitz haben, um das für Sie passende Angebot zu erhalten.
Depending on your country, the insurance offered by exali may vary slightly. Please select the country where you have your headquarter to get the offer that suits you best.