Social Engineering: Sicherheitsfaktor Mensch
Wie Sie perfide Maschen erkennen können
Social Engineering ist eine fiese Betrugsmasche, die gezielt menschliche Charaktereigenschaften wie Gutgläubigkeit oder Neugier ausnutzt. Wie Sie sich und Ihr Unternehmen schützen können.
Vertrauen, Gutmütigkeit und Hilfsbereitschaft sind charakterliche Eigenschaften, die wir Menschen gerne innehaben und nach außen tragen wollen. Den meisten Menschen wurden diese Werte im Kindesalter gezielt anerzogen.
Perfider Weise machen sich Hacker eben diese Eigenschaften zu Nutze. Social Engineering nennt sich das. Dabei werden auf zwischenmenschlicher Basis Mitarbeitende eines Unternehmens manipuliert oder ausgetrickst, um so beispielsweise an Unternehmensdaten heranzukommen.
"Cyber-Kriminelle verleiten das Opfer auf diese Weise beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren", schreibt das BSI zu der aktuellen Thematik.
Eine beliebte und leider oft effektive Masche ist zum Beispiel der Systemadministrator, der anruft und unter einem Vorwand sensible Daten erschleichen will. Dabei wird dann von einem Systemupdate oder Ähnlichem gesprochen. Der gutgläubige Mitarbeiter kooperiert – und so schnell ist eine ernsthafte Sicherheitslücke entstanden.
Neugier kann zum Sicherheitsrisiko werden
Gleichermaßen können sich Menschen getarnt als Techniker oder Lieferanten Zutritt zum Gebäude verschaffen und dort Viren installieren, Daten ausspähen oder anderes Schundwerk treiben. Beliebt ist auch ein „verlorener“ USB-Stick auf dem Firmenparkplatz. Hier wird gezielt mit der Neugier der Menschen gespielt. Denn: Schließlich will man ja wissen, was auf dem Speicher zu sehen ist, oder?
Häufiger hingegen bieten digitale Kommunikationsflächen zunehmend verschiedene, potenzielle Angriffsflächen für Hacker. So werden Phising-E-Mails nicht selten mit neugierig machenden oder peinlichen Inhalten gefüllt, um die Mitarbeitenden zum Öffnen und Klicken zu ermutigen. Auf diese Art und Weise können Passwörter, Adressen und andere Daten abgegriffen werden. Auch menschliche Emotionen Angst, Panik oder Scham werden bei diesem Trick gezielt ausgenutzt.
Technical Consultant IT-Security Thomas Schultheiß empfiehlt Mitarbeitenden deshalb eine gewisse Portion Misstrauen. „Nur weil ich per E-Mail, Chat oder Telefon zu etwas aufgefordert werde, heißt das nicht, dass ich direkt handeln muss. Im Zweifelsfall lohnt es sich mit der IT-Abteilung zu sprechen und den Fall abzuklären.“
Das BSI rät überdies zu diesen Vorsichtsmaßnahmen:
- Verantwortungsvoller Umgang mit Sozialen Netzwerken, Schutz der eigenen Privatsphäre und vor allem Schutz von jobbezogenen Aussagen
- Passwörter, Zugangsdaten oder Kontoinformationen sollen niemals per Telefon oder E-Mail geteilt werden. Seriöse Firmen würden diese nicht so abfragen, sondern in persona
- Vorsicht gilt bei E-Mails von unbekannten Absendern. Im Zweifelsfall sollen solche E-Mails lieber direkt gelöscht werden, ohne sie vorher zu öffnen
- Vergewissern Sie sich ggf. durch einen Anruf, dass es sich um eine legitime E-Mail handelt, und befragen sie auch Ihr IT-Team
- Lassen Sie nicht gutgläubig jeden Menschen mit durch die Eingangstüren des Unternehmens schlüpfen. Nutzen Sie Sicherheitssysteme an den Türen und arbeiten Sie mit gezielten Anmeldungen für den Zutritt