Social Engineering zielt auf menschliche Schwächen ab: Vermeintliche E-Mails von Bekannten sollen Ihre Neugier und Hilfsbereitschaft ansprechen, Mitteilungen von Banken bieten verlockende Angebote oder Behörden fordern Sie zur Kooperation auf. Doch hinter den oft vertraulich wirkenden Nachrichten stecken in Wahrheit Kriminelle. Diese wollen Ihnen sensible Daten entlocken oder Sie zu unbedachten Klicks auf Webseiten mit Schadsoftware verleiten.
Die Methoden von Social Engineering sind vielfältig: Sie erstrecken sich von E-Mails mit angeblich dringenden Handlungsanweisungen über fingierte Verlosungsgewinne bis hin zu Hilferufen von Verwandten, die vermeintlich im Ausland festsitzen. Auch per Telefon oder mittels gezielt versendeter „Werbeartikel“ versuchen Kriminelle, an sensible Informationen zu gelangen.
Sie können derartige Manipulationsversuche leicht durchschauen, wenn Sie auf die richtigen Warnzeichen achten: In diesem Artikel erfahren Sie, wie Kriminelle Sie mittels Social Engineering zu unbedachten Handlungen verführen wollen und wie Sie sich am besten dagegen wappnen.
Social Engineering bedeutet wörtlich übersetzt „soziale Manipulation“. Sie soll durch Beeinflussungen bestimmte Verhaltensweisen hervorrufen – meist, um dadurch vertrauliche Informationen oder einen monetären Vorteil zu erlangen. Dies kann zum Beispiel die Freigabe von Zugangsdaten oder die Angabe persönlicher Informationen beinhalten. Es könnte auch in der Bereitstellung finanzieller Mittel oder im vermeintlichen Kauf eines Produkts (beispielsweise Karten für bereits ausverkaufte Konzerte oder aktuelle Smartphones) durch das Opfer resultieren.
Im Bereich der Informationstechnologie gibt es Social Engineering bereits seit Jahrzehnten. Zunächst kam diese Vorgehensweise in der analogen Telefonie zum Einsatz: Schon in den 1980er-Jahren gaben sich Kriminelle bei Telefongesellschaften als Systemadministrator:innen aus, um Passwörter zu erfragen. Damit stellten sie daraufhin kostenlose Modemverbindungen für sich her. Dies war Teil des sogenannten „Phreaking“, einem Kofferwort aus den englischen Begriffen Phone für Telefon und Freak für „verrückter Typ“, das allgemein die Manipulation von Telefonverbindungen bezeichnet.
Ein wesentliches Merkmal von Social Engineering ist die oftmals sehr perfide Kombination aus Wahrheitsgehalt und Täuschung. Die Kriminellen haben vorher Dinge über ihr Opfer in Erfahrung gebracht und nutzen dieses Wissen aus. Fingierte Telefonanrufe, Kurznachrichten in Messengern und Social Media sowie E-Mails suggerieren eine Bekanntschaft oder Beziehung zum Opfer. Damit erwecken die Absender:innen Vertrauen oder sprechen Gefühle wie Neugier und Sorge, aber auch den Wunsch nach sozialer Angepasstheit an, um unbedachte Handlungen zu provozieren.
Lookout: Die Sicherheitslösung für mobile Endgeräte
Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.
Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.
Bei Social Engineering handelt es sich um gezielte Angriffe auf bestimmte Personen. Kriminelle recherchieren vorab, inwiefern eine Zielperson lohnenswert erscheint (siehe auch Whaling als Sonderform des Spear Phishing). Beispielsweise kann das potenzielle Opfer eine hohe Position in einem Unternehmen bekleiden und damit Zugang zu finanziellen Ressourcen versprechen. Die Person kann aber auch als sorglos im Umgang mit persönlichen Daten erscheinen, indem sie zum Beispiel auf Social-Media-Plattformen oder an anderen Stellen im Internet viel von sich preisgibt.
Wenn die Angreifer:innen über ausreichend Informationen verfügen, entwerfen sie eine Angriffsstrategie: Auf welche Art können sie das Opfer am besten zu einer schnellen Handlung bringen, um an Geld oder wertvolle Informationen zu gelangen? Eine dringende Anweisung von Vorgesetzten könnte beispielsweise neue oder junge Mitarbeiter:innen unter Druck setzen. Befindet sich das Unternehmen der Zielperson möglicherweise in Schwierigkeiten? Dann könnte ein fingiertes Schreiben der Hausbank Wirkung zeigen. Personen mit Familie könnten hingegen durch die Sorge um ein Familienmitglied in Not manipulierbar sein.
Social Engineering läuft nach dem Schema „Recherche, Ködern, Kontrolle, Flucht“ ab.
Social Engineering setzt im nächsten Schritt vor allem auf Täuschung: Die Kriminellen verschleiern bei Angriffen ihre wahre Identität und geben sich als jemand anderes aus. Bevorzugt bedienen sie sich Berufen oder Rollen, die eine Hilfe für die Opfer vorgaukeln. Verbreitet sind dabei vermeintliche Mitarbeiter:innen von Banken oder Telekommunikationsunternehmen, die vorgeben, Probleme mit Konten oder Accounts lösen zu können. In Wahrheit wollen sie aber an Zugangsdaten oder Kontoinformationen gelangen.
Die Täter:innen appellieren dabei an Ihre guten Absichten als Opfer: Anstatt bei der Behebung eines Problems im Unternehmen zu helfen, öffnen Sie allerdings ein Einfallstor in eine ansonsten sichere IT-Umgebung. Durch die Erlangung von Zugangsdaten und/oder die Einspeisung von Schadsoftware in das Unternehmensnetzwerk kann in der Folge erheblicher Schaden entstehen: Je mehr administrative Rechte die Kriminellen erlangen, desto freier können sie sich dann in der Infrastruktur des Netzwerks bewegen.
Aus diesem Grund zielen derartige Angriffe häufig auf Personen in der Führungsebene von Unternehmen ab. Neben dem Diebstahl finanzieller Ressourcen haben es Angreifer:innen auf Geschäftsgeheimnisse und brisantes Wissen über interne Vorgänge abgesehen. Während erstere sich gut verkaufen lassen, bieten zweitere unter Umständen erhebliches Erpressungspotenzial.
Beispiele für Social Engineering
Social Engineering zielt immer auf das unvorsichtige Verhalten der Opfer ab. Entsprechend gibt es unterschiedliche Arten, diese dazu zu verleiten. Darunter fallen:
Phishing
Ein weitverbreitete Methode ist das Phishing (abgleitet vom englischen Begriff für Angeln: fishing). Bei einem derartigen Angriff „ködern“ Kriminelle potenzielle Opfer mit E-Mails, die auf den ersten Blick aus einer vertrauenswürdigen Quelle stammen. Mithilfe dieser E-Mails wollen die Angreifer:innen an sensible Informationen oder Zugangsdaten (zum Beispiel zu Bankkonten oder geschäftlichen Accounts) gelangen. Häufig erkennen Opfer eine Phishing-E-Mail erst, wenn es zu spät ist.
Noch einen Schritt weiter geht das im Social Engineering vor allem eingesetzte Spear Phishing (übersetzt: Speerfischen). Vor dem Versand einer gezielten Phishing-E-Mail an eine bestimmte Person informieren sich die Angreifer:innen über das Opfer. Arglos im Internet geteilte Informationen bieten dabei häufig gute Anhaltspunkte. Eine möglichst unverdächtige und personalisierte E-Mail suggeriert auf dieser Basis eine Kenntnis vermeintlicher Sachverhalte oder Personen. Auch hier soll das Opfer dazu verleitet werden, auf einen Link zu klicken. Dort eingegebene Zugangsdaten oder Kontoinformationen landen bei den Kriminellen.
Secure Enterprise Messaging
Unternehmen, die DSGVO-konforme Kommunikation gewährleisten wollen, kommen um eine Secure Enterprise Messaging-Lösung nicht herum.
Mit Vodafone CorporateDataAccess 5.0 erhalten Sie eine schlüsselfertige Lösung, um mobile Endgeräte wie Smartphones, Laptops und Tablets via Mobilfunknetz mit Ihrem Unternehmen zu verbinden. Und das alles ohne zusätzliche Software oder Apps.
Bei der Social-Engineering-Methode Baiting (englisch für ködern) geht es darum, die Neugier des Opfers durch einen verlockenden Inhalt oder ein vorteilhaftes Angebot anzusprechen.
Hier setzen zwei grundlegend unterschiedliche Vorgehensweisen ein:
Die erste beschränkt sich auf den Online-Bereich und versucht, Opfer mit Versprechungen auf Gewinne oder Gratisdownloads von beispielsweise Filmen oder Musik zu ködern. Auf einer eigens dafür eingerichteten Webseite sollen sie spezifische Anmeldinformationen eingeben, die dann von den Kriminellen missbraucht werden. Auch Schadsoftware (Malware) kann dadurch auf Rechner gelangen.
Die zweite Variante arbeitet mit einer physischen Komponente: Hier wird beispielsweise behauptet, dass das Opfer einen elektronischen Gegenstand, wie etwa einen Audioplayer oder einen USB-Stick gewonnen habe. Alternativ versenden Kriminelle diese Geräte als vermeintliche Belohnung für die Teilnahme an einer Umfrage oder als Werbegeschenk. Auf den Geräten ist Schadsoftware enthalten. Verbinden die Opfer die Geräte mit einem Computer, wird dieser mit der Malware infiltriert – idealerweise handelt es sich dabei im Unternehmensrechner mit sensiblen Informationen oder dem Zugang zu Firmennetzwerken.
CEO-Fraud
CEO-Fraud zielt als Teilbereich des Social Engineering auf das Hierarchiegefüge in Unternehmen ab. Dazu dient die gefälschte E-Mail eines CEO (Geschäftsführer:in) oder einer ähnlichen Führungspersönlichkeit, die Angestellte im Zweifel nicht ungelesen oder unbeantwortet lassen werden. Alternativ können auch Personen von Bundesbehörden als Absender dienen oder es treffen Anweisungen per klassischer Briefpost ein.
Die Mail weist die Opfer beispielsweise an, aus vermeintlich wichtigen Gründen einen Geldbetrag auf ein externes Konto zu überweisen, häufig findet sich dieses im Ausland. Oft fordern die Absender:innen dabei Geheimhaltung oder Eile ein. Besonders gut funktioniert diese Masche in Unternehmen, in denen eine vertikale oder autoritäre Führungskultur herrscht und in denen Widerspruch unerwünscht ist.
Pretexting
Pretexting geht noch einen Schritt weiter als Spear Phishing: Bei dieser Form des Social Engineering erfinden Kriminelle eine Geschichte oder einen Vorwand (englisch: Pretext), um das Vertrauen der Opfer zu erlangen. Dabei konstruieren die Angreifer:innen eine konkrete Person, deren Rolle sie für den Betrug einnehmen, sowie eine Situation als Grund für die Kontaktaufnahme. Mittels vorheriger Recherchen über das Opfer soll aus der passenden Kombination von Person und Situation eine Geschichte entstehen, die als möglichst glaubwürdig gilt.
Häufig angewendete Beispiele für den Betrug per Pretexting sind:
Geschäftskorrespondenz: Die Kriminellen geben sich als reale Person aus der Führungsebene der Firma des Opfers aus. Häufig werden die Opfer aufgefordert, diesen aus misslichen Situationen zu helfen, indem sie ihnen Kennwörter für sensible Unternehmensbereiche oder Bankdaten übermitteln. Statt bei den echten Führungskräften landen die Daten bei den Kriminellen.
Kontoaktualisierung: Die Kriminellen geben sich als Vertreter:innen eines Unternehmens wie etwa der Bank oder des Mobilfunkanbieters des Opfers aus. Sie bitten dann meist um eine Aktualisierung der Konto- oder Zugangsdaten aufgrund neuer Sicherheitsbestimmungen oder eines angeblich unautorisierten Zugriffs. Statt auf der richtigen Webseite landen die Opfer über einen Link auf einer gefälschten Seite, auf der die Kriminellen dann Konto- oder Authentifizierungsdaten entwenden.
Behörden: Die Kriminellen geben sich als Vertreter von staatlichen Behörden aus und behaupten, dass das Opfer in Schwierigkeiten stecke, etwa aufgrund von Steuervergehen oder eines Haftbefehls. Durch Zahlungen könnten Strafen wie Lohnpfändung oder ähnliches vermieden werden – das Geld landet bei den Kriminellen.
„Enkeltrick“: Diese Masche ist besonders bekannt und sollte nicht unterschätzt werden: Nach wie vor geht eine große Gefahr davon aus, ältere Personen als vermeintliche:r Enkel:in mit fingierten Geschichten zur Freigabe von Bankdaten oder zur Überweisung von Geldbeträgen zu verleiten.
Mittels Pretexting nehmen Kriminelle ihre potenziellen Opfer für ihr Anliegen ein. Meist erfolgt dies mittels einer möglichst glaubhaften Handlungsaufforderung.
Tailgaiting
Tailgaiting ist eine Angriffsmethode, die darauf abzielt, physischen Zugang zu geschützten Bereichen zu erlangen. Der englische Begriff beschreibt üblicherweise, wie ein Fahrzeug einem anderen dicht folgt. Diese Methode wenden Kriminelle auch bei dieser Form des Social Engineering an, um Daten zu stehlen, Zugang zu geschützten IT-Bereichen zu erlangen oder Schadprogramme zu installieren. Daneben besteht auch die Gefahr einer physischen Sabotage, beispielsweise durch die Zerstörung eines Serverraums oder den Diebstahl von Datenträgern.
Dementsprechend beschreibt Tailgaiting eine Mischform der klassischen Kriminalität und der Cyberkriminalität. Der Ansatz erfolgt jeweils über eine physische Komponente: Angreifer:innen suchen die Nähe von Zielpersonen, die über Zugang zu geschützten (IT-)Bereichen in Unternehmen oder anderen Organisationen verfügen, etwa zu Serverräumen, Rechenzentren oder Sicherheitsanlagen. Durch ein meist einfaches Täuschungsmanöver folgen die Kriminellen ihren Zielpersonen.
Dabei gehen sie üblicherweise wie folgt vor:
Die Angreifer:innen verhalten sich unauffällig und suggerieren die Zugehörigkeit zur jeweiligen Institution.
Kriminelle verwenden unterschiedliche Methoden, um vermeintlich begründet in einen zugangsbeschränkten Bereich zu gelangen. Beispiele sind: Vergesslichkeit als angebliche:r Kolleg:in, Unerfahrenheit oder Verwirrung als Neuling, Praktikant:in oder ähnliches, ein vorgeblicher Besuch oder eine Lieferung sowie der Einsatz einer gefälschten Identität.
Eine weitere Methode ist, ein IT-Gerät des Opfers „kurz mal auszuleihen“, zum Beispiel um E-Mails abzurufen. Stattdessen installieren die Kriminellen dann Schadsoftware, um sensible Daten zu stehlen.
Watering-Hole
Der sogenannte Watering-Hole-Angriff, grob übersetzt „Angriff am Wasserloch“, orientiert sich an der Methode von Räubern im Tierreich: Wie zum Beispiel ein Krokodil im Wasser auf ein durstiges Beutetier wartet, verstecken sich auch Angreifer:innen im Internet an besonders erfolgsversprechenden Orten. Die Kriminellen gehen hierbei jedoch nicht wahllos vor, sondern spionieren potenzielle Opfer vorher aus, beispielsweise mittels Spear Phishing.
Eine zielgerichtete Mail, etwa an eine Führungsperson in einem Unternehmen, wählt eine persönliche Ansprache und einen aktuellen Bezug. Auf dieser Grundlage fordern die vermeintlichen Absender:innen das Opfer zu einer Handlung auf: Meist sollen sie eine bestimmte Webseite besuchen und dort sensible Daten verifizieren.
Die E-Mail selbst ist dabei nur der Köder und enthält keine Malware – der Angriff erfolgt stattdessen auf der Zielseite: Entweder enthält diese von vornherein Schadcode, sogenannte Exploits, und infiziert den Rechner des Opfers sofort. Alternativ kann auch die Webseite den Download von Schadprogrammen auslösen. Meist handelt es sich dabei um Trojaner, die danach weitere Malware auf den infizierten Rechner laden. Auf diese Weise können die Kriminellen Zugang zu ganzen Unternehmensnetzwerken erlangen.
Sicherheitsrisiken und Schäden durch Social Engineering
Das größte Sicherheitsrisiko bei Social Engineering ist der Mensch. Technische Möglichkeiten wie Antivirenprogramme und Firewalls, die Cyberangriffe abwehren sollen, werden hierbei von den Kriminellen bewusst ausgehebelt. Gewährt die „Schwachstelle Mensch“ den Angreifer:innen Zugang zu sensiblen Daten, können für Unternehmen enorme Schäden entstehen.
Die Kriminellen sehen es dabei vor allem auf Personen ab, von denen sie sich weitreichende Zugangsrechte zu Systemen erhoffen: Das können Führungskräfte der mittleren und höheren Unternehmensebene sein, aber auch Mitarbeiter:innen im Verwaltungs- und Personalwesen. Diese müssen häufig firmenübergreifende Prozesse im Auge behalten und besitzen dementsprechende Rechte innerhalb des Netzwerks.
Gestohlene Daten können dabei äußerst vielfältig sein und je nach Zugang sämtliche Unternehmensbereiche erfassen: Personalakten und Kundendaten, sensiblen E-Mail-Verkehr mit Dritten, Informationen zu aktuellen und kommenden Projekten, technische Spezifikationen, Angaben zu Marketing und Distribution. Auch Informationen zu den Unternehmensfinanzen oder schlimmstenfalls der Zugang zu Bankkonten kann den Kriminellen hierbei in die Hände fallen.
Die erbeuteten Daten können zum Weiterverkauf an Konkurrenten dienen, aber auch der Erpressung mit der Drohung der Veröffentlichung. Vor allem im Bereich sensibler persönlicher Informationen oder kompromittierender Korrespondenz kommt letztere Methode häufig zum Einsatz. Theoretisch können die Angreifer:innen auch ganze Unternehmensnetzwerke lahmlegen und geben diese nur gegen Zahlung einer hohen Geldsumme wieder frei.
Vodafone Cyber-Security-Services
Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.
Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.
Social-Engineering-Attacken zielen mittels perfider Täuschungen oder Anreize darauf ab, dass Sie Informationen preisgeben. Um entsprechende Versuche von vornherein zu minimieren und Kriminellen möglichst wenig Angriffsfläche zu bieten, sollten Sie allgemein folgende Dinge im Unternehmen beachten:
Umsichtiges Verhalten: Sorgen Sie mittels Security-Awareness-Schulungen dafür, dass Ihre Mitarbeiter:innen möglichst wenig Informationen über sich im Internet frei zugänglich zu machen. Sensibilisieren Sie Ihre Belegschaft für fragwürdige E-Mail-Anfragen und sorgen Sie dafür, dass sie sich bei vermeintlichen Adressat:innen rückversichern, ob die Nachricht tatsächlich von diesen stammt.
Geringe Veröffentlichung von Daten: Geben Sie im Internet (zum Beispiel auf Ihrer Webseite, im Online-Shop und in Firmenprofilen auf Business-Plattfomen) keine konkreten Informationen zu Mitarbeiter:innen wie Namen und Durchwahlen preis. Achten Sie auf Social-Media-Plattformen darauf, Postings lediglich dem Freundeskreis zur Verfügung zu stellen.
Aktuelle Antiviren-Software: Halten Sie Software zur Abwehr von Viren und Malware auf allen Geräten im Unternehmen (stationär und mobil) auf dem aktuellen Stand.
Gut konfigurierter Spamfilter: Richten Sie Spamfilter ein, die stets dazulernen, um den Eingang fragwürdiger Mails (Spam-Mails) zu minimieren.
Aktuelle Soft- und Firmware: Sorgen Sie dafür, dass die Firmware auf Ihren Geräten sowie die verwendete Software immer die neueste Version aufweist.
Sichere Passwörter: Verwenden Sie in Ihrem Unternehmen ausschließlich sichere Passwörter (Kombination aus Buchstaben, Zahlen, Groß- und Kleinschreibung und Sonderzeichen). Nutzen Sie Passwörter niemals für mehr als einen Account oder für den Zugang zu mehreren Konten.
Zwei-Faktor-Authentifizierung: Stellen Sie sicher, dass der Zugriff nicht nur durch ein Passwort, sondern auch per zusätzlicher Authentifizierung auf einem Mobilgerät erfolgt (zum Beispiel mit Bestätigungscode, Fingerabdruck usw.).
Keine Administrationsrechte: Arbeiten Sie an Ihren Geräten nicht mit Administrationsrechten, um eine Neukonfiguration durch andere Personen als Ihre IT-Fachkräfte auszuschließen.
Sollte es tatsächlich einmal zu einem Datenleck in Ihrem Unternehmen kommen, ergreifen Sie die Sicherheitsmaßnahmen, die auch zur Abwehr anderer Angriffe im Rahmen der in Ihrem Unternehmen geltenden Richtlinien für Cyber-Security dienen. Sorgen Sie darüber hinaus für eine vertrauensvolle Unternehmenskultur, in der die Meldung solcher Vorfälle seitens der Mitarbeitenden nicht von Scham oder Angst vor Repressalien begleitet ist.
Social Hacking erkennen
Social Engineering funktioniert nicht, wenn das Opfer nicht „mitspielt“. Aus diesem Grund können Sie Ihr Unternehmen relativ einfach vor diesen Angriffen schützen. Voraussetzung dafür ist, dass Sie und Ihre Belegschaft umsichtig handeln und Warnzeichen für Social Hacking erkennen. Wenn also entsprechende E-Mails oder Anfragen auf anderem Weg eintreffen, sollten Sie und die betroffenen Mitarbeiter:innen folgende Maßnahmen ergreifen:
Quellenprüfung: Überprüfen Sie stets, von wem eine E-Mail stammt, wer Ihnen vermeintlich etwas Gutes tun will oder ein Werbegeschenk gesendet hat. Vergleichen Sie die Absenderadressen mit denen Ihrer bisherigen Kommunikation und hinterfragen Sie die Beweggründe für die Anfrage oder die Handlungsaufforderung.
Formale Prüfung: Sie sollten immer genau darauf achten, wie eine entsprechende E-Mail formuliert ist. Weist diese viele Rechtschreibfehler oder schlechtes Deutsch auf? Ist die E-Mail ungewöhnlich formatiert im Hinblick auf die verwendeten Schriftarten oder Absätze? Werden Sie beispielsweise auf einmal von Vorgesetzten oder Kolleg:innen geduzt (oder gesiezt), die das sonst nicht tun?
Inhaltsprüfung: Achten Sie genau darauf, wie Sie angesprochen werden und ob diese Anrede dem Kenntnisstand vermeintlicher Absender:innen entspricht. Ist der Grund für die Anfrage plausibel: Hält sich die Person beispielsweise aktuell tatsächlich im Ausland auf? Besitzen Sie oder Ihre Familie tatsächlich Verwandte in weit entfernten Ländern? Fragt Ihre Bank einfach so Login-Daten ohne Sicherheitsprüfung ab? Würden sich Ihre Vorgesetzten nach persönlichen Informationen von Kolleg:innen erkundigen, die nichts mit geschäftlichen Dingen zu tun haben? Regelrechte Paranoia ist sicherlich der falsche Weg, aber denken Sie über diese und ähnliche Dinge stets genau nach, wenn Sie entsprechende Anfragen erhalten und klicken Sie im Zweifel verdächtige Links nicht an, ohne die Mail zuvor von Spezialist:innen prüfen zu lassen.
Musterdurchbrechung: Social-Engineering-Angriffe versuchen meist, ein Gefühl von Dringlichkeit zu erzeugen. Sie wollen ihre Opfer in Unruhe versetzen und dazu verleiten, sofort auf die Anfrage zu reagieren. Setzen Sie sich darüber hinweg und denken Sie über die Anfrage nach: Kann es zum Beispiel wirklich sein, dass eine Ihnen bekannte Person im Ausland in Schwierigkeiten ist? Würde Ihr:e Vorgesetzte:r geheime Transaktionen anweisen? Haben Sie tatsächlich bei einer Verlosung mitgemacht, die Ihnen aus heiterem Himmel einen Gewinn in Aussicht stellt? Nehmen Sie sich Zeit und fragen Sie die betreffende Person persönlich über eine Telefonnummer oder E-Mail-Adresse, von der Sie wissen, dass es die korrekte ist.
Identitätsnachweis: Verlangen Sie einen Identitätsnachweis des Gegenübers. Vor allem bei vermeintlichem Personal von Behörden oder Sicherheitsdiensten sollte eine Überprüfung der Legitimation selbstverständlich sein. Oft reicht bereits diese Nachfrage aus, dass sich Angreifer:innen zurückziehen. Sollte Ihnen eine entsprechende Berechtigung genannt werden, überprüfen Sie diese bei der entsprechenden Einrichtung. Prüfen Sie, ob überhaupt die Berechtigung besteht, sensible Informationen abzufragen. Auch hier fliegen Kriminelle meist schnell auf, denn Banken und Behörden fragen selten bis gar nicht online vertrauliche Informationen ab – schon gar nicht, ohne die eigene Identität zweifelsfrei nachzuweisen.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Social Engineering ist eine Betrugsmethode, die menschliche Schwächen und Gepflogenheiten im sozialen Miteinander ausnutzt.
Die Angriffe nutzen vorab recherchierte Informationen über potenzielle Opfer, um sie zu unbedachten Handlungen zu bewegen.
Das Ziel ist die Erlangung sensibler Daten (zum Beispiel Kontodaten und Passwörter) und/oder von Geld durch Betrug oder Diebstahl.
Social Engineering funktioniert ohne das Zutun des Opfers nicht. Erst die Reaktion des Opfers ermöglicht den Erfolg eines Angriffs.
Sie schützen sich vor Social-Engineering-Angriffen, wenn Sie vermeintlich vertrauliche Anfragen, Bitten oder Handlungsanweisungen stets hinterfragen und gegebenenfalls persönlich bei den vermeintlichen Absender:innen überprüfen.
Ransomware: So können Sie Ihr Unternehmen schützen
Das Szenario ist der Albtraum in jedem Unternehmen: Eines Morgens schalten die Mitarbeiter:innen ihre Computer ein. Doch statt des Startbildschirms erscheint nur ein Textfeld – mit der Aufforderung, umgehend einen großen Geldbetrag zu überweisen. Alle Firmendaten sind durch eine Schadsoftware verschlüsselt worden. Erst nach Zahlung des Lösegelds wollen die Erpresser:innen eine Anleitung für deren Entschlüsselung geben. Das Unternehmen wurde Opfer eines sogenannten Ransomware-Angriffs. Was nun?
Angriffe mit Ransomware sind aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine der größten Gefahren für die Cybersicherheit von Unternehmen. Sie richten sich häufig gegen kleine und mittlere Unternehmen, die unzureichend geschützt sind. Weltweit konnten Kriminelle nach Angaben des BSI rund 1,1 Milliarden US-Dollar durch Ransomware-Erpressungen erbeuten. Die Dunkelziffer dürfte jedoch deutlich höher liegen.
Was Ransomware ist, wie sie im Einzelnen funktioniert und wie Sie Ihr Unternehmen wirksam dagegen schützen, erfahren Sie in diesem Beitrag.
Eine Web Application Firewall (WAF) schützt Unternehmen vor Angriffen auf ihre Web-Anwendungen. Ohne eine WAF-Lösung könnten Cyberkriminelle über Schwachstellen in das gesamte Unternehmensnetzwerk eindringen. Erfahren Sie hier, was moderne WAFs alles können und warum Sie auch Ihre Web-Apps in die Sicherheitsstrategie mit einbeziehen müssen.
Unternehmen nutzen eine Vielzahl webbasierter Anwendungen, also interaktive Online-Dienste, die über den Browser abrufbar sind. Web-Apps sind sehr praktisch: Sie sind überall zugänglich und funktionieren plattformunabhängig auf vielen Geräten. Gleichzeitig sind Web-Anwendungen aber auch ein beliebtes Ziel von Hackern.
Ganz gleich, ob Sie als Unternehmen Ihre Webanwendungen nur im Intranet oder über öffentlich zugängliche Websites nutzen, sollten Sie den Webdatenverkehr kontinuierlich auf Bedrohungen überwachen. Web Application Firewalls wehren Internetbedrohungen ab und bieten in einigen Fällen auch KI, Automatisierung und Machine-Learning-Funktionen, um den sich ständig ändernden Angriffsmethoden noch effizienter zu begegnen.
Hackingattacken sind eine permanente Bedrohung für jeden Computer und somit auch für Ihr Unternehmen. Kriminelle finden immer neue Wege, um über das Internet in Firmennetze einzudringen, Geschäftsdaten zu stehlen oder auf anderem Weg Schaden anzurichten. Hier erfahren Sie, wie Sie erkennen, ob auch Ihre Computer von einer Hackingattacke betroffen sind – und wie Sie Angriffe abwehren, bevor es zu spät ist.
Über 200 Milliarden Euro verlieren deutsche Unternehmen nach einer Erhebung von Bitkom jährlich durch Diebstahl, Spionage und Sabotage. Laut Forrester Research waren im Jahr 2023 mit 58 Prozent mehr als die Hälfte der deutschen Unternehmen von Cyberattacken betroffen. Zunehmend führt Schadsoftware zu Ausfällen von Produktionssystemen und in Betriebsabläufen. Die Frage lautet längst nicht mehr, ob, sondern wann ein Unternehmen Opfer von Cyberkriminalität wird.
Doch was tun, wenn Ihre Systeme tatsächlich gehackt wurden? Und wie können Sie sich und Ihr Unternehmen künftig gegen Schadsoftware schützen?
Hybride Verschlüsselung erklärt – so kommunizieren Sie sicher in Datennetzen
Ohne Verschlüsselung keine sichere Datenübertragung im Internet. Doch welche Verfahren sind sicher genug für Ihre Firmendaten? Erfahren Sie hier, was eine hybride Verschlüsselung ist und welche Stärken und Schwächen sie hat.
E-Mails, Kundendaten und auch Ihre letzte Online-Bestellung beim Lieferanten: Im Internet werden jeden Tag viele Milliarden vertraulicher Daten versendet. Damit Passwörter und Codeschlüssel nicht in falsche Hände geraten, gibt es verschiedene Verschlüsselungsarten. Die hybride Verschlüsselung kombiniert gleich mehrere.
Allianz für Cyber-Sicherheit erklärt: Strategien und Maßnahmen
Know-how und Erfahrungsaustausch sind wichtig, damit deutsche Unternehmen gut gegen die wachsenden Bedrohungen durch Wirtschaftskriminalität und Cyberkrieg gewappnet sind. Die Allianz für Cyber-Sicherheit hat dafür eine kooperative Plattform geschaffen. Sie bietet neben aktuellen Informationen, Toolkits und Seminaren auch Beratung und Hilfe bei der Bewältigung von Sicherheitsvorfällen. Wie Ihr Unternehmen davon profitieren kann, erfahren Sie hier.
Die Allianz für Cyber-Sicherheit (ACS) ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie wurde in Zusammenarbeit mit dem Branchenverband der deutschen Informations- und Telekommunikationsbranche BITKOM ins Leben gerufen. Ziel der ACS ist es, deutsche Unternehmen, Behörden und Organisationen besser vor Cyberangriffen zu schützen.
Ein Fokus der ACS liegt darauf, den Austausch und die Kooperation zwischen IT-Verantwortlichen zu fördern, das Sicherheitsbewusstsein in Unternehmen zu schärfen und dafür relevante Informationen zur Verfügung zu stellen. Zudem arbeitet die Allianz daran, globale Cyber-Bedrohungen besser zu verstehen, um diese abzuwehren. Dies betrifft auch Risiken, die Lieferketten mit sich bringen können.