Social Engineering zielt auf menschliche Schwächen ab: Vermeintliche E-Mails von Bekannten sollen Ihre Neugier und Hilfsbereitschaft ansprechen, Mitteilungen von Banken bieten verlockende Angebote oder Behörden fordern Sie zur Kooperation auf. Doch hinter den oft vertraulich wirkenden Nachrichten stecken in Wahrheit Kriminelle. Diese wollen Ihnen sensible Daten entlocken oder Sie zu unbedachten Klicks auf Webseiten mit Schadsoftware verleiten.
Die Methoden von Social Engineering sind vielfältig: Sie erstrecken sich von E-Mails mit angeblich dringenden Handlungsanweisungen über fingierte Verlosungsgewinne bis hin zu Hilferufen von Verwandten, die vermeintlich im Ausland festsitzen. Auch per Telefon oder mittels gezielt versendeter „Werbeartikel“ versuchen Kriminelle, an sensible Informationen zu gelangen.
Sie können derartige Manipulationsversuche leicht durchschauen, wenn Sie auf die richtigen Warnzeichen achten: In diesem Artikel erfahren Sie, wie Kriminelle Sie mittels Social Engineering zu unbedachten Handlungen verführen wollen und wie Sie sich am besten dagegen wappnen.
Social Engineering bedeutet wörtlich übersetzt „soziale Manipulation“. Sie soll durch Beeinflussungen bestimmte Verhaltensweisen hervorrufen – meist, um dadurch vertrauliche Informationen oder einen monetären Vorteil zu erlangen. Dies kann zum Beispiel die Freigabe von Zugangsdaten oder die Angabe persönlicher Informationen beinhalten. Es könnte auch in der Bereitstellung finanzieller Mittel oder im vermeintlichen Kauf eines Produkts (beispielsweise Karten für bereits ausverkaufte Konzerte oder aktuelle Smartphones) durch das Opfer resultieren.
Im Bereich der Informationstechnologie gibt es Social Engineering bereits seit Jahrzehnten. Zunächst kam diese Vorgehensweise in der analogen Telefonie zum Einsatz: Schon in den 1980er-Jahren gaben sich Kriminelle bei Telefongesellschaften als Systemadministrator:innen aus, um Passwörter zu erfragen. Damit stellten sie daraufhin kostenlose Modemverbindungen für sich her. Dies war Teil des sogenannten „Phreaking“, einem Kofferwort aus den englischen Begriffen Phone für Telefon und Freak für „verrückter Typ“, das allgemein die Manipulation von Telefonverbindungen bezeichnet.
Ein wesentliches Merkmal von Social Engineering ist die oftmals sehr perfide Kombination aus Wahrheitsgehalt und Täuschung. Die Kriminellen haben vorher Dinge über ihr Opfer in Erfahrung gebracht und nutzen dieses Wissen aus. Fingierte Telefonanrufe, Kurznachrichten in Messengern und Social Media sowie E-Mails suggerieren eine Bekanntschaft oder Beziehung zum Opfer. Damit erwecken die Absender:innen Vertrauen oder sprechen Gefühle wie Neugier und Sorge, aber auch den Wunsch nach sozialer Angepasstheit an, um unbedachte Handlungen zu provozieren.
Lookout: Die Sicherheitslösung für mobile Endgeräte
Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.
Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.
Bei Social Engineering handelt es sich um gezielte Angriffe auf bestimmte Personen. Kriminelle recherchieren vorab, inwiefern eine Zielperson lohnenswert erscheint (siehe auch Whaling als Sonderform des Spear Phishing). Beispielsweise kann das potenzielle Opfer eine hohe Position in einem Unternehmen bekleiden und damit Zugang zu finanziellen Ressourcen versprechen. Die Person kann aber auch als sorglos im Umgang mit persönlichen Daten erscheinen, indem sie zum Beispiel auf Social-Media-Plattformen oder an anderen Stellen im Internet viel von sich preisgibt.
Wenn die Angreifer:innen über ausreichend Informationen verfügen, entwerfen sie eine Angriffsstrategie: Auf welche Art können sie das Opfer am besten zu einer schnellen Handlung bringen, um an Geld oder wertvolle Informationen zu gelangen? Eine dringende Anweisung von Vorgesetzten könnte beispielsweise neue oder junge Mitarbeiter:innen unter Druck setzen. Befindet sich das Unternehmen der Zielperson möglicherweise in Schwierigkeiten? Dann könnte ein fingiertes Schreiben der Hausbank Wirkung zeigen. Personen mit Familie könnten hingegen durch die Sorge um ein Familienmitglied in Not manipulierbar sein.
Social Engineering läuft nach dem Schema „Recherche, Ködern, Kontrolle, Flucht“ ab.
Social Engineering setzt im nächsten Schritt vor allem auf Täuschung: Die Kriminellen verschleiern bei Angriffen ihre wahre Identität und geben sich als jemand anderes aus. Bevorzugt bedienen sie sich Berufen oder Rollen, die eine Hilfe für die Opfer vorgaukeln. Verbreitet sind dabei vermeintliche Mitarbeiter:innen von Banken oder Telekommunikationsunternehmen, die vorgeben, Probleme mit Konten oder Accounts lösen zu können. In Wahrheit wollen sie aber an Zugangsdaten oder Kontoinformationen gelangen.
Die Täter:innen appellieren dabei an Ihre guten Absichten als Opfer: Anstatt bei der Behebung eines Problems im Unternehmen zu helfen, öffnen Sie allerdings ein Einfallstor in eine ansonsten sichere IT-Umgebung. Durch die Erlangung von Zugangsdaten und/oder die Einspeisung von Schadsoftware in das Unternehmensnetzwerk kann in der Folge erheblicher Schaden entstehen: Je mehr administrative Rechte die Kriminellen erlangen, desto freier können sie sich dann in der Infrastruktur des Netzwerks bewegen.
Aus diesem Grund zielen derartige Angriffe häufig auf Personen in der Führungsebene von Unternehmen ab. Neben dem Diebstahl finanzieller Ressourcen haben es Angreifer:innen auf Geschäftsgeheimnisse und brisantes Wissen über interne Vorgänge abgesehen. Während erstere sich gut verkaufen lassen, bieten zweitere unter Umständen erhebliches Erpressungspotenzial.
Beispiele für Social Engineering
Social Engineering zielt immer auf das unvorsichtige Verhalten der Opfer ab. Entsprechend gibt es unterschiedliche Arten, diese dazu zu verleiten. Darunter fallen:
Phishing
Ein weitverbreitete Methode ist das Phishing (abgleitet vom englischen Begriff für Angeln: fishing). Bei einem derartigen Angriff „ködern“ Kriminelle potenzielle Opfer mit E-Mails, die auf den ersten Blick aus einer vertrauenswürdigen Quelle stammen. Mithilfe dieser E-Mails wollen die Angreifer:innen an sensible Informationen oder Zugangsdaten (zum Beispiel zu Bankkonten oder geschäftlichen Accounts) gelangen. Häufig erkennen Opfer eine Phishing-E-Mail erst, wenn es zu spät ist.
Noch einen Schritt weiter geht das im Social Engineering vor allem eingesetzte Spear Phishing (übersetzt: Speerfischen). Vor dem Versand einer gezielten Phishing-E-Mail an eine bestimmte Person informieren sich die Angreifer:innen über das Opfer. Arglos im Internet geteilte Informationen bieten dabei häufig gute Anhaltspunkte. Eine möglichst unverdächtige und personalisierte E-Mail suggeriert auf dieser Basis eine Kenntnis vermeintlicher Sachverhalte oder Personen. Auch hier soll das Opfer dazu verleitet werden, auf einen Link zu klicken. Dort eingegebene Zugangsdaten oder Kontoinformationen landen bei den Kriminellen.
Secure Enterprise Messaging
Unternehmen, die DSGVO-konforme Kommunikation gewährleisten wollen, kommen um eine Secure Enterprise Messaging-Lösung nicht herum.
Mit Vodafone CorporateDataAccess 5.0 erhalten Sie eine schlüsselfertige Lösung, um mobile Endgeräte wie Smartphones, Laptops und Tablets via Mobilfunknetz mit Ihrem Unternehmen zu verbinden. Und das alles ohne zusätzliche Software oder Apps.
Bei der Social-Engineering-Methode Baiting (englisch für ködern) geht es darum, die Neugier des Opfers durch einen verlockenden Inhalt oder ein vorteilhaftes Angebot anzusprechen.
Hier setzen zwei grundlegend unterschiedliche Vorgehensweisen ein:
Die erste beschränkt sich auf den Online-Bereich und versucht, Opfer mit Versprechungen auf Gewinne oder Gratisdownloads von beispielsweise Filmen oder Musik zu ködern. Auf einer eigens dafür eingerichteten Webseite sollen sie spezifische Anmeldinformationen eingeben, die dann von den Kriminellen missbraucht werden. Auch Schadsoftware (Malware) kann dadurch auf Rechner gelangen.
Die zweite Variante arbeitet mit einer physischen Komponente: Hier wird beispielsweise behauptet, dass das Opfer einen elektronischen Gegenstand, wie etwa einen Audioplayer oder einen USB-Stick gewonnen habe. Alternativ versenden Kriminelle diese Geräte als vermeintliche Belohnung für die Teilnahme an einer Umfrage oder als Werbegeschenk. Auf den Geräten ist Schadsoftware enthalten. Verbinden die Opfer die Geräte mit einem Computer, wird dieser mit der Malware infiltriert – idealerweise handelt es sich dabei im Unternehmensrechner mit sensiblen Informationen oder dem Zugang zu Firmennetzwerken.
CEO-Fraud
CEO-Fraud zielt als Teilbereich des Social Engineering auf das Hierarchiegefüge in Unternehmen ab. Dazu dient die gefälschte E-Mail eines CEO (Geschäftsführer:in) oder einer ähnlichen Führungspersönlichkeit, die Angestellte im Zweifel nicht ungelesen oder unbeantwortet lassen werden. Alternativ können auch Personen von Bundesbehörden als Absender dienen oder es treffen Anweisungen per klassischer Briefpost ein.
Die Mail weist die Opfer beispielsweise an, aus vermeintlich wichtigen Gründen einen Geldbetrag auf ein externes Konto zu überweisen, häufig findet sich dieses im Ausland. Oft fordern die Absender:innen dabei Geheimhaltung oder Eile ein. Besonders gut funktioniert diese Masche in Unternehmen, in denen eine vertikale oder autoritäre Führungskultur herrscht und in denen Widerspruch unerwünscht ist.
Pretexting
Pretexting geht noch einen Schritt weiter als Spear Phishing: Bei dieser Form des Social Engineering erfinden Kriminelle eine Geschichte oder einen Vorwand (englisch: Pretext), um das Vertrauen der Opfer zu erlangen. Dabei konstruieren die Angreifer:innen eine konkrete Person, deren Rolle sie für den Betrug einnehmen, sowie eine Situation als Grund für die Kontaktaufnahme. Mittels vorheriger Recherchen über das Opfer soll aus der passenden Kombination von Person und Situation eine Geschichte entstehen, die als möglichst glaubwürdig gilt.
Häufig angewendete Beispiele für den Betrug per Pretexting sind:
Geschäftskorrespondenz: Die Kriminellen geben sich als reale Person aus der Führungsebene der Firma des Opfers aus. Häufig werden die Opfer aufgefordert, diesen aus misslichen Situationen zu helfen, indem sie ihnen Kennwörter für sensible Unternehmensbereiche oder Bankdaten übermitteln. Statt bei den echten Führungskräften landen die Daten bei den Kriminellen.
Kontoaktualisierung: Die Kriminellen geben sich als Vertreter:innen eines Unternehmens wie etwa der Bank oder des Mobilfunkanbieters des Opfers aus. Sie bitten dann meist um eine Aktualisierung der Konto- oder Zugangsdaten aufgrund neuer Sicherheitsbestimmungen oder eines angeblich unautorisierten Zugriffs. Statt auf der richtigen Webseite landen die Opfer über einen Link auf einer gefälschten Seite, auf der die Kriminellen dann Konto- oder Authentifizierungsdaten entwenden.
Behörden: Die Kriminellen geben sich als Vertreter von staatlichen Behörden aus und behaupten, dass das Opfer in Schwierigkeiten stecke, etwa aufgrund von Steuervergehen oder eines Haftbefehls. Durch Zahlungen könnten Strafen wie Lohnpfändung oder ähnliches vermieden werden – das Geld landet bei den Kriminellen.
„Enkeltrick“: Diese Masche ist besonders bekannt und sollte nicht unterschätzt werden: Nach wie vor geht eine große Gefahr davon aus, ältere Personen als vermeintliche:r Enkel:in mit fingierten Geschichten zur Freigabe von Bankdaten oder zur Überweisung von Geldbeträgen zu verleiten.
Mittels Pretexting nehmen Kriminelle ihre potenziellen Opfer für ihr Anliegen ein. Meist erfolgt dies mittels einer möglichst glaubhaften Handlungsaufforderung.
Tailgaiting
Tailgaiting ist eine Angriffsmethode, die darauf abzielt, physischen Zugang zu geschützten Bereichen zu erlangen. Der englische Begriff beschreibt üblicherweise, wie ein Fahrzeug einem anderen dicht folgt. Diese Methode wenden Kriminelle auch bei dieser Form des Social Engineering an, um Daten zu stehlen, Zugang zu geschützten IT-Bereichen zu erlangen oder Schadprogramme zu installieren. Daneben besteht auch die Gefahr einer physischen Sabotage, beispielsweise durch die Zerstörung eines Serverraums oder den Diebstahl von Datenträgern.
Dementsprechend beschreibt Tailgaiting eine Mischform der klassischen Kriminalität und der Cyberkriminalität. Der Ansatz erfolgt jeweils über eine physische Komponente: Angreifer:innen suchen die Nähe von Zielpersonen, die über Zugang zu geschützten (IT-)Bereichen in Unternehmen oder anderen Organisationen verfügen, etwa zu Serverräumen, Rechenzentren oder Sicherheitsanlagen. Durch ein meist einfaches Täuschungsmanöver folgen die Kriminellen ihren Zielpersonen.
Dabei gehen sie üblicherweise wie folgt vor:
Die Angreifer:innen verhalten sich unauffällig und suggerieren die Zugehörigkeit zur jeweiligen Institution.
Kriminelle verwenden unterschiedliche Methoden, um vermeintlich begründet in einen zugangsbeschränkten Bereich zu gelangen. Beispiele sind: Vergesslichkeit als angebliche:r Kolleg:in, Unerfahrenheit oder Verwirrung als Neuling, Praktikant:in oder ähnliches, ein vorgeblicher Besuch oder eine Lieferung sowie der Einsatz einer gefälschten Identität.
Eine weitere Methode ist, ein IT-Gerät des Opfers „kurz mal auszuleihen“, zum Beispiel um E-Mails abzurufen. Stattdessen installieren die Kriminellen dann Schadsoftware, um sensible Daten zu stehlen.
Watering-Hole
Der sogenannte Watering-Hole-Angriff, grob übersetzt „Angriff am Wasserloch“, orientiert sich an der Methode von Räubern im Tierreich: Wie zum Beispiel ein Krokodil im Wasser auf ein durstiges Beutetier wartet, verstecken sich auch Angreifer:innen im Internet an besonders erfolgsversprechenden Orten. Die Kriminellen gehen hierbei jedoch nicht wahllos vor, sondern spionieren potenzielle Opfer vorher aus, beispielsweise mittels Spear Phishing.
Eine zielgerichtete Mail, etwa an eine Führungsperson in einem Unternehmen, wählt eine persönliche Ansprache und einen aktuellen Bezug. Auf dieser Grundlage fordern die vermeintlichen Absender:innen das Opfer zu einer Handlung auf: Meist sollen sie eine bestimmte Webseite besuchen und dort sensible Daten verifizieren.
Die E-Mail selbst ist dabei nur der Köder und enthält keine Malware – der Angriff erfolgt stattdessen auf der Zielseite: Entweder enthält diese von vornherein Schadcode, sogenannte Exploits, und infiziert den Rechner des Opfers sofort. Alternativ kann auch die Webseite den Download von Schadprogrammen auslösen. Meist handelt es sich dabei um Trojaner, die danach weitere Malware auf den infizierten Rechner laden. Auf diese Weise können die Kriminellen Zugang zu ganzen Unternehmensnetzwerken erlangen.
Sicherheitsrisiken und Schäden durch Social Engineering
Das größte Sicherheitsrisiko bei Social Engineering ist der Mensch. Technische Möglichkeiten wie Antivirenprogramme und Firewalls, die Cyberangriffe abwehren sollen, werden hierbei von den Kriminellen bewusst ausgehebelt. Gewährt die „Schwachstelle Mensch“ den Angreifer:innen Zugang zu sensiblen Daten, können für Unternehmen enorme Schäden entstehen.
Die Kriminellen sehen es dabei vor allem auf Personen ab, von denen sie sich weitreichende Zugangsrechte zu Systemen erhoffen: Das können Führungskräfte der mittleren und höheren Unternehmensebene sein, aber auch Mitarbeiter:innen im Verwaltungs- und Personalwesen. Diese müssen häufig firmenübergreifende Prozesse im Auge behalten und besitzen dementsprechende Rechte innerhalb des Netzwerks.
Gestohlene Daten können dabei äußerst vielfältig sein und je nach Zugang sämtliche Unternehmensbereiche erfassen: Personalakten und Kundendaten, sensiblen E-Mail-Verkehr mit Dritten, Informationen zu aktuellen und kommenden Projekten, technische Spezifikationen, Angaben zu Marketing und Distribution. Auch Informationen zu den Unternehmensfinanzen oder schlimmstenfalls der Zugang zu Bankkonten kann den Kriminellen hierbei in die Hände fallen.
Die erbeuteten Daten können zum Weiterverkauf an Konkurrenten dienen, aber auch der Erpressung mit der Drohung der Veröffentlichung. Vor allem im Bereich sensibler persönlicher Informationen oder kompromittierender Korrespondenz kommt letztere Methode häufig zum Einsatz. Theoretisch können die Angreifer:innen auch ganze Unternehmensnetzwerke lahmlegen und geben diese nur gegen Zahlung einer hohen Geldsumme wieder frei.
Vodafone Cyber-Security-Services
Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.
Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.
Social-Engineering-Attacken zielen mittels perfider Täuschungen oder Anreize darauf ab, dass Sie Informationen preisgeben. Um entsprechende Versuche von vornherein zu minimieren und Kriminellen möglichst wenig Angriffsfläche zu bieten, sollten Sie allgemein folgende Dinge im Unternehmen beachten:
Umsichtiges Verhalten: Sorgen Sie mittels Security-Awareness-Schulungen dafür, dass Ihre Mitarbeiter:innen möglichst wenig Informationen über sich im Internet frei zugänglich zu machen. Sensibilisieren Sie Ihre Belegschaft für fragwürdige E-Mail-Anfragen und sorgen Sie dafür, dass sie sich bei vermeintlichen Adressat:innen rückversichern, ob die Nachricht tatsächlich von diesen stammt.
Geringe Veröffentlichung von Daten: Geben Sie im Internet (zum Beispiel auf Ihrer Webseite, im Online-Shop und in Firmenprofilen auf Business-Plattfomen) keine konkreten Informationen zu Mitarbeiter:innen wie Namen und Durchwahlen preis. Achten Sie auf Social-Media-Plattformen darauf, Postings lediglich dem Freundeskreis zur Verfügung zu stellen.
Aktuelle Antiviren-Software: Halten Sie Software zur Abwehr von Viren und Malware auf allen Geräten im Unternehmen (stationär und mobil) auf dem aktuellen Stand.
Gut konfigurierter Spamfilter: Richten Sie Spamfilter ein, die stets dazulernen, um den Eingang fragwürdiger Mails (Spam-Mails) zu minimieren.
Aktuelle Soft- und Firmware: Sorgen Sie dafür, dass die Firmware auf Ihren Geräten sowie die verwendete Software immer die neueste Version aufweist.
Sichere Passwörter: Verwenden Sie in Ihrem Unternehmen ausschließlich sichere Passwörter (Kombination aus Buchstaben, Zahlen, Groß- und Kleinschreibung und Sonderzeichen). Nutzen Sie Passwörter niemals für mehr als einen Account oder für den Zugang zu mehreren Konten.
Zwei-Faktor-Authentifizierung: Stellen Sie sicher, dass der Zugriff nicht nur durch ein Passwort, sondern auch per zusätzlicher Authentifizierung auf einem Mobilgerät erfolgt (zum Beispiel mit Bestätigungscode, Fingerabdruck usw.).
Keine Administrationsrechte: Arbeiten Sie an Ihren Geräten nicht mit Administrationsrechten, um eine Neukonfiguration durch andere Personen als Ihre IT-Fachkräfte auszuschließen.
Sollte es tatsächlich einmal zu einem Datenleck in Ihrem Unternehmen kommen, ergreifen Sie die Sicherheitsmaßnahmen, die auch zur Abwehr anderer Angriffe im Rahmen der in Ihrem Unternehmen geltenden Richtlinien für Cyber-Security dienen. Sorgen Sie darüber hinaus für eine vertrauensvolle Unternehmenskultur, in der die Meldung solcher Vorfälle seitens der Mitarbeitenden nicht von Scham oder Angst vor Repressalien begleitet ist.
Social Hacking erkennen
Social Engineering funktioniert nicht, wenn das Opfer nicht „mitspielt“. Aus diesem Grund können Sie Ihr Unternehmen relativ einfach vor diesen Angriffen schützen. Voraussetzung dafür ist, dass Sie und Ihre Belegschaft umsichtig handeln und Warnzeichen für Social Hacking erkennen. Wenn also entsprechende E-Mails oder Anfragen auf anderem Weg eintreffen, sollten Sie und die betroffenen Mitarbeiter:innen folgende Maßnahmen ergreifen:
Quellenprüfung: Überprüfen Sie stets, von wem eine E-Mail stammt, wer Ihnen vermeintlich etwas Gutes tun will oder ein Werbegeschenk gesendet hat. Vergleichen Sie die Absenderadressen mit denen Ihrer bisherigen Kommunikation und hinterfragen Sie die Beweggründe für die Anfrage oder die Handlungsaufforderung.
Formale Prüfung: Sie sollten immer genau darauf achten, wie eine entsprechende E-Mail formuliert ist. Weist diese viele Rechtschreibfehler oder schlechtes Deutsch auf? Ist die E-Mail ungewöhnlich formatiert im Hinblick auf die verwendeten Schriftarten oder Absätze? Werden Sie beispielsweise auf einmal von Vorgesetzten oder Kolleg:innen geduzt (oder gesiezt), die das sonst nicht tun?
Inhaltsprüfung: Achten Sie genau darauf, wie Sie angesprochen werden und ob diese Anrede dem Kenntnisstand vermeintlicher Absender:innen entspricht. Ist der Grund für die Anfrage plausibel: Hält sich die Person beispielsweise aktuell tatsächlich im Ausland auf? Besitzen Sie oder Ihre Familie tatsächlich Verwandte in weit entfernten Ländern? Fragt Ihre Bank einfach so Login-Daten ohne Sicherheitsprüfung ab? Würden sich Ihre Vorgesetzten nach persönlichen Informationen von Kolleg:innen erkundigen, die nichts mit geschäftlichen Dingen zu tun haben? Regelrechte Paranoia ist sicherlich der falsche Weg, aber denken Sie über diese und ähnliche Dinge stets genau nach, wenn Sie entsprechende Anfragen erhalten und klicken Sie im Zweifel verdächtige Links nicht an, ohne die Mail zuvor von Spezialist:innen prüfen zu lassen.
Musterdurchbrechung: Social-Engineering-Angriffe versuchen meist, ein Gefühl von Dringlichkeit zu erzeugen. Sie wollen ihre Opfer in Unruhe versetzen und dazu verleiten, sofort auf die Anfrage zu reagieren. Setzen Sie sich darüber hinweg und denken Sie über die Anfrage nach: Kann es zum Beispiel wirklich sein, dass eine Ihnen bekannte Person im Ausland in Schwierigkeiten ist? Würde Ihr:e Vorgesetzte:r geheime Transaktionen anweisen? Haben Sie tatsächlich bei einer Verlosung mitgemacht, die Ihnen aus heiterem Himmel einen Gewinn in Aussicht stellt? Nehmen Sie sich Zeit und fragen Sie die betreffende Person persönlich über eine Telefonnummer oder E-Mail-Adresse, von der Sie wissen, dass es die korrekte ist.
Identitätsnachweis: Verlangen Sie einen Identitätsnachweis des Gegenübers. Vor allem bei vermeintlichem Personal von Behörden oder Sicherheitsdiensten sollte eine Überprüfung der Legitimation selbstverständlich sein. Oft reicht bereits diese Nachfrage aus, dass sich Angreifer:innen zurückziehen. Sollte Ihnen eine entsprechende Berechtigung genannt werden, überprüfen Sie diese bei der entsprechenden Einrichtung. Prüfen Sie, ob überhaupt die Berechtigung besteht, sensible Informationen abzufragen. Auch hier fliegen Kriminelle meist schnell auf, denn Banken und Behörden fragen selten bis gar nicht online vertrauliche Informationen ab – schon gar nicht, ohne die eigene Identität zweifelsfrei nachzuweisen.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Social Engineering ist eine Betrugsmethode, die menschliche Schwächen und Gepflogenheiten im sozialen Miteinander ausnutzt.
Die Angriffe nutzen vorab recherchierte Informationen über potenzielle Opfer, um sie zu unbedachten Handlungen zu bewegen.
Das Ziel ist die Erlangung sensibler Daten (zum Beispiel Kontodaten und Passwörter) und/oder von Geld durch Betrug oder Diebstahl.
Social Engineering funktioniert ohne das Zutun des Opfers nicht. Erst die Reaktion des Opfers ermöglicht den Erfolg eines Angriffs.
Sie schützen sich vor Social-Engineering-Angriffen, wenn Sie vermeintlich vertrauliche Anfragen, Bitten oder Handlungsanweisungen stets hinterfragen und gegebenenfalls persönlich bei den vermeintlichen Absender:innen überprüfen.
NIS-2: Das steckt dahinter und so handeln Sie konform
Unternehmen unterliegen in der Europäischen Union (EU) nicht nur strengen Regeln hinsichtlich des Datenschutzes. Seit Januar 2023 gibt es auch die sogenannte NIS-2-Richtline der EU, die für eine bessere Cyberresilienz von Unternehmen sorgen soll. Das Ziel: Die novellierte Richtlinie soll vor allem Unternehmen der sogenannten kritischen Infrastruktur (KRITIS) im europäischen Binnenmarkt besser vor Cyberangriffen schützen. Allerdings geht sie weit über den bislang bekannten Anwendungsbereich hinaus. NIS-2 tritt spätestens im Oktober 2024 in Deutschland in Kraft.
Die Europäische Union veröffentlichte die „zweite Richtlinie zur Netzwerk- und Informationssicherheit“ (NIS-2) bereits am 27.12.2022. Bis zur Umsetzung in nationales Recht haben die Mitgliedsstaaten 21 Monate Zeit. NIS-2 ist eine Weiterentwicklung der bisherigen „EU-Richtline über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ (NIS-1) aus dem Jahr 2016.
Was bedeutet NIS-2 konkret für Ihr Unternehmen? Sind Sie davon betroffen und falls ja, wie können Sie Ihr Unternehmen fit für die Bestimmungen der Richtlinie machen? Hier erfahren Sie es.
Trojaner entfernen: Effektive Strategien zur Beseitigung von Schadsoftware
Lernen Sie hier effektive Strategien zum Entfernen von Trojanern von den Computern Ihres Unternehmens kennen – mit bewährten Methoden und Schritt-für-Schritt-Anleitungen für Windows 10 und 11.
Trojaner stellen für Unternehmen eine Gefahr dar, da sie vertrauliche Daten stehlen, die Systemintegrität beeinträchtigen und finanzielle Schäden verursachen können. Hier finden Sie praxisnahe Lösungen, um Trojaner zu entfernen und so die Sicherheit Ihrer Systeme wiederherzustellen.
DDoS-Angriffe: Was dahinter steckt und wie Sie sich wirksam vor Attacken schützen
Unternehmen werden immer öfter zum Ziel von sogenannten Distributed-Denial-of-Service-Angriffen (DDoS). Für 2023 vermeldet der Dienstleister StormWall in seinem jährlichen Bericht einen weltweiten Anstieg der DDoS-Attacken um 63 Prozent. Die veränderte weltpolitische Lage, aber auch neue Technologien wie künstliche Intelligenz (KI), die mittlerweile in Rekordzeit effiziente Hackingsoftware entwickeln kann, tragen zur Verschärfung bei. Bestimmte Branchen sind ganz besonders betroffen.
Ziel von DDoS-Attacken ist es, Server oder Webdienste von Unternehmen durch eine technische Überlastung zum Ausfall zu bringen. Gelingt den Angreifer:innen die Blockade von Servern, Diensten oder Schnittstellen, fordern sie in der Regel Lösegeldzahlungen (häufig in Kryptowährung) von den betroffenen Firmen, um die Blockade wieder zu beenden. In einigen Fällen stellen sie auch politische Forderungen oder wollen einfach nur maximalen Schaden anrichten.
Dabei stehen nicht nur populäre Dienstleister wie Amazon, Yahoo und eBay im Fokus der Angreifer. Häufig sind es auch kleinere Unternehmen und Behörden, deren Server und Dienstleistungen sie außer Gefecht setzen. Gerade solche IT-Infrastrukturen sind nicht immer optimal geschützt und stellen dadurch ein leichtes Angriffsziel dar.
LDAP einfach erklärt: Definition, Funktionsweise und Einsatzmöglichkeiten
Das „Lightweight Directory Access Protocol“, kurz LDAP, gehört zu den heimlichen Stars in der IT-Welt. In Millionen Netzwerken weltweit übernimmt es die Rechtevergabe und Authentifizierung und durchsucht dabei mühelos riesige Benutzerdatenbanken. Trotzdem ist es weithin unbekannt, weil es unsichtbar im Hintergrund arbeitet. Erfahren Sie hier, was LDAP alles kann und wofür Sie es in Ihrem Business nutzen können.
LDAP ist die universelle Protokollsprache, wenn es um Benutzerverzeichnisse geht und ganz allgemein um das „Identity and Access Management“ (IAM), also die Verwaltung von Identitäten und Zugriffsrechten in Netzwerken.
Hierfür wird LDAP oft auch als Quasi-Industriestandard bezeichnet. Über Betriebssystemgrenzen hinweg verwaltet es Freigaben für Anwender:innen, selbst in großen Strukturen mit vielen Betriebssystemen, wo Windows, MacOS, Unix, Linux, Android und iOS parallel zum Einsatz kommen. Doch LDAP kann noch viel mehr.
Gefahrenquelle Cyberattacken: So schützen Sie sich und bleiben produktiv
206 Milliarden Euro kosteten Cyberattacken die deutsche Wirtschaft allein im Jahr 2023. Das ergab eine Studie des Branchenverbandes Bitkom. Dabei handelt es sich längt nicht mehr um spektakuläre Einzelfälle in wenigen Großunternehmen: 7 von 10 Internetnutzern waren bundesweit von Cyberkriminalität betroffen. Auch für kleine und mittlere Unternehmen entstehen dadurch hohe Kosten. Zu den größten Kostentreibern gehören Ausfallzeiten und der damit verbundene Produktivitätseinbruch. Was also tun? Mehr dazu hier.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkennt eine Verlagerung von Ransomware-Angriffen von großen Firmen hin zu kleinen und mittleren Unternehmen (KMU). Das BSI bezeichnet die Lage im Cyberraum deshalb als „angespannt bis kritisch“ und stellt fest, dass die Bedrohungslage nie ernster war.
Doch wie sollten Unternehmen vorgehen, um optimale Sicherheit zu gewährleisten und gleichzeitig produktiv zu bleiben? Welche Lösungen es in diesem Umfeld gibt, welche Unterstützung sinnvoll ist und welche Rolle künstliche Intelligenz (KI) dabei spielt, erfahren Sie hier.