Das Telefon klingelt. Am anderen Ende der Leitung eine freundliche Stimme: "Wir sind aus der Zentrale des Zahlungsdienstleisters XYZ. Uns wurde aus den verschiedensten Filialen Ihres Unternehmens mitgeteilt, dass unsere Bezahlkarten für Betrugsdelikte missbraucht wurden. Damit wir das verifizieren können, benötigen wir von Ihnen einmal die Codes von zehn Ihrer Bezahlkarten." Der nichts ahnende Mitarbeitende aus der Filiale möchte selbstverständlich bei der Aufdeckung der Betrugsfälle mitwirken und übersendet die Codes. Doch Sie ahnen es, der Anrufende selbst war der Betrüger, der die Hilfsbereitschaft des Angestellten nutze und somit an die gültigen Codes beliebiger Bezahlkarten kam.
Was sich liest wie ein unrealistisches Szenario, ist mittlerweile Alltag. Wir werden permanent mit Social Engineering konfrontiert, mal mit guten, aber meistens mit schlechten Absichten. Die Sensibilität für das Phänomen Social Engineering noch immer gering – dabei sind die Angriffe, die der der Logik der "Manipulation des Menschen" folgen, mittlerweile zahlreich. Ob „Spear Fishing“, „CEO Fraud“ oder der einfache Anruf unter falschem Namen, um an wichtige Informationen zu kommen: Es wird geschummelt und getrickst – zum Leidwesen der Angegriffenen.
Webcast zum Thema "Social Engineering" mit Arne Wolff und Matthias Niedung
Das Problem der öffentlichen Informationen
Dabei gehen die Angreifenden so vor, dass das Opfer vom Angriff so wenig wie möglich bemerkt und im Idealfall selbständig das tut, was der Angreifende erreichen möchte. Hilfsbereitschaft, Mitleid, Obrigkeitshörigkeit oder Unsicherheit – der Angreifende macht sich alles zunutze, was Ihn zum Ziel bringt. Und für die Opfer ist ein solcher Angriff spät oder unter Umständen überhaupt nicht zu bemerken. Denn die Angreifenden sind vorbereitet. Öffentlich verfügbare Informationen werden genutzt, um den Angriff überzeugend durchzuführen.
Betrachten wir das Beispiel „CEO Fraud“. Oftmals wissen die Angreifenden, dass die Geschäftsführung in wichtigen Terminen gebunden ist. Dieser Umstand wird genutzt und die Person angegriffen, die die Gelder verwaltet. Mit dem Wissen um den Termin und einer gefälschten E-Mail-Adresse wird der Angriff vorbereitet. Die Ansprache erfolgt an die zuständige, „richtige“ Person und mit firmeninternem, gewohntem Duktus. Die E-Mail erscheint, als wäre Sie wirklich von der Geschäftsführung, die dringliche Aufforderung zur Anweisung eines hohen Betrages für den Kauf eines Unternehmens als authentisch. In der Folge tätigt der Angegriffene die Überweisung und das Unternehmen wurde durch einen professionellen Angriff um einen beachtlichen Teil des Firmenvermögens gebracht.
Abhilfe schaffen - Aufklären, schulen und Informationen klassifizieren
Doch wie begegnet ein Unternehmen solchen Angriffen effektiv? Oft helfen nur Schulung, klare Regeln und selbstbewusste Mitarbeitende. Eine offene Firmenkultur und klare Regelungen, wie mit Ihren Werten umgegangen werden muss, sind die Grundlage. Welche Informationen dürfen öffentlich sein? Ist es sinnvoll, jede Podiumsdiskussion auf der firmeneigenen Homepage anzupreisen? Klären Sie den Umgang mit bestimmten Prozessen und stellen Sie sicher, dass von diesen nicht abgewichen wird, denn jede Ausnahme, selbst für die Geschäftsführung, ermöglicht effektive Angriffe. Klassifizieren Sie Ihre Firmenwerte und definieren Sie den Umgang mit ihnen. Und vertrauen Sie Ihrem Bauchgefühl.
Denn als guter Indikator ist das Unbehagen bei den Angegriffenen zu verstehen. Etablieren Sie eine Kultur des Nachfragens und der Skepsis. Belohnen Sie Ihre Mitarbeitenden für Ihre Aufmerksamkeit und betrachten Sie kritische Nachfragen bei relevanten Themen als Gewinn für Ihre Sicherheit.
Bleiben Sie mit uns zusammen wachsam. Wir unterstützen Sie dabei, kritische Prozesse und mögliche Angriffsziele im vornherein zu identifizieren. Gemeinsam mit Ihnen erstellen wir eine Strategie zur Schulung und testen Ihre Mitarbeitenden – datenschutzkonform und mit dem Ziel, Verbesserungspotentiale zu entdecken und künftige Angriffe zu erschweren.