Die E-Rechnung kommt! Unser FAQ klärt alle offenen Fragen. Hier klicken.

Social Enginering: So hacken Cyberkriminelle Ihre Psyche

Das größte Einallstor: der Mensch

Hacker haben es längst nicht mehr nur auf die IT-Infrastruktur abgesehen. Im Mittelpunkt ihrer Angriffe stehen mittlerweile die Mitarbeiter von Unternehmen – Social Engineering heißt diese Methode. Wir erklären, warum sie so effektiv ist, und wie Sie sich davor schützen können.

© Feodora via stock.adobe.com

Firewall, Anti-Malware-Software, Patch Management: Wer diese oder andere unerlässliche Systeme und Maßnahmen in seinem Unternehmen implementiert hat, hält sein Business vermutlich für gut geschützt gegen Hackerangriffe. Doch während der Fokus auf Viren, Trojaner und Co. liegt, wird die größte Schwachstelle gerne übersehen – der Mensch. Cyberkriminelle haben sie längt erkannt und ein eigenes „Business“ entwickelt: Social Engineering. Dabei wird nicht die IT-Infrastruktur angegriffen, sondern der Mensch selbst – vom Lagermitarbeiter bis zum CEO sind alle potenzielle Opfer.

Profis manipulieren die Psyche

Amateure hacken Systeme, Profis hacken Menschen“, hat Bruce Schneier, US-Experte für Cybersicherheit einst treffend festgestellt. Denn mit ein wenig psychologischem Know-how lassen sich Menschen leichter manipulieren als IT-Systeme. Dafür nutzen die Hacker menschliche Urinstinkte wie Neugier, Vertrauen, Angst oder Respekt vor Autorität aus – ähnlich wie beim bekannten Enkeltrick oder einem Trickbetrug an der Haustür. (Wie einfach das geht, zeigt dieses Video.) Das Ziel ist dabei immer dasselbe: sensible Daten abzugreifen.

CEO-Fraud: Social Engineering und der Betrug vom Chef

Ein Beispiel für Social Engineering, das aktuell besonders beliebt bei Hackern ist, nennt sich CEO Fraud: Dabei wird ein Mitarbeiter vom vermeintlichen Vorgesetzten per E-Mail angewiesen, große Geldsummen zu überweisen. Eine andere Methode ist der „Quid pro quo“-Angriff. Hierbei gibt sich der Hacker meist telefonisch oder per E-Mail als IT-Administrator aus und bittet einen Mitarbeiter um Zugangsdaten, Dateien, etc., um ein vermeintliches technisches Problem zu lösen. „Vertrauen ist die Schwachstelle, die durch Social Engineering ausgenutzt wird“, hat es der ehemalige Hacker Kevin Mitnick auf den Punkt gebracht.

5 Tipps zum Schutz vor Social Engineering

Um sich vor Social Engineeringzu schützen, bedarf es gewisser Strategien, denn: „Der Mensch ist das einzige System, das nicht gepatcht werden kann“, sagt Kevin Mitnick. Diese 5 Tipps helfen, um die Sicherheitslücke „Mensch“ zu schließen:

1.

Weitergabe von Informationen

Die oberste Regel lautet: Geben Sie keine internen oder vertraulichen Informationen wie Passwörter, Kunden- und Mitarbeiterdaten, etc. weiter – weder per Telefon noch per E-Mail. Eine Möglichkeit ist übrigens, intern mündlich (!) ein monatlich wechselndes Codewort zu vereinbaren, das es zum Anweisen von Transaktionen braucht. Wird das Codewort nicht genannt, wissen Sie sofort, dass man Ihnen eine Falle stellen will.

2.

Lieber einmal mehr nachfragen

Bei ungewöhnlichen Anfragen sollten Sie die Identität und die Berechtigung des Fragenden aufnehmen und nachprüfen. Bis diese nicht sichergestellt ist, gilt Punkt 1.

3.

Nicht anklicken!

Kommt Ihnen der Inhalt einer E-Mail verdächtig vor, laden Sie keine Anhänge runter und öffnen Sie auch nicht mitgeschickte Links. Es könnte sich um eine Pishing-Mail handeln!

4.

Hover-Check

Enthält die eingegangene E-Mail einen Link, fahren Sie generell immer mit der Maus über diesen (das nennt sich auch „hovern“). In der Regel wird dabei unten in der Statusleiste am unteren Fensterrand das Ziel des Links angezeigt. Dies ist der URL, der durch den Klick auf den Link aufgerufen werden würde. Kontrollieren Sie diesen grundsätzlich, bevor Sie klicken. Kommt die Adresse Ihnen merkwürdig vor, gilt Punkt 3.

5.

Security-Schulung

Sie können die Sicherheits-Lücke Mensch in Ihrem Unternehmen nicht durch einen Patch schließen, aber ein Bewusstsein für die Gefahren des Social Engineerings und vieler anderer Risiken und Gefahren sowie deren Abwehr durch Cybersecurity-Schulungen schaffen. LWsystems bietet diese Schulungen übrigens auch an. Infos dazu finden Sie hier.

Es muss nicht immer CEO-Fraud sein …

Folgende Masche des Social Engineerings funktioniert laut Sicherheitsbehörden selbst in gut informierten Unternehmen:

Vorgehen

  • Hacker schicken eine präparierte E-Mail im Namen der Geschäftsführung oder des CFO an die Buchhaltung.
  • In der E-Mail wird darum gebeten, alle Eingangsrechnungen der letzten vier Wochen aufzustellen.

Erstohlenes Wissen

  • Angreifer erhalten eine Übersicht der gelisteten Lieferanten.
  • Sie bekommen ein Gefühl für Höhe von in Rechnung gestellten Leistungen.

Angriff

  • Hacker geben sich per E-Mail als Mitarbeiter eines der Lieferanten aus.
  • Sie erbitten Änderung der gespeicherten Stammdaten, konkret die Änderung der Bankverbindung.

Erfolg

  • Die nächste Lieferantenrechnung gehen auf das Konto der Hacker ein, bis der Betrug auffliegt.
  • Dieser wird in der Regel erst bei Anmahnung offener Rechnungen durch den Lieferanten entdeckt.

Endlich unabhängig werden

05403 / 88017-0
info@lw-systems.de

WEITERE NACHRICHTEN

  • 05 02/2025
    Wie gut ist GrapheneOS wirklich?

    Wie gut ist das Open Source-Betriebssystem fürs Smartphone als Alternative zu Android und iOS? Die Erkenntnisse des IT-Experten im Video!...

    Weiterlesen
  • 08 01/2025
    E-Rechnung: Das sollten Sie jetzt wissen und beachten

    Im FAQ zum Thema E-Rechnung und gesetzeskonformer Mailarchivierung finden Sie Antworten auf die wichtigsten Fragen. Verständlich und übersichtlich....

    Weiterlesen
  • 04 12/2024
    2025 im Blick: Top 10 IT-Trends, die Sie kennen sollten, um den Anschluss nicht zu verlieren

    Wir beleuchten 10 zentrale Trends, die IT-Experten und Entscheider 2025 auf dem Schirm haben sollten. Wer diese Entwicklungen vernachlässigt oder nur...

    Weiterlesen
  • 05 11/2024
    Open Source-Lösungen für den Alltag

    Bildbearbeitung, Grafikdesign, Routenplanung: Auf diese Open Source-Lösungen würden viele Anwender nicht mehr verzichten. Auch für Laien perfekt un...

    Weiterlesen
  • 04 11/2024
    Wie integriert man Open Source bei einem bundesweiten Verband?

    Eine neue gemeinsame digitale Plattform für 5000 Ehrenamtliche und dies mit einer transparenten, flexiblen, quelloffenen Lösung, die auch noch gut b...

    Weiterlesen
  • 01 10/2024
    Rechenzentren, Banken, Weltkonzerne: Andreas Heideck hackt sie alle

    Im Interview erzählt IT-Security-Experte Andreas Heideck, wer ihn engagiert und wie er es schafft, in jedes Unternehmen einzudringen – physisch, vo...

    Weiterlesen
  • 04 09/2024
    Endlich zurück! LWsystems Professional Day 2024

    Am 7. November trifft sich das Who-is-Who der IT-Branche bei unserem #LPD2024. Seien auch Sie dabei. Alle Infos, Tickets und das vollständige Program...

    Weiterlesen
  • 31 07/2024
    KI MyLens AI: Was kann die Künstliche Intelligenz visuell leisten?

    IT-Experte Ansgar Licher macht den Test: Wie gut visualisiert MyLens AI Daten? Alle Ergebnisse und Visualisierungen auf einen Blick....

    Weiterlesen
  • 02 07/2024
    Künstliche Intelligenz: Chance oder Gefahr?

    IT-Experte Ansgar Licher ordnet aktuelle Trends bei Künstlicher Intelligenz ein und zeigt Möglichkei-ten und Gefahren auf....

    Weiterlesen
  • 03 06/2024
    IT-Angriffe: Diese 5 Mythen begegnen uns immer wieder

    Im Bereich Cybersecurity und -attacken sind Mythen, Binsenweisheiten und Co. schlechte Ratgeber. Diese Mythen halten sich hartnäckig und schaden Unte...

    Weiterlesen
Aktuelles Übersicht

NEWSLETTER

Melden Sie sich für unseren informativen Newsletter an.
Jeden 1. Donnerstag im Monat informieren wir Sie über spannende Themen aus der IT-Welt.

Newsletter abonnieren

KONTAKT

info@lw-systems.de

Zentrale: +49 (0)5403 / 88017-0
Vertrieb: +49 (0)5403 / 88017-50
Support: +49 (0)5403 / 88017-80

Telefax: +49 (0)05403 / 88017-30

LWsystems GmbH & Co. KG
Tegelerweg 11
49186 Bad Iburg