Menschen machen Fehler – unsere begrenzte Rationalität macht uns verwundbar. Die beste IT-­‐ Sicherheitslösung nützt nichts, wenn der Mensch aus dem Fokus gerät. Denn auch in Zeiten der Digitalisierung sitzt zumeist ein fühlendes Wesen am anderen Ende des Bildschirms. Und genau dessen Emotionalität machen sich sogenannte „Social Engineerer“ zu Nutze: Ihnen geht es nicht nur um das reine „Abfischen“ von Zugangsdaten, Pincodes oder Geschäftsgeheimnissen. Mittels sozialer Manipulation sollen die Opfer dieser Form von Cyberkriminalität vielmehr dazu gebracht werden, Dinge zu tun, die nicht in ihrem oder im Interesse ihres Arbeitgebers liegen. Nicht die IT-­‐Systeme stehen also im Fokus der Social Engineerer, sondern ihre Nutzer.

Die Gefühlsfalle

Von Angst über Autorität bis hin zu Zeitdruck und Humor: Die Taktiken der Hacker sind breit gefächert und reichen strategisch von der Email des vermeintlichen Administrators mit der Aufforderung zur Änderung eines Passwortes bis hin zur gefälschten Nachricht des Vorgesetzten. Als CEO-­Fraud werden beispielsweise Social-­Engineering-­Angriffe bezeichnet, bei denen sich die Betrüger als Geschäftsführer oder Vorstandsmitglied eines Unternehmens ausgeben. Meist wird in solchen E-­‐Mails massiv Druck aufgebaut, z.B. weil der vermeintliche Chef vorgibt, in einer Notsituation zu sein und schnelles Handeln wie eine Überweisung, die Freischaltung einer Datei oder die Herausgabe von Informationen verlangt. Hier nutzt der Angreifer die natürliche Hierarchie in einem Unternehmen um das Opfer in die Enge zu treiben.

Neben der Erzeugung von negativen Gefühlen wie Druck und Angst nutzen die Hacker häufig auch die Neugier, das Vertrauen oder die Hilfsbereitschaft ihrer Opfer aus. Sie regen z.B. Verhalten an, das einem Dritten vermeintlich hilft oder stellen scheinbar brisante Informationen in Aussicht. So zeigt eine Studie aus dem Jahr 2015, bei der USB-­‐Sticks auf dem Campus der University of Illinois verteilt wurden, dass 48 Prozent der Sticks aufgehoben und die Dateien darauf geöffnet wurden.

Die einzelnen Taktiken im Überblick können Sie auch unserem Awareness-Poster entnehmen, welches von uns für die Allianz für Cybersicherheit des BSI erstellt wurde: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/partner/20190116_Awareness_Poster_SoSafe.html 

Bewusstsein schaffen

Security Awareness ist unabdinglich: Denn selbst erfahrene IT-­Profis fallen auf die Masche der Hacker hinein. Das Bewusstsein darüber, welche Taktiken von Angreifern eingesetzt werden, ist ein erster und großer Schritt in Richtung Cyber-­Sicherheit. Denn ein gesundes Maß an Vorsicht und das Wissen über die perfiden Taktiken der „Social Engineerer“ kann Nutzer vor Cyberattacken schützen. Laut Bitkom bemerken Unternehmen Hackerangriffe am häufigsten dank Hinweisen aus der Belegschaft. Seien Sie wachsam, achten Sie auf sichere Phishing-­Hinweise wie direkte Fragen nach Passwortdaten oder Geld, versuchen Sie im Zweifel den Absender zu verifizieren und informieren Sie sich über aktuelle Betrugs-­ und Phishingwellen. So fasst es das Bundesamt für Sicherheit in der Informationstechnik im aktuellen Lagebericht zur IT-­Sicherheit in Deutschland wie folgt zusammen:

„Ein wirksamer Schutz vor Cyber-­Angriffen ist nur möglich, wenn allgemeine Gefährdungen im Cyber-­Raum sowie die eigene konkrete Gefährdungslage zumindest im Überblick bekannt sind. Dieses Wissen ist Voraussetzung, um geeignete präventive und reaktive Maßnahmen auszuwählen und eine Basis für eigene Risikoanalysen zu schaffen.“

Schützen Sie sich…

  • Seien Sie grundsätzlich vorsichtig – auch vermeintliche E-­Mails von Kollegen, Freunden und Vorgesetzten können von unbekannten Absendern stammen. Vergewissern Sie sich im Zweifel durch einen Anruf bei der Absenderin/dem Absender, ob es sich um eine legitime E-­Mail handelt.
  • Stellen Sie möglichst wenige persönliche Informationen über sich ins Netz. Gehen Sie insbesondere mit Sozialen Netzwerken verantwortlich um.
  • Wählen Sie Ihr Passwort mit Bedacht und geben Sie es weder an Vorgesetzte noch Systemadministratoren weiter. Dies sollte, falls unbedingt nötig, nur im direkten Kontakt geschehen.

… und Ihre Mitarbeiter

  • Steigern Sie das Gefahren-­ und Risikobewusstsein Ihrer Mitarbeiter.
  • Bieten Sie Ihren Mitarbeitern Schulungen an und sensibilisieren Sie diese so für die psychologischen Tricks der Social Engineerer.

Über SoSafe

SoSafe testet, sensibilisiert und schult Ihre Mitarbeiter im richtigen Umgang mit allen Arten von Social Engineering-Angriffen. Wir trainieren Ihre Mitarbeiter mit einem modernen, einfach zu bedienenden SaaS-Tool sowie simulierten Angriffen im richtigen Umgang mit Cyberrisiken. Fragen Sie jetzt einen unverbindlichen Testlauf bei SoSafe an. So erhalten Sie erste Transparenz darüber, wie anfällig Ihre Organisation für derartige Attacken ist.

www.sosafe.de Cyber Security Awareness made in Germany

Text: Maximiliane Overhage