{"id":10462,"date":"2023-10-20T15:13:27","date_gmt":"2023-10-20T13:13:27","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=10462"},"modified":"2023-10-23T15:14:06","modified_gmt":"2023-10-23T13:14:06","slug":"social-engineering-beispiele","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/social-engineering-beispiele\/","title":{"rendered":"Social Engineering im Fokus des Cybersecurity Month: Beispiele f\u00fcr einen Angriff"},"content":{"rendered":"

Der Oktober ist nicht nur der Monat der herbstlichen Farben und der Zeitumstellung, sondern auch des European Cyber Security Month (ECSM). Diese j\u00e4hrliche Initiative zielt darauf ab, das Bewusstsein f\u00fcr Cybersicherheit zu sch\u00e4rfen und Menschen \u00fcber die Bedeutung von Sicherheitsma\u00dfnahmen aufzukl\u00e4ren. Im Rahmen unserer kleinen, dreiteiligen Blog-Reihe haben wir Ihnen in Teil 1 bereits mehr \u00fcber die Entstehungsgeschichte des „Cyber Security Month“\u00a0<\/a> erz\u00e4hlt. Heute, in unserem 2. Teil, wollen wir das Augenmerk auf eine spezielle Art von Cyberbedrohung legen: das Social Engineering.<\/p>\n

Erfahren Sie, was sich hinter diesem Begriff verbirgt bzw. was es mit Social Engineering auf sich hat, wo die Gefahren lauern und wie Sie sich sch\u00fctzen k\u00f6nnen.<\/p>\n

Soziale T\u00e4uschung: Was ist Social Engineering?<\/h2>\n

Social Engineering ist eine Form des Cyberangriffs, bei der Angreifende darauf abzielen, Menschen zu t\u00e4uschen, zu manipulieren und zu \u00fcberlisten, um an vertrauliche Informationen, Zugangsdaten oder Geld zu gelangen. Statt die Schwachstellen von Computersystemen auszunutzen, richtet sich Social Engineering gezielt an die menschliche Psyche und soziale Dynamik. Anstatt sich also durch komplexe technische Sicherheitsvorkehrungen zu hacken, beeinflusst ein Angreifender hier einen Menschen direkt. Durch Manipulation und T\u00e4uschung werden vertrauliche Informationen abgefragt oder Schadsoftware auf Ger\u00e4ten installiert.<\/p>\n

Der Erfolg von Social Engineering-Angriffen basiert auf der Tatsache, dass Menschen oft dazu neigen, anderen zu vertrauen und in gutem Glauben zu handeln. Cyberkriminelle nutzen dieses Vertrauen, um ihre Opfer dazu zu bringen, Dinge zu tun, die sie unter normalen Umst\u00e4nden niemals tun w\u00fcrden. Dies kann die Herausgabe von Passw\u00f6rtern, Kreditkartendaten, vertraulichen Informationen oder die Installation von sch\u00e4dlicher Software umfassen.<\/p>\n

Social Engineering Beispiele: So k\u00f6nnen Angriffe ablaufen<\/h2>\n

Um Ihnen das Problem und seine Tragweite besser bewusst zu machen, m\u00f6chten wir Ihnen anhand von drei fiktiven Social Engineering Angriffsszenarien zeigen, wie Hacker sensible Daten erbeuten oder Schadsoftware installieren k\u00f6nnen \u2013 ganz einfach durch Manipulation und T\u00e4uschung. Wenn Sie mehr \u00fcber die Theorie erfahren m\u00f6chten, welche Formen es gibt und wie Angriffe ablaufen, empfehlen wir Ihnen auch unseren Blogartikel \u201eIdentit\u00e4tsdiebstahl im Internet: Was ist Social Engineering?<\/a>\u201c<\/p>\n

Szenario 1: Die Fake-IT-Unterst\u00fctzung<\/h3>\n

Hackerin Lisa recherchiert ein mittelst\u00e4ndisches Unternehmen und identifiziert einen Mitarbeiter, der in der Buchhaltung arbeitet. Lisa erf\u00e4hrt, dass der Mitarbeiter Max in der Vergangenheit IT-Probleme hatte und dazu neigt, Unterst\u00fctzung vom IT-Support Team des Unternehmens zu suchen.<\/p>\n

Lisa erstellt nun eine gef\u00e4lschte E-Mail-Adresse, die der des echten IT-Teams zum verwechseln \u00e4hnlich sieht und gibt vor, eine IT-Support-Spezialistin zu sein. Sie sendet Max eine E-Mail mit dem Betreff: „IT-Problem mit deinem E-Mail Account“. In der Nachricht erkl\u00e4rt sie, dass es ein schwerwiegendes Sicherheitsproblem auf dem E-Mail Server des Unternehmens gibt und er dringend handeln muss. Sie fordert ihn auf, sein Passwort in einem angeh\u00e4ngten Link zur \u00dcberpr\u00fcfung zu aktualisieren, mehr m\u00fcsse er nicht tun.<\/p>\n

Max f\u00e4llt auf die F\u00e4lschung herein und gibt sein Passwort preis. Lisa erh\u00e4lt so Zugriff auf sein E-Mail Konto und kann vertrauliche Finanzinformationen stehlen, einschlie\u00dflich Bankdaten und Gesch\u00e4ftsinformationen. Diese Daten kann Lisa nun beispielsweise f\u00fcr illegale Geldtransaktionen oder Erpressungszwecke nutzen.<\/p>\n

Szenario 2: Die Social-Media-T\u00e4uschung<\/h3>\n

Hackerin Julia durchsucht soziale Netzwerke und st\u00f6\u00dft auf das Profil einer Mitarbeiterin der F&E Abteilung eines mittelst\u00e4ndisches Automotiv-Zulieferers namens Sarah. Julia entdeckt, dass Sarah an einem wichtigen Projekt arbeitet und eine passionierte Hundeliebhaberin ist.<\/p>\n

Julia erstellt nun ein gef\u00e4lschtes Instagram-Profil und gibt sich als nebenberufliche Betreiberin eines Hundeblogs aus, die \u201ezuf\u00e4llig\u201c in der selben Branche arbeitet wie Sarah. Sie folgt Sarah und kommentiert regelm\u00e4\u00dfig ihre Fotos von ihrem Hund. Nach einigen Wochen gewinnt Julia ihr Vertrauen und schl\u00e4gt vor, eine spezielle App zu verwenden, die f\u00fcr Sarahs Projekt angeblich unerl\u00e4sslich sei und schickt Sarah den Download-Link. Sarah klickt auf den Link und installiert eine Malware auf ihrem Arbeitscomputer.<\/p>\n

Julia kann nun auf Sarahs Arbeitscomputer zugreifen und sensible Projektinformationen stehlen. Diese Daten k\u00f6nnte sie verkaufen, f\u00fcr Wettbewerbsvorteile oder ebenfalls f\u00fcr Erpressungszwecke nutzen.<\/p>\n

Szenario 3: Die Chef-Anfrage<\/h3>\n

Hacker Michael recherchiert ein gro\u00dfes Unternehmen und findet heraus, wer der CEO ist. Er erstellt eine gef\u00e4lschte E-Mail-Adresse, die der des CEOs sehr \u00e4hnlich ist.<\/p>\n

Michael sendet eine gef\u00e4lschte E-Mail an David aus der Personalabteilung und gibt sich als CEO aus. In der E-Mail fordert Michael David auf, dringend eine Liste aller Mitarbeiter und Mitarbeiterinnen mit ihren Sozialversicherungsnummern zu senden, um eine vermeintliche Lohnabrechnung vorzubereiten. Er betont die Dringlichkeit und bittet um absolute Vertraulichkeit.<\/p>\n

David, der im Glauben handelt, dass er den Anweisungen des CEOs folgt, sendet die Liste mit den Sozialversicherungsnummern. Michael kann diese Daten nun f\u00fcr Identit\u00e4tsdiebstahl oder andere betr\u00fcgerische Aktivit\u00e4ten nutzen.<\/p>\n

Drei Beispiele \u2013 drei Gemeinsamkeiten<\/h3>\n

So unterschiedlich die oben gew\u00e4hlten Beispiele sind, so zeigen sie doch, dass jedes Mal der Faktor Mensch im Fokus steht: In allen drei Szenarien wird ein Mensch von Cyberkriminellen gezielt manipuliert \u2013 manchmal sogar \u00fcber einen l\u00e4ngeren Zeitraum hinweg \u2013, um an sensible Informationen zu gelangen. Drei weitere Gemeinsamkeiten unserer Beispiele sollten Ihnen aufgefallen sein:<\/p>\n

1. Die Opfer handelten jedes Mal im guten Glauben, das Richtige zu tun: David, Sarah und Max waren in dem festen Glauben, dass sie entweder einem Kollegen oder einem Vorgesetzten helfen, weswegen sie bereitwillig sensible Daten preisgeben.<\/p>\n

2. Unsere drei fiktiven Hacker investierten teilweise sehr viel Zeit und M\u00fche, um das Vertrauen ihrer Opfer zu gewinnen, sei es \u00fcber gef\u00e4lschte Profile, gef\u00e4lschte E-Mails oder manipulative Geschichten.<\/p>\n

3. Zudem wurde in jedem Angriffsszenario ein Gef\u00fchl von Dringlichkeit erzeugt, sei es in Form von vermeintlichen Sicherheitsproblemen, Projekten oder Anfragen des CEO, um die Opfer zu schnellen Handlungen zu bewegen.<\/p>\n

Schutz vor Social Engineering: Awareness ist der entscheidende Schl\u00fcssel<\/h2>\n

Unsere obigen Beispiele haben gezeigt, wie einfallsreich Cyberkriminelle heutzutage sind, wie sie eine Vielzahl von Taktiken nutzen, um an sensible Daten zu gelangen oder sch\u00e4dliche Software zu installieren und wie leicht Menschen in die Falle tappen k\u00f6nnen. In all diesen Szenarien handelten die Opfer in dem Glauben, das Richtige zu tun \u2013 sei es das Bereitstellen von Passw\u00f6rtern oder das T\u00e4tigen von Zahlungen.<\/p>\n

Zwar sind Unternehmen heute h\u00e4ufig gut durch technische Sicherheitsma\u00dfnahmen gut gesch\u00fctzt; die gr\u00f6\u00dfte Schwachstelle bleibt jedoch der Mensch. Deshalb ist die Awareness der wichtigste Schutz vor Social Engineering-Angriffen! Durch gezielte Vorbereitung und Sensibilisierung kann der Mensch zu einer entscheidenden Verteidigungslinie f\u00fcr Unternehmen werden: Wenn Mitarbeitende n\u00e4mlich f\u00fcr die Taktiken und Techniken der Angreifenden sensibilisiert sind, k\u00f6nnen sie verd\u00e4chtige Anfragen erkennen und angemessen reagieren.<\/p>\n

Die Rolle von Sicherheitsschulungen<\/h3>\n

Sicherheitsschulungen sind ein entscheidendes Instrument, um Awareness aufzubauen und zu st\u00e4rken. In diesen Schulungen lernen Besch\u00e4ftigte, wie sie Social Engineering-Angriffe erkennen k\u00f6nnen. Sie erfahren, wie sie sicher mit sensiblen Informationen umgehen und wie sie im Falle von verd\u00e4chtigen Anfragen handeln sollten. Regelm\u00e4\u00dfige Schulungen gew\u00e4hrleisten zudem, dass das Bewusstsein f\u00fcr Sicherheitsrisiken aufrechterhalten wird und Mitarbeitende \u00fcber aktuelle Bedrohungen informiert sind.<\/p>\n

Vertrauen ist gut, Kontrolle ist besser<\/h3>\n

Die Tatsache, dass Hacker oft versuchen, Vertrauen aufzubauen und Dringlichkeit zu erzeugen, macht es umso wichtiger, kritisch zu hinterfragen. Selbst Anfragen, die angeblich von Vorgesetzten oder Kollegen kommen, sollten sorgf\u00e4ltig \u00fcberpr\u00fcft werden. Bringen Sie allen Mitarbeiterinnen und Mitarbeitern bei, dass sie bei Nachrichten, in denen sensible Informationen, Zahlungen oder Softwareinstallationen verlangt werden, skeptisch sein sollten \u2013 auch wenn sie vom Chef zu kommen scheinen.<\/p>\n

Die Awareness der PSW CONSULTING<\/h3>\n

Um Unternehmen bei der Sensibilisierung ihrer Mitarbeiter zu unterst\u00fctzen, bietet die PSW CONSULTING umfassende Awareness-Programme an. Diese Schulungen sind darauf ausgerichtet, Besch\u00e4ftigte in die Lage zu versetzen, Social Engineering-Angriffe zu erkennen und sich davor zu sch\u00fctzen. Erfahren Sie mehr \u00fcber die Awareness-Schulungen der PSW CONSULTING<\/a>.<\/p>\n

Fazit: Bauen Sie eine Human Firewall auf<\/h2>\n

Die Sicherheit Ihrer IT ist nur so stark wie ihr schw\u00e4chstes Glied. Daher ist es entscheidend, die Sicherheit nicht nur durch Hard- und Software zu st\u00e4rken, sondern auch durch die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter. Die in diesem Artikel vorgestellten Social Engineering Angriffe w\u00e4ren wahrscheinlich nicht erfolgreich gewesen, wenn die betroffenen Mitarbeitenden \u00fcber Security-Awareness verf\u00fcgt h\u00e4tten.<\/p>\n

Sch\u00fctzen Sie Ihr Unternehmen deshalb, indem Sie Ihre Besch\u00e4ftigten darauf vorbereiten, die ersten Verteidigungslinien gegen Social Engineering-Angriffe zu sein. Gutes Training und ein gesundes Ma\u00df an Skepsis sind entscheidend, um die T\u00e4uschungsversuche der Angreifer zu durchschauen und abzuwehren. Wenn Sie Fragen zu unserem Schulungsangebot oder zur Human Firewall haben, z\u00f6gern Sie nicht, uns zu kontaktieren. Wir freuen uns auf den Austausch mit Ihnen.<\/p>\n

 <\/p>\n