Social Engineering
Bei einem Social Engineering Angriff macht sich der Täter die Schwachstelle Mensch durch virtuelle oder physische Manipulationstechniken zunutze. Mit unserem Social Engineering Assessment helfen wir Ihnen, Mitarbeiter zu sensibilisieren und Ihre IT-Sicherheit zu verbessern.

Social Engineering

Bei einem Social Engineering Angriff macht sich der Täter die Schwachstelle Mensch durch virtuelle oder physische Manipulationstechniken zunutze. Mit unserem Social Engineering Assessment helfen wir Ihnen, Mitarbeiter zu sensibilisieren und Ihre IT-Sicherheit zu verbessern.
Social Engineering

Was ist Social Engineering?

Jeder von uns hatte schon einmal einen Anruf oder eine Mail, die einem seltsam vorkam. Dort wurden sensible Daten wie Kontoinformationen oder Passwörter verlangt. Genau darauf zielt das sogenannte Social Engineering ab. Täter versuchen das menschliche Verhalten der Opfer durch Vertrauen und Autorität zu manipulieren, um an die gewünschten Informationen zu kommen, um ihre kriminellen Absichten umzusetzen. Häufig werden zusätzlich über Phishing-E-Mails auch Malware in die Systeme eingeschleust. Der globalen Wirtschaft entstehen jedes Jahr Schäden in Milliardenhöhe durch Social-Engineering-Attacken. Trotzdem ist Social Engineering eine unterschätzte Gefahr. Im Gegensatz zu einer Lücke im Code ist sie schlecht greifbar und stellt zugleich die letzte Verteidigungslinie des Unternehmens dar. Die konkreten Folgen für Ihr Unternehmen können trotzdem gravierend sein, da Passwörter oder kritische Informationen in falsche Hände gelangen.

Social Engineering Methoden erkennen und abwehren

Mittlerweile gibt es eine ganze Reihe an Social Engineering Methoden. Für die meisten Mitarbeiter ist IT-Sicherheit allerdings nur ein abstraktes Konzept, das keinerlei Verbindung zu Ihrer Realität hat. In unserem Social Engineering Assessment schulen wir Sie und Ihr Personal ganz besonders auf die Herangehensweise der Angreifer, damit Sie diese im Ernstfall erkennen und abwehren können.

Bei Social Engineering Angriffen nutzen die Täter häufig verschiedene Methoden. Darunter fallen beispielsweise:
  • Pretexting: Beim Pretexting werden Geschichten erfunden, um das Vertrauen der Opfer zu erlangen. Dies könnten zum Beispiel Betreffzeilen sein, die um Hilfe bitten oder Überraschungen für die Belegschaft planen. Mitarbeiter werden auch angerufen und um Hilfe gebeten, zum Beispiel durch den vermeintlichen System-Administrator, der Zugänge braucht und fingierte Probleme zu lösen. Häufig wird ein großer Aufwand betrieben, eigene E-Mail-Adressen oder Websites für diesen Zweck angelegt, um die “Echtheit” zu verifizieren.
  • E-Mail Spear Phishing: Beim Spear Fishing wird ein gezielter Angriff auf Einzelpersonen oder Unternehmen vorgenommen. Die Mailadresse kann vertrauenswürdig aussehen und ist den Mitarbeiter häufig bekannt. Das kann ein anderes Unternehmen oder ein Bekannter sein. Bei genauerem Hinsehen unterscheiden sich die Mailadressen jedoch geringfügig.
  • CEO-Fraud: Diese Methode zielt darauf ab, dem Mitarbeiter vorzutäuschen, die Mail käme von einem Vorgesetzten mit der Bitte um sofortige Offenlegung von wichtigen Daten. Durch die vermeintliche Autorität des Absenders übergehen die Opfer häufig die Sicherheitsprotokolle.
Es gibt auch Methoden, die das physische Eindringen der Täter in ein Firmengebäude erfordern:
  • Tailgating: Einige Täter geben sich als Lieferant, Gebäudereiniger oder neuen Mitarbeiter aus, um in geschützte Bereiche des Unternehmens vorzudringen. Häufig wird im Vorfeld Pretexting oder eine Phishing E-Mail genutzt, um das Vertrauen zu erlangen.
  • Media Dropping: Dies ist eine Kombination aus virtueller und physischer Methode. Dabei wird über beispielsweise das Tailgating ein USB Stick, der mit Spyware oder Malware infiziert ist, auffällig platziert. Eine passende Beschriftung soll die Neugierde des Mitarbeiters wecken, den USB Stick zu öffnen und so die Software ins System zu schleusen.

Eine Social-Engineering-Attacke markiert oft den Beginn eines Hackerangriffs

Das macht Social Engineering gefährlich. Umgekehrt heißt das aber auch: Wenn es Ihnen gelingt, Social-Engineering-Attacken zu verhindern, sind viele Angriffe auf Ihr Unternehmen wirkungslos.

  • Der Angreifer verschafft sich zum Beispiel über Social Engineering Zutritt zu einem Gebäude, in dem er dann weitere Möglichkeiten hat, das System anzugreifen.
  • Er schreibt eine Phishingmail, um darüber an ein Passwort zu gelangen und sich so erste Zugriffsrechte zu sichern.
  • Mehr als 75% aller Social-Engineering-Attacken starten mit einer Phishingmail. Nur ein Bruchteil der existierenden Exploits nutzt eine rein technische Schwachstelle aus.
  • 97 % der Malware greift dagegen den User mit Social-Engineering-Techniken an.

Vorteile des Social Engineering Assessments

Gegen Social Engineering gibt es keine Software, kein Update und kein Gerät. Wenn Sie Ihr Unternehmen effektiv vor Social-Engineering-Attacken schützen wollen, müssen Sie alle Mitarbeiter regelmäßig schulen. Das gilt für die gesamte Belegschaft: Auch wenn ein Mitarbeiter nur einfache Zugriffsrechte auf bestimmte Systeme hat - dieses Einfallstor könnte einem Angreifer genügen, um weitere tiefergehende Angriffe zu starten. Jeder Mitarbeiter ist eine potenzielle Schwachstelle, aber kaum ein Mitarbeiter verfügt über ein adäquates Sicherheitsbewusstsein. Für die meisten Mitarbeiter ist IT-Sicherheit nur ein abstraktes Konzept, das keinerlei Verbindung zu Ihrer Realität hat. Deshalb fällt es ihnen schwer, Social-Engineering-Angriffe im Ernstfall zu erkennen und abzuwehren.

Aktuelle Artikel

Unsere Mitarbeiter veröffentlichen regelmäßig Artikel zum Thema IT-Security

FORCEDENTRY: iMessage Zero-Click Exploit im Check
FORCEDENTRY: iMessage Zero-Click Exploit im Check

Eine Analyse des Smartphones eines saudi-arabischen Aktivisten ergab, dass die NSO Group einen Zero-Click Exploit gegen iMessage nutzte.

Mehr
Was ist das Cybersecurity Framework von NIST?
Was ist das Cybersecurity Framework von NIST?

Als leistungsstarkes Werkzeug hilft Ihnen das Cybersecurity Framework NIST dabei, Ihre Cybersecurity zu organisieren und gleichzeitig zu verbessern.

Mehr
Security Awareness mit einer Phishing Simulation
Security Awareness mit einer Phishing Simulation

Eine Phishing Simulation ist ein oft genutztes Mittel, mit dem sich Cyberangriffe nachstellen oder vortäuschen lassen.

Mehr

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen:



Loading...