Dienstag, 27. Juli 2021

Awareness - mit einfachen Mitteln viel erreichen

Trickbetrüger 2.0 - Phishing, Social Engeneering und andere "krumme Touren". Auch die Kriminalität ist längst im digitalen Zeitalter angekommen. Was in den letzten Jahrzehnten Drückerkolonnen und betrügerische Werbeanrufe waren, kommt schon längst auch digitalisiert daher. Wir schützen unsere Systeme mit komplexen Firewalls und Intrusion-Detection-Systemen. Das ist gut und wichtig. Aber eine Schwachstelle bleibt - der Mensch.


Und genau da setzen die Täter an - bei netten Kollegen, hilfsbereiten Dienstleistern und sorgfältigen Managern. 

Die häufigsten Angriffsmethoden im Überblick


Phishing-Mails - Längst nicht mehr voller Druckfehler!

Folgende Angriffsmethoden sollten allen Mitarbeitern Ihres Unternehmens kennen:

  1. Phishing - über möglichst echt aussehende E-Mails wird dem Empfänger vorgegaukelt, ihm schreibe ein seriöser Absender - ein Geldinstitut, ein weit verbreiteter Softwarehersteller, eine Behörde. Die E-Mail enthält entweder Schadsoftware in Form eines ebenfalls glaubwürdig aussehenden Anhangs oder einen Link zu einer (selbstverständlich ebenfalls nachgemachten) Internetseite des vermeintlichen Absenders, wo das Opfer aufgefordert wird, seine Zugangsdaten einzugeben. Diese Angriffe richten sich in der Regel an eine große Zahl von Empfängern, unabhängig von deren Position im Unternehmen oder privat. Gerade im unternehmerischen Umfeld häufen sich inzwischen deutlich gezieltere Attacken auf Führungskräfte, IT-Experten oder andere Personen mit Zugriff auf die für die Täter lukrativen, besonders geschützten Daten. Man nennt diese Technik
  2. Spear Phishing - anders als beim Fischen mit einem Netz, in dem sich Fische jeder Art und Größe verfangen können, zielen die Täter beim Spear Phishing nur auf eine begrenzte Zahl von Personen on einem Unternehmen. Nämlich auf die, die Zugang zu den wertvollen, lukrativen Daten haben. Durch die geringere Zahl von E-Mails fallen diese nicht so schnell als betrügerisch auf - bekommen 200 Mitarbeiter aus allen möglichen Abteilungen eine vermeintliche Rechnung, ist die Wahrscheinlichkeit groß, dass einer misstrauisch wird und die IT-Sicherheitsexperten alarmiert. Bekommen diese Nachricht nur 2-3 Personen aus dem Einkauf oder der Finanzabteilung, also die, die sowieso jeden Tag Rechnungen bezahlen, ist das Risiko der Entdeckung für die Täter viel geringer. Außerdem haben diese Opfer in der Regel mehr und besser auszubeutende Zugriffsrechte - sie dürfen Gelder überweisen, Anweisungen erteilen, haben administrative Rechte auf das gesamt IT-System, und so weiter.
  3. Social Engeneering - unter diesem Oberbegriff sammeln sich alle möglichen anderen Angriffsformen, die auf den Diebstahl geheimer Unternehmensdaten abzielen. Egal, mit welcher Technik der Erstkontakt erfolgt - E-Mail, Textnachricht, Anruf, ... - es geht immer darum, das soziale Verhalten der Opfer auszunutzen, um wertvolle Daten oder Zugang zu einem anderen, mit mehr Zugriffsrechten ausgestatteten Opfer zu erhalten. 

Hier einige Beispiele aus unserer Beratungspraxis:

Beispiel 1: Ein Anruf eines vermeintlichen Geschäftspartners, der sich erkundigt, wer im Unternehmen eine bestimmte Qualifikation hat, da man diesen Mitarbeitern spezielle Produktschulungen anbieten wolle -  kann eine ganz normale Maßnahme der partnerschaftlichen Zusammenarbeit sein. Oder der Versuch eines Headhunters, geeignete Personen für eine Abwerbung zu finden.  

Beispiel 2: Eine Nachricht über Social Media eines vermeintlichen Bekannten an den Geschäftsführer mit der Bitte, Kontakt zu einem anderen Unternehmen zu vermitteln. Networking, wie es jeder von uns regelmäßig macht - zum Vorteil aller Beteiligten. Oder der Versuch, einen vertrauenswürdigen Zugang zu dem vermittelten unternehmen zu bekommen um dem dortigen Geschäftsführer (unter Ausnutzung Ihres guten Namens!) vertrauliche Informationen zu entlocken.

Beispiel 3: Ein Anruf bei der Assistenz, ob Herr / Frau XX im Hause ist. Man müsse ihn / sie in einer dringenden persönlichen Angelegenheit erreichen. Ein Notfall in der Familie? Oder der Versuch herauszufinden, ob sich diese Person als Fassade für den nächsten Angriff eignet?

Warum diese Methoden so perfide sind:

Der Angerufene im ersten Beispiel glaubt, den Geschäftspartner zu kennen und ihm vertrauen zu können. Solche Schulungsprogramme sind auch weit verbreitet und natürlich möchte er den Kollegen die Möglichkeit geben, hier weiteres Wissen zu erwerben. Der Angerufene handelt also in bester Absicht und zum Vorteil des Unternehmens, wenn er die Namen weitergibt.

Der Geschäftsführer im zweiten Beispiel wird seinem (vermeintlichen) Bekannten ebenfalls gerne weiterhelfen, das ist nicht nur höflich, sondern festigt die Geschäftsbeziehung zwischen allen drei beteiligten Unternehmen. 

Auch die Assistenz ist nichts anderes als höflich und professionell - selbstverständlich soll der Kollege / die Kollegin über den Notfall schnellstmöglich informiert werden. 

Man kann den Opfern also in keinem unserer Beispiele einen Vorwurf machen, dass sie die Daten an Kriminelle weitergegeben haben. Wie soll sich das Unternehmen dann vor solchen Angriffen schützen?

Awareness - mit einfachen Mitteln viel erreichen


Bei Awareness-Maßnahmen geht es nicht darum, den Mitarbeitern bestimmte Verhaltensweisen fest vorzuschreiben oder zu untersagen. 

Das wäre in diesem Fall nicht zielführend - die Mitarbeiter würden unhöflich gegenüber Geschäftspartnern, unkollegial gegenüber einem Kollegen in einer persönlichen Notlage, der Geschäftsführer würde sich wertvolle Networking-Chancen entgehen lassen. 

Awareness bedeutet Bewusstsein, und genau darum geht es in diesem Bereich: den Mitarbeitern ein Bewusstsein für die Risiken und die Angriffsmethoden zu vermitteln, damit sie im Zweifel das richtige Bauchgefühl haben und entsprechend reagieren. Mit einer höflichen, aber wirksamen Nachfrage. Mit einer Auskunft, die die nötigen Informationen enthält, aber keine, die missbraucht werden könnten. Mit einer Weitergabe der Anfrage an den Geschäftspartner, damit dieser sich sein eigenes Bild machen kann.


Bei Interessen an Awareness-Material- Fragen Sie uns an!

yourIT bietet Ihnen individuelle Awareness-Kampagnen für Ihr Unternehmen:


Abgestimmt auf die jeweilige Zielgruppe, auf Ihre Branche, auf die nach Ihren und / oder unseren Erfahrungen häufigsten Angriffsformen. Für Unternehmen aus Baden-Württemberg und einigen anderen Bundesländern stehen derzeit auch staatliche Fördergelder zur Verfügung - bis zu 50% der Lehrgangskosten. Sprechen Sie uns an, wir unterstützen Sie gerne bei der Antragstellung!


Fordern Sie uns! Wir freuen uns auf Ihre Anfragen.

Jetzt Kontakt aufnehmen


Verantwortlich für diesen Blog-Beitrag ist die yourIT GmbH aus Balingen.