12.10.2023 - Oftmals wird im Zusammenhang mit Cyberangriffen der Begriff «Hacker» verwendet. So entsteht leicht der Eindruck, dass Angreifer vor allem über technische Schwachstellen in die IT-Systeme von Unternehmen eindringen. Doch dieser Eindruck täuscht. In vielen Fällen dringt eine Schadsoftware über die eigenen Mitarbeitenden in das System von Unternehmen ein, weil diese Opfer von Social Engineering geworden sind. Aus diesem Grund ist es wichtig, dass die Mitarbeitenden die Angriffsmethoden von Social Engineering kennen und wissen, wie sie sich im Falle eines Angriffs verhalten müssen. Unternehmen setzen deshalb zur Sensibilisierung der Mitarbeitenden teilweise auch professionelle Social Engineers ein.
Eine im Mai 2022 veröffentlichte Studie der Hochschule Luzern, der Mobiliar und Economiesuisse hat aufgezeigt, dass Cyberrisiken oftmals als reines IT-Problem behandelt werden. Doch auch die Mitarbeitenden können über Social Engineering-Methoden zu einer Schwachstelle werden und bilden somit ein Sicherheitsrisiko. Bei Social Engineering informieren sich Kriminelle im Vorfeld über die Unternehmens- oder Organisationsstruktur. Dies geschieht durch öffentlich zugängliche Informationen, die zum Beispiel auf der Firmen-Website auffindbar sind. Aufgrund der gewonnenen Informationen suchen sich die Angreifer eine Zielperson aus, welche sie im Anschluss mit einem zugeschnittenen Szenario konfrontieren. Die Angriffe erfolgen meist per E-Mail (Phishing) oder Telefon (Vishing). Die Opfer werden verunsichert, indem Faktoren wie Dringlichkeit, Autorität, Engpässe oder finanzielle Nachteile geltend gemacht werden, sofern das Opfer nicht wie gewünscht agiert.
Social Engineering findet jedoch nicht nur online statt. Die Angreifer verschaffen sich oftmals auch den physischen Zugang zum Gebäude und zu eingeschränkten Bereichen, in dem sie einer befugten Person folgen und sich dabei beispielsweise als Wartungspersonal oder Lieferanten ausgeben. Dabei spricht man auch von «Tailgaiting». Der Begriff stammt aus dem Englischen und bedeutet «zu dicht auffahren, durchschlüpfen». Meistens geschieht ein Tailgating-Angriff durch einen zufälligen Akt der Freundlichkeit, wie das Aufhalten der Tür für einen Besucher ohne Ausweis oder eine unbekannte Person, die sich als Mitarbeitende, Kurier oder Techniker ausgibt.
Um die Mitarbeitenden für Social Engineering zu sensibilisieren, engagieren Unternehmen zuweilen auch professionelle Social Engineers. Diese gehen wie die Angreifer vor, verkleiden sich zum Beispiel als Hausmeister oder Lieferant und verschaffen sich Zutritt zum Gebäude. Um Einblick in die spannende Tätigkeit eines professionellen Engineers zu geben, veranstaltet das NCSC am 19. Oktober einen Brownbag Lunch mit Ivano Somaini.
Interessierte können sich anmelden unter:
Die Vorträge werden in Deutsch gehalten.
Tipps
- Trauen Sie nicht jedem Anrufer oder jeder E-Mail;
- Lassen Sie sich nicht einschüchtern oder unter Druck setzen;
- Geben Sie niemals Passwörter oder PIN am Telefon oder per E-Mail bekannt;
- Geben Sie gegenüber Unbekannten keine geschäftlichen Informationen preis;
- Beenden Sie nicht plausible Anrufe sofort und löschen Sie E-Mails mit obskurem Inhalt umgehend;
- Sprechen Sie unbekannte Personen in Ihren Räumlichkeiten an.
Weitere Informationen
Letzte Änderung 12.10.2023