6 Tipps gegen Social Engineering

Der Mensch ist das größte Manko

Das Volumen an finanziellen Schäden durch Cyberkriminalität lag in Deutschland 2020/2021 bei mehr als 200 Milliarden Euro. Im überwiegenden Teil der Fälle kamen die Täter über soziale Manipulation an die für ihr kriminelles Tun erforder­lichen Informationen. Diese Ausnutzung menschlicher Nachlässigkeit oder Hilfsbereitschaft, auch Social Engineering genannt, lässt sich nur unzureichend durch technische Vorkehrungen eindämmen. Das Einzige, was wirklich hilft, ist Wachsamkeit!
Achten Sie unbedingt darauf, dass
  • Ihnen niemand über die Schulter schaut, wenn Sie unterwegs Ihr Notebook nutzen. Schützen Sie also Ihren Bildschirm im Flugzeugen oder Zug, zum Beispiel durch einen Sichtschutz oder eine geeignete Folie. Achten Sie darauf, wer neben oder hinter Ihnen sitzt.
  • Vorsicht auch vor offenem WLAN oder fremden Geräten beispielsweise in Schulungsräumen oder Hotels.
  • Wenn Sie in der Öffentlichkeit telefonieren, suchen Sie sich ein stilles Plätzchen und reden Sie möglichst leise –und am besten gar nicht über Vertrauliches.
  • Lassen Sie im Büro keine Türen oder Schränke offen stehen. Schließen Sie sensible Dokumente sorgfältig weg oder vernichten Sie sie. Besucher oder (vermeintliche) Mitarbeiter von Dienstleistern oder Handwerkern haben sonst leichten Zugriff.
  • Seien Sie hellhörig bei unbekannten Anrufern. Prüfen Sie das Anliegen in Ruhe bevor Sie handeln oder antworten - insbesondere wenn es um Geld geht. Lassen Sie sich zu nichts überreden, auch nicht unter Stress. Fragen Sie nach einer Rückrufnummer und prüfen Sie sie anhand des  Impressums der angeblich anrufenden Firma. Verifizieren Sie den Vorgang in Ihrem Unternehmen. Wenn Ihnen etwas verdächtig vorkommt, legen Sie sofort auf! Und geben Sie keinesfalls firmeninterne Informationen am Telefon preis.

Die Geschäftsführer-Masche klappt leider immer wieder

In letzter Zeit kommt es immer wieder zu Anrufe oder Mails, bei denen sich jemand als Vorstand oder Geschäftsführer ausgibt und schnell und diskret eine hohe Summe überwiesen haben möchte. Andere Betrüger geben sich als Mitarbeiter aus, die sehr schnell eine Datei oder eine E-Mail mit ­Informationen be­nötigen. Beliebt ist auch das Vortäuschen eines Sicherheitsvor­falles, zum Beispiel eines Computervirus, verbunden mit der Aufforderung zur Befolgung von Anweisungen. Das kann das ­Klicken auf einen – verseuchten – Dateianhang sein, aber auch die direkte Aufforderung, einen Geldbetrag zu überweisen, um das Computervirus zu löschen.
Also: Vorsicht auch bei verdächtigen Mails. Und verdächtig ist es dabei schon, wenn Sie namentlich nicht angesprochen werden, wenn die Signatur fehlt oder fehlerhaft ist oder wenn viele Rechtschreib- oder Grammatikfehler vorkommen.
Amateurs hack systems. Professionals hack people.

Bruce Schneier, Experte für Kryptographie und Computersicherheit

Vorsicht walten lassen sollten Sie eigent­lich bei jeder Mail eines unbekannten Absenders. Aber auch bekannte Absenderadressen bieten keine absolute ­Sicherheit, denn  sie lassen sich leicht fälschen. ­Klicken Sie deshalb auf keine Links oder Dateianhänge, wenn Sie auch nur den geringsten Zweifel haben. Alle Alarm­glocken müssen schrillen, wenn Sie aufgefordert werden, vertrauliche Daten einzugeben.
Ein neues Einfallstor für Betrüger sind Ihre Social-Media-Auftritte und Ihre Aktivitäten auf Businessnetzwerken. Hier ist es wichtig, keine Vernetzungsanfragen ohne Prüfung anzunehmen. Am besten erkundigen Sie sich bei gemeinsamen Kontakten. Achten Sie auf widersprüchliche Aussagen im Profil beispielsweise hinsichtlich Wohnort oder Firma.
Checken Sie regelmäßig ihre Privatsphäreneinstellung – was ist für alle sichtbar? Seien Sie auf jeden Fall ­vorsichtig, welche Firmeninfos Sie ­posten. Besser gar nicht sollten Sie beispielsweise Kontodaten in sozialen Netzwerken ­offenlegen. Seien Sie aber auch mit anderen, vielleicht harmlos erscheinenden Infos vorsichtig: Betrüger sammeln die gern und eignen sich so ein Wissen und einen Fachjargon an, der sie authentisch und glaubwürdig wirken lässt.

Vorsicht bei Herunterladen von Software

Wichtig ist es auch, keine Software herunterzuladen, die als Pop-up-Anzeige im Internet oder per Mail angeboten wird. Überhaupt: ­fragen Sie bei ­Ihrer IT, bevor Sie etwas ­herunterladen oder lassen Sie am besten gleich das ­System so einrichten, dass nur der zentrale IT-Verantwortliche etwas down­loaden kann.
Schützen Sie Ihre Kennwörter und ­geben Sie sie nie weiter. Deponieren Sie auch ­keine einschlägigen Zettel im Schreibtisch - nicht mal als Telefonnummer getarnt. Geben Sie keinem Anrufer Infos, mit denen der Zugriff auf Ihren PC hat, zum Beispiel unter dem Vorwand, dort etwas richten zu wollen.
Finger weg auch von geschenkten USB-Sticks – sie sind ein beliebtes Einfallstor für Viren. Ihre eigenen USB-Sticks sollten Sie auf jeden Fall verschlüsseln.

Übersetzungsprogramme: praktisch aber heikel

Heikel können auch die so praktischen Übersetzungsprogramme sein. Achten Sie darauf, dass Sie keine vertraulichen Inhalte vollständig und zusammenhängend übersetzen lassen, sondern immer nur Fragmente, aus denen nicht auf den Gesamt­zusammenhang geschlossen werden kann.
Schulen Sie alle Mitarbeiter zu diesen Themen und erinnern Sie sie regelmäßig daran. Und natürlich sollte auch Ihre ­Cybersicherheit stets auf dem aller­neuesten Stand und ein aktuelles Backup Ihrer Daten gesichert sein.

IHK-Tipp: Sechs Gebote gegen Social Engineering

  1. Erst denken, dann klicken.
  2. Machen Sie den E-Mail-Check: Kann die Mail echt sein?
  3. Verschlüsseln Sie vertrauliche Informationen.
  4. Verlassen Sie sich in komischen ­Situationen auf Ihr Bauchgefühl.
  5. Achten Sie auf potenzielle Mithörer und Mitleser an öffentlichen Orten.
  6. Geben Sie Infos nur weiter, wenn Sie die Berechtigung des Empfängers geprüft haben.

Rainer Benne, Benne Consulting GmbH, Oberstenfel für Magazin Wirtschaft, Rubrik Rat&Tat