Artikel

Social Engineering und Phishing erkennen

DsiN für Unternehmen

Soziale Manipulation und Phishing sind ein alltägliches Sicherheitsproblem. Um Schaden vorzubeugen

müssen Mitarbeiter:innen wachsam sein.

Soziale Manipulation und Phishing sind zu einem alltäglichen Problem für viele Unternehmen und Mitarbeiter geworden. Auch Sie sind wahrscheinlich schon mehr als einmal mit Social Engineering in Berührung gekommen.  

Fast alle Internetnutzenden haben in ihrem Leben schon E-Mails erhalten, die auffordern, Daten – z. B. Kontodaten – in ein Formular einzugeben, oft auf einer überzeugend gestalteten Webseite, die aussieht wie die einer großen Bank oder eines populären Online-Dienstes. Phishing, also das „Angeln von Passwörtern“ über gefälschte Webseiten, E-Mails oder Kurznachrichten ist dabei die geläufigste Form, um durch Manipulation an persönliche Daten von Internetnutzenden zu gelangen. Dabei wird besonders der „Faktor Mensch“ als Sicherheitslücke ausgenutzt – mit sogenannten Social-Engineering-Angriffen.  

Der Begriff „Social Engineering“ bezeichnet in der IT-Sicherheit Angriffsmethoden, bei denen Kriminelle durch die Manipulation von Personen an sensible Informationen von Unternehmen oder Privatpersonen zu gelangen versuchen. Denn: Kein IT-Sicherheitssystem der Welt kann Daten schützen, die von ihren rechtmäßigen Nutzer:innen freiwillig herausgegeben werden.  Social Engineers nutzen dabei das Bedürfnis von Menschen aus, sich kooperativ und hilfsbereit zu verhalten. Es ist daher ungemein wichtig, dass Mitarbeitende sich ein grundlegendes Wissen über Social-Engineering-Methoden aneignen, um das Gefahrenpotenzial verschiedener Risikosituationen besser einschätzen zu können. 

Ziele von Social-Engineering-Angriffen 

Welche Informationen und Daten mittels sozialer Manipulation im Netz beschafft werden, kann variieren: z. B. geschäftskritische, vertrauliche und andere interne Informationen eines Unternehmens, Login-Daten, Transaktionsnummern für Online-Banking, Kontodaten, Kreditkarten-PINs, persönliche Informationen. Auch der erfolgreiche Hack zahlreicher prominenter Twitter-Accounts im Juli 2020 im Rahmen eines Bitcoin-Scams ist vermutlich auf einen Social-Engineering-Angriff auf Twitter-Mitarbeitende zurückzuführen. 

Die sogenannte „Chef-Masche“ (CEO-Fraud) geht sogar so weit, dass sich Angreifer:innen als Vorgesetzte ausgeben und Mitarbeitende so lange manipulieren, bis sie Geld auf ein fremdes Konto überweisen. Die Verluste sind für das betroffene Unternehmen oftmals schmerzhaft. Bekannt wurde unter anderem ein Fall aus dem Jahr 2019, bei dem mithilfe eines Deep-Fakes die Stimme des Chefs eines Unternehmens imitiert wurde, um mehr als 200.000 Euro zu erbeuten. 

Grundregeln zum Vorbeugen von betrügerischen Angriffen

Social Engineering nutzt gezielt ganz normale menschliche Eigenschaften aus – Hilfsbereitschaft, Gutgläubigkeit und vor allem das grundlegende Vertrauen zu anderen Personen. Deshalb schützen uns vor solchen Angriffen keine Firewalls oder andere technischen Maßnahmen. Es gibt nur einen einzigen wirksamen Schutz vor Social Engineering: ein gesundes Misstrauen, verbunden mit dem strikten Einhalten vereinbarter Regeln zur Datenweitergabe! 

  • Halten Sie sich strikt Regeln und Abläufe im Betrieb: Verweisen Sie auch unter Zeitdruck auf den vorgeschriebenen Dienstweg, wenn Sie um eine regelwidrige Auskunft oder Herausgabe von Daten gebeten werden. Sie handeln so nicht etwa unkooperativ, sondern helfen Firma und Kollegium dabei, vertrauensvoll zusammenzuarbeiten. 
     
  • Machen Sie sich Ihrer eigenen Anfälligkeiten bewusst: Alle von uns können Ziel eines Social-Engineering-Angriffs werden. Überlegen Sie, welche Informationen über Sie online zugänglich sind und wie Angreifende dieses Wissen über Sie ausnutzen könnten. 
     
  • Seien Sie neuen Kontaktanfragen gegenüber skeptisch: Soziale Netzwerke sind unerschöpfliche Informationsquellen für Social Engineers. Geben Sie in sozialen Netzwerken niemals sensible Daten heraus und vergewissern Sie sich im Zweifel noch einmal über die Vertrauenswürdigkeit des neuen Kontakts durch öffentlich zugängliche Informationen. 
     
  • Überprüfen Sie regelmäßig Ihre Privatsphäre-Einstellungen: Seien Sie vorsichtig bei der Auswahl der Informationen, die Sie auf Ihrem Profil preisgeben und prüfen Sie in den Einstellungen, wer diese Informationen einsehen kann.  
     
  • Öffnen Sie keine unerwarteten E-Mails und Anhänge:  Anhänge können Schadsoftware enthalten, die ihr Gerät infizieren. Öffnen Sie daher nur Anhänge, die Sie erwarten und deren Erhalt Ihnen plausibel erscheint. Hier finden Sie DsiN-Tipps, wie sie E-Mail & Co im Beruf sicher nutzen
     
  • Lernen Sie Phishing-Angriffe besser zu erkennen: Die Universität Darmstadt bietet ein Online-Lehrprogramm für Phishing an, mit dem Sie routinierter bei der täglichen Arbeit mit E-Mail und Co und so für Angriffe sensibler werden. 
     
  • Gehen Sie vorsichtig mit allzu guten Angeboten um: Auch in der Geschäftswelt gilt: Seien Sie stets skeptisch gegenüber allzu verlockenden Angeboten oder Offerten. Oftmals verbirgt sich dahinter ein Trick, um schnell an Informationen zu gelangen. 

Neueste Artikel

Alle sehen
10.03.2025

Betrüger:innen fordern zur Erneuerung der photoTAN-Aktivierung bei comdirect auf

Betrüger:innen fordern zur Erneuerung der photoTAN-Aktivierung bei comdirect auf Aktuell kursieren betrügerische E-Mails im Namen der comdirect, in denen Kund:innen aufgefordert werden, ihre photoTAN-Aktivierung zu erneuern. Dies soll entweder durch das Scannen eines angeblichen Aktivierungsbriefes oder durch das Hochladen eines zuletzt per Post erhaltenen Briefes geschehen. Falls die Erneuerung nicht rechtzeitig innerhalb von 48 Stunden erfolgt, drohen die Betrüger mit einer angeblichen Gebühr von 50 EUR und der Einschränkung des Online-Bankings. Die Nachricht enthält zudem eine unpersönliche Anrede ("Sehr geehrte Kundin, sehr geehrter Kunde"), eine fragwürdige Absendeadresse sowie Links, die auf gefälschte Seiten führen. Phishing beim Online-Banking: Eine große Gefahr Phishing bedeutet so viel wie „nach Passwörtern angeln“ und setzt sich aus den Wörtern „Password“ und „Fishing“ zusammen. Phishing-Angriffe im Bereich Online-Banking sind besonders gefährlich, da Cyberkriminelle durch gestohlene Zugangsdaten direkten Zugriff auf Bankkonten erhalten können. Oft leiten sie Opfer auf täuschend echt aussehende Webseiten, auf denen Login-Daten und Sicherheitscodes abgegriffen werden. Mit diesen Informationen können sie Überweisungen tätigen oder TANs für betrügerische Transaktionen abfangen. SiBa empfiehlt: Wer eine solche E-Mail erhält, sollte keine Links anklicken und sich stattdessen direkt über die offizielle Website oder die Banking-App anmelden. Die Absenderadresse sollte genau geprüft werden, da offizielle Banken keine unbekannten oder kryptischen Domains nutzen. Zudem gilt: Banken setzen ihre Kundschaft nicht mit kurzen Fristen oder angedrohten Gebühren unter Druck. Im Zweifel sollte die E-Mail der Bank gemeldet und anschließend gelöscht werden. Wie schütze ich mich: Empfehlungen der Polizei zum Thema Phishing Verbraucherzentrale: Phishing-Mails: Woran Sie sie erkennen und worauf Sie achten müssen DiFü-Lernzentrale: Fokusmodul „Sicheres Onlinebanking“ DiFü-News: 7 Anzeichen von Phishing Wer kann mir helfen: Originalmeldung im Phishing-Radar der Verbraucherzentrale Finanztip: Was tun bei Phishing?
07.03.2025

Das digitale Lern-Tandem: Digitale Unterstützung für ältere und mobilitätseingeschränkte Menschen

Ortsunabhängig lernen: So funktionieren die digitalen Lern-Tandems   Ältere Menschen können sich kostenlos für einen Tandem-Partner registrieren. Über neun Wochen hinweg stehen ihnen Studierende ortsunabhängig mit Ratschlägen zur Seite – ob per Telefon, Chat, E-Mail oder Videoanruf kann individuell vereinbart werden.  Besprochen werden selbstgewählte digitale Themen, Fragestellungen und Herausforderungen aus dem Alltag. Sabine H., eine ehemalige Teilnehmerin des Tandemprogramms, berichtet: „Ich habe unglaublich viel gelernt und mich auf jedes Treffen mit meiner Tandem-Partnerin gefreut. Sie war immer zugewandt, freundlich und geduldig. So konnte ich z. B. endlich Ordnung in meinen Laptop bringen, verschiedene Dateien einrichten und Fotos sortieren. Super! Danke!“ Die Studierenden begleiten ihre Tandem-Partnerinnen und -Partner zudem beim Wiederholen des Gelernten und stehen für Fragen zur Verfügung. Unterstützend erhalten die Teilnehmenden des Lern-Tandems eine Lern-Tüte, die als Grundlage für den gemeinsamen Austausch dienen kann. Sie enthält gedruckte Schritt-für-Schritt-Anleitungen und Handreichungen rund um die digitale Welt. Die digitalen Lern-Tandems werden in enger Kooperation mit der Universität Vechta koordiniert. Eine Anmeldung zu den digitalen Lern-Tandems ist bis zum 27.03.2025 online möglich. Weitere Informationen zur Anmeldung stehen auf der Website des Digital-Kompass zur Verfügung: Tandem-Plätze für April 2025: Digitale Hilfe von Studierenden | Digital-Kompass  Plätze werden nach Verfügbarkeit und Reihenfolge der Anmeldung vergeben.
Weiterführende Links und Informationen: Gerne vermitteln wir Ihnen außerdem Interviewpartner:innen für Artikel und Beiträge. Kontaktieren Sie uns dafür unter info@digital-kompass.de.

Kontaktieren Sie uns

Kontaktieren Sie uns für
Ihre Anfrage gerne unter:

info@sicher-im-netz.de

(0) 30 767581-500

Presseanfragen richten
Sie bitte an:

presse@sicher-im-netz.de

(0) 30 767581-514

Postanschrift

Deutschland sicher im Netz e.V.
Albrechtstraße 10c 10117 Berlin

Schließen