Social Engineering: 6 Tipps, wie Sie sich vor Angriffen schützen

Beim Social Engineering gelangen Kriminelle durch perfide Tricks und Täuschungen an sensiblen Daten und Informationen. So schützen Sie sich davor.

In diesem Artikel erfahren Sie:

  • Warum Social Engineering gefährlich ist und welche Methoden dabei eingesetzt werden
  • Wie Sie sich mit 6 einfachen Tipps vor Social Engineering Angriffen schützen
  • Was Sie tun können, wenn Sie Opfer einer Social Engineering Attacke wurden

    • Das Wichtigste zusammengefasst:

    • Unter den Begriff „Social Engineering” fallen verschiedene Betrugstechniken wie Phishing, CEO-Fraud und Baiting.
    • Beim Social Engineering gewinnen Täter das Vertrauen von Nutzern, um an ihre Daten zu gelangen.
    • Es einige Hinweise, die Ihnen helfen können, Social Engineering Angriffe rechtzeitig zu erkennen.
    • Sperren Sie nach einem Angriff die betroffenen Konten und sprechen Sie mit Experten für Cybersicherheit.

    Definition
    , Was ist Social Engineering?

    Ein angeblicher Prinz, der Ihnen bei einer Vorauszahlung ein gigantisches Vermögen verspricht. Ein vermeintlicher Enkel, der in Schwierigkeiten steckt und Sie am Telefon um Geld bittet. Oder eine ominöse Mail Ihres Vorgesetzten, der dringend Einsichten in die Unternehmensfinanzen verlangt alles Fälle einer Betrugsmasche, die man „Social Engineering” nennt.

    Beim Social Engineering (deutsch: soziale Manipulation) erschleichen sich die Täter das Vertrauen der Menschen und bringen sie dazu, sensible Informationen und Daten preiszugeben.

    Jeder kann Opfer solcher Angriffe werden und besonders häufig treffen sie Unternehmen und deren Angestellte. Über sie gelingt es Betrügern immer wieder, auf Firmenkonten zuzugreifen und schwere Schäden anzurichten.

    Welche Schäden entstehen durch Social Engineering?

    Social Engineering gilt als eine der größten Bedrohungen für die Cybersicherheit. Die Methoden setzen nämlich dort an, wo Sicherheitssysteme kaum Schutz bieten: bei den Menschen.

    Studien sprechen von jährlich 700 solcher Attacken auf Unternehmen, fast 80% davon treffen Mitarbeiter, die nicht Teil der Finanz- oder Führungsebene und damit möglicherweise weniger sensibel für solche Betrugsmaschen sind.1

    Aber auch außerhalb des Internets gefährdet Social Engineering die Sicherheit - zum Beispiel, wenn Trickbetrüger an der Tür klingeln oder sich am Telefon als jemand ausgeben, der sie nicht sind (sogenanntes „Vishing”), um so an persönliche Daten zu gelangen.

    Solche Angriffe können verschiedene Folgen haben, unter anderem:

    • Finanzielle Verluste, indem gewonnene Kontoinformationen genutzt werden, um Geldsummen zu bewegen.
    • Zerstörung von IT, indem Schadsoftware ungesehen eingeschleust wird.
    • Reputationsschäden, indem Kundendaten entwendet oder Social Media Profile missbraucht werden.
    • Identitätsdiebstahl, indem persönliche Informationen zur Ausweisfälschung und ähnliche kriminelle Zwecke missbraucht werden.

    Was sind typische Social Engineering Angriffe?

    Social Engineering ist der Überbegriff für eine Reihe von Betrugsmaschen. Die Techniken unterscheiden sich, das Ziel ist aber immer dasselbe: Durch Täuschung und Manipulation wird menschliches Vertrauen gewonnen und dann ausgenutzt.

    Phishing

    Beim Phishing (von engl. „fishing” – „angeln”) erhalten Opfer E-Mails oder SMS (dann auch SMiShing genannt), die auf den ersten Blick vertrauenswürdig erscheinen. Die Nachrichten enthalten jedoch Links zu gefälschten Webseiten, auf denen Nutzer ihre Anmelde- oder Kontodaten eingeben sollen. Cyberkriminelle können diese Daten dann abgreifen und für illegale Aktivitäten verwenden.

    Als Absender imitieren Cyberkriminelle meist bekannte Institutionen wie Paypal, Facebook, Amazon oder Banken. Viele Nutzer schöpfen deshalb zunächst keinen Verdacht.

    Wichtiger Hinweis: Die Commerzbank oder andere Banken werden niemals sensible Daten wie Online-Zugangsdaten oder Karten-PINs per SMS oder Anruf von Ihnen erfragen. Mehr Informationen zum Phishing finden Sie hier.

    Spear Phishing

    Wie beim Phishing werden auch beim Spear Phishing fingierte SMS oder E-Mails an Nutzer versendet. Aber: Beim Spear Phishing (von engl. „spearfishing” „Speerfischen”) sind die Inhalte viel genauer auf die Empfänger abgestimmt.

    Cyberkriminelle recherchieren ausgiebig, welche Interessen ihre Opfer haben, um ihnen möglichst vertrauenswürdige Inhalte anzubieten. Eine Unterform des Spear Phishing ist das „Wahling”: Diese Angriffe nehmen hochrangige Personen eines Unternehmens ins Visier.

    Die meistimitierten Marken bei Phishing-Attacken

    Der Anteil der Marken-Phishingversuche in Q2 2020 bei denen folgende Firmen imitiert wurden.

    CEO-Fraud (CEO-Betrug)

    Beim CEO-Fraud oder auch CEO-Betrug richten sich die Angriffe gezielt gegen Menschen in Entscheidungspositionen.

    Betroffene erhalten beispielsweise E-Mails, in denen sie von ihrem vermeintlichen Vorgesetzten angewiesen werden, bestimmte Überweisungen zu tätigen. Damit stellt CEO-Fraud eine gefährliche Bedrohung für die Cybersicherheit von Unternehmen dar.

    Baiting

    Beim Baiting erfolgt der Angriff über eine externe Datenquelle, also z. B. einen USB-Stick oder eine externe Festplatte. Personen können sie als Werbegeschenke erhalten und nichts ahnend mit ihrem Computer verbinden. Der Computer wird dadurch mit schädlicher Software (sogenannte „Malware”) infiziert.

    Quid pro Quo Angriff

    Der Name „Quid pro Quo” (lat. für „dies für das”) legt es bereits nahe: Bei dieser Attacke wird dem Opfer etwas versprochen, wenn es im Gegenzug eine bestimmte Handlung ausführt.

    Ein häufiges Szenario: Kriminelle geben sich bei Angestellten als IT-Spezialisten aus und bieten Unterstützung an. Im Gegenzug fordern sie die Installation von Schadsoftware, die sie als notwendiges Systemupdate tarnen.

    6 Tipps, wie Sie sich vor „Social Engineering” schützen

    Social Engineering Angriffe können jeden treffen. Bleiben Sie daher wachsam und beherzigen Sie die folgenden 6 Regeln, um Ihr Risiko zu minimieren:

    Prüfen Sie E-Mails und Links

    Seien Sie vorsichtig bei E-Mails und Links von unbekannten Absendern. Das BSI empfiehlt einen „3 Sekunden Sicherheitscheck”, den Sie bei jeder Mail anwenden können. Stellen Sie sich dabei diese Fragen:

    • Sind angezeigter Absender und tatsächlicher Absender der Mail identisch? Fahren Sie beispielsweise mit der Maus über den angezeigten Absender, um die dahinterliegende E-Mail-Adresse zu sehen.
    • Sind Betreff und Text der Mail sinnvoll? Viele Phishing-Mails enthalten Rechtschreibfehler und auffällige Formulierungen.
    • Erwarten Sie, dass Ihnen dieser Absender Anhänge oder Links schickt?

    Teilen Sie niemals sensible Daten

    Geben Sie grundsätzlich keine sensiblen Daten wie Bankinformationen, Passwörter oder Firmendaten raus, wenn Sie per Telefon, SMS oder E-Mail dazu aufgefordert werden.

    Bewahren Sie eine gesunde Skepsis

    Betrüger können freundlich und vertrauenswürdig auftreten. Prüfen Sie die Plausibilität der Anliegen genau und bitten Sie die Person darum, sich auszuweisen. Wenn im Arbeitsalltag Zweifel aufkommen, wenden Sie sich an Ihren Vorgesetzten.

    Besuchen Sie Schulungen

    Betrüger sind erfinderisch und entwickeln ihre Techniken weiter. Regelmäßige Schulungen und Sensibilisierungskampagnen können Ihnen helfen, Social Engineering Techniken zu erkennen und so das Risiko von Angriffen zu minimieren. Mit einem Phishing-Radar informiert die Verbraucherzentrale über aktuelle Bedrohungen.

    Richten Sie eine Zwei-Faktor-Authentifizierung ein

    Wenn möglich, sichern Sie Ihre Konten mit einer Zwei-Faktor-Authentifizierung (2FA). Bei dieser Methode müssen Sie Ihre Identität neben der Passworteingabe noch mit einem weiteren Faktor bestätigen, zum Beispiel Ihrem Smartphone. Dies erschwert es Angreifern, auch bei gestohlenen Zugangsdaten Zugriff zu erlangen.

    Wählen Sie starke Passwörter

    Verwenden Sie starke, einzigartige Passwörter für Ihre Konten und ändern Sie diese regelmäßig. Ein Passwort-Manager kann Ihnen dabei helfen, den Überblick zu behalten.

    Was jetzt zu tun ist...
    , Sie wurden Opfer von Social Engineering?

    Wenn Sie glauben, Opfer eines Social Engineering Angriffs geworden zu sein, sollten Sie sofort handeln:
    • Ändern Sie unverzüglich Ihre Passwörter oder sperren Sie die betroffenen Konten (beispielsweise nach einem Angriff auf Ihre Bankdaten).
    • Kontaktieren Sie Ihre IT-Abteilung oder einen Experten für Cybersicherheit und schildern Sie, was passiert ist.
    • Informieren Sie betroffene Institutionen wie Ihre Bank oder Ihren Arbeitgeber.

    Wir sind an Ihrer Seite!

    , Cyberangriffe können jeden treffen.

    Bleiben Sie wachsam und informiert wir unterstützen Sie dabei: Weitere Artikel mit wichtigen Tipps zum Thema „Sicherheit im Online-Banking” finden Sie auf unserer Ratgeberseite.

    Mehr erfahren

    Das könnte Sie auch interessieren:

    Identitätsdiebstahl: So schützen Sie sich vor Datenklau im Internet

    Shoppen, buchen, bezahlen: Unser Leben im Netz bietet Hackern immer mehr Möglichkeiten, Nutzerdaten zu stehlen und zu missbrauchen.

    Smishing: So erkennen Sie betrügerische SMS

    Sie haben eine SMS von Ihrer Bank erhalten, die Sie auffordert, Anmeldedaten preiszugeben? Vorsicht: Es könnte sich um Smishing handeln.

    Skimming: So schützen Sie sich vor manipulierten Geldautomaten

    Kurz Geld abheben – doch wenig später ist das Konto leer. Beim Skimming lesen Betrüger die Magnetstreifen von Bankkarten aus und gelangen so an Zugangsdaten. Wie real ist die Gefahr?