Ein Erfahrungsbericht vom Vortrag beim Verband der Fährschifffahrt und Fährtouristik e.V.
Letzten Donnerstag hatten wir die Gelegenheit, im Rahmen der Jahreshauptversammlung des Verbandes der Fährschifffahrt und Fährtouristik e.V. einen Vortrag zum Thema Social Engineering zu geben. Im Laufe des Vortrag wurde uns erneut bewusst, wie wichtig es ist, Unternehmen und ihre Mitarbeiter für diese Art der Cyberkriminalität zu sensibilisieren.

Was ist Social Engineering?
Social Engineering ist eine raffinierte Betrugsmasche, bei der Täter die menschliche Psyche manipulieren, um an sensible Informationen oder Zugangsdaten zu gelangen. Die Angriffe können verschiedene Formen annehmen, z. B. Phishing-Mails, gefälschte Webseiten, Telefonanrufe oder persönliche Kontaktaufnahme.
Warum ist Social Engineering so gefährlich?
Weil es auf die größte Schwachstelle eines jeden Systems abhebt: den Menschen. Selbst die besten technischen Sicherheitsvorkehrungen sind nutzlos, wenn Mitarbeiter dazu gebracht werden können, Passwörter preiszugeben oder Malware auf ihren Geräten zu installieren.
Die große Gefahr im Verborgenen
Die besondere Gefahr von Social Engineering liegt in seiner Subtilität. Die Angriffe erfolgen oft so raffiniert, dass die Opfer gar nicht bemerken, dass sie manipuliert werden. So kann es zum Beispiel vorkommen, dass ein Mitarbeiter eine E-Mail erhält, die scheinbar von seinem Chef stammt und ihn auffordert, seine Zugangsdaten einzugeben. Oder er erhält einen Anruf von einem vermeintlichen Mitarbeiter des IT-Supports, der ihn bittet, ihm Remotezugriff auf seinen Computer zu gewähren.
Die Täter von Social-Engineering-Angriffen nutzen verschiedene psychologische Techniken, um ihre Opfer zu täuschen. Dazu gehören:
- Autoritätsgefälle: Die Täter geben sich als Autoritätsperson aus, z. B. als Chef, IT-Mitarbeiter oder Bankmitarbeiter.
- Dringlichkeit: Die Täter erzeugen Zeitdruck, indem sie behaupten, dass es ein dringendes Problem gibt, das sofort gelöst werden muss.
- Knappheit: Die Täter locken ihre Opfer mit vermeintlich exklusiven Angeboten oder Informationen.
- Neugier: Die Täter wecken die Neugier ihrer Opfer, indem sie ihnen etwas Geheimnisvolles oder Verbotenes anbieten.
- Sozialer Beweis: Die Täter behaupten, dass bereits viele andere Menschen auf ihren Betrug hereingefallen sind.
Einfache Maßnahmen mit großer Wirkung
Die gute Nachricht ist, dass es sich mit einfachen Mitteln vor Social-Engineering-Angriffen schützen lässt. Im Workshop habe ich den Teilnehmern einige praktische Tipps mit auf den Weg gegeben, die sie sofort in ihrem Arbeitsalltag umsetzen können:
Vor der Tat:
- Seien Sie stets wachsam und misstrauisch gegenüber unbekannten Absendern und merkwürdigen E-Mails. Klicken Sie niemals auf Links oder öffnen Sie Anhänge, deren Herkunft Sie nicht zweifelsfrei verifizieren können.
- Geben Sie niemals sensible Daten wie Passwörter oder Kreditkartennummern am Telefon oder an unbekannte Personen heraus.
- Halten Sie Ihre Software und Betriebssysteme auf dem neuesten Stand. So schließen Sie Sicherheitslücken, die von Hackern ausgenutzt werden könnten.
- Seien Sie im Internet vorsichtig mit dem Teilen von persönlichen Informationen. Vermeiden Sie es, Ihren vollständigen Namen, Ihre Adresse oder Ihre Telefonnummer auf öffentlichen Profilen oder in Foren preiszugeben.
- Sprechen Sie mit Ihren Kollegen über Social Engineering. Je mehr Menschen in Ihrem Unternehmen für die Gefahr sensibilisiert sind, desto schwieriger haben es die Täter.
Während der Tat:
- Bleiben Sie ruhig und besonnen. Lassen Sie sich nicht von den Tätern unter Druck setzen.
- Stellen Sie dem vermeintlichen Absender viele Fragen. So können Sie leichter erkennen, ob es sich um einen Betrüger handelt.
- Verlangen Sie eine schriftliche Bestätigung der Anweisungen. Betrüger werden dies in der Regel nicht tun können.
- Holen Sie sich im Zweifelsfall immer Rat bei einem Kollegen oder Vorgesetzten.
- Melden Sie verdächtige E-Mails oder Anrufe Ihrer IT-Abteilung.
Nach der Tat:
- Ändern Sie sofort Ihre Passwörter, wenn Sie glauben, dass diese den Tätern in die Hände gefallen sein könnten.
- Informieren Sie Ihren Arbeitgeber über den Vorfall.
- Sein Sie wachsam und beobachten Sie Ihr Konto auf verdächtige Aktivitäten.
Fazit
Social Engineering ist eine ernstzunehmende Bedrohung, aber mit ein bisschen Vorsicht und dem richtigen Wissen können Sie sich und Ihr Unternehmen schützen.
Weitere Informationen
- https://www.bsi.bund.de/
- https://www.kaspersky.de/resource-center/definitions/social-engineering
- https://en.wikipedia.org/wiki/Social_engineering_%28security%29
Mit dem richtigen Mindset und ein paar einfachen Maßnahmen können Sie Cyberkriminellen einen Schritt voraus sein!