Aus dem Kurs: Cybersecurity Grundlagen: Grundlegende Konzepte
Einweisung in Social Engineering
Im letzten Film haben wir schon festgestellt, dass die Mitarbeiterinnen und Mitarbeiter eine zentrale Rolle bei der Cybersicherheit spielen. Sie stellen den Faktor Mensch dar. Genau diesen versuchen Angreifer immer wieder auszunutzen und leider sind sie oft erfolgreich. Dafür wird oft Social Engineering benutzt, da der Mensch als schwächstes Glied in der Security-Kette gilt. Was ist Social Engineering? Social Engineering basiert auf dem Ansprechen des Menschen auf seiner Gefühlsebene. Menschliche Eigenschaften wie Respekt vor Obrigkeit, Angst, Vertrauen oder Hilfsbereitschaft werden ausgenutzt und die Personen werden manipuliert, etwas zu tun, was die Angreifer möchten. Im Prinzip ist dies der Trickbetrug umgesetzt auf die digitale Welt. Sie alle kennen den Enkeltrick, bei dem ältere Leute mit Schockanrufen dazu gebracht werden, einem vermeintlichen notgeratenen Familienmitglied zu helfen, indem Geld übergeben wird. Social Engineering funktioniert genauso. Es wurde nur auf die Gegebenheiten der digitalen Welt umgesetzt. Social Engineering ist, wie der zuvor erwähnte Enkeltrick, eine Täuschung über die Identität des Kommunikationspartners. Bspw. könnte jemand anrufen und sich als Techniker vorstellen, der ein Programm reparieren muss und deswegen Zugriffsdaten benötigt. In größeren Firmen könnte sich der Angreifer auch als Kollege ausgeben. Das ist möglich, wenn man nicht mehr jeden einzelnen Kollegen oder jede einzelne Kollegin persönlich kennt. Eine weitere Möglichkeit ist es, sehr autoritär als Vorgesetzter aufzutreten und gewisse Informationen zu fordern. Diese Liste kann fortgeführt werden, dies sind nur ein paar wenige Beispiele. Das Perfide an Social Engineering ist, dass die Opfer im guten Glauben sind, im Sinne der Firma zu handeln und das Richtige zu tun. Erleichtert werden diese Art von Attacken auch durch die Vielzahl der benutzten Medien sei es E-Mail, soziale Medien oder Messenger-Dienste. All diesen Medien und auch dem Telefon ist eine gewisse Anonymität gemeinsam. Der Angreifende muss nicht alle Sinne täuschen, da er optisch nicht in Erscheinung tritt. Ein besonders häufig eingesetzter Social Engineering-Betrug sind Phishing-Mails. Mitarbeitende erhalten Mails, bei denen sie über die wahre Herkunft getäuscht werden. Oft sind sie scheinbar von offiziellen Stellen wie Banken oder sie scheinen von Geschäftspartnern zu sein. In der Mail werden Sie aufgefordert, auf einen Link zu klicken, der aber in Wirklichkeit auf eine gefälschte Seite führt, die der erwarteten Seite täuschend ähnlich ist. Wenn Sie dort Anmeldeinformationen eingeben, ist es schon passiert, oft ohne, dass Sie es bemerken. Sie sehen, Social Engineering ist ein großes Problem und die Mitarbeitenden sollten diesbezüglich gut geschult werden. Die Kernpunkte für eine Einweisung sind: niemals auf Links klicken, angeforderte Seiten immer persönlich über die bekannte URL aufrufen. Ein wichtiger Hinweis ist, dass offizielle Stellen und seriöse Firmen niemals Kunden oder Partner auffordern, vertrauliche Informationen herauszugeben. Große Vorsicht bei Mails, deren Absender Sie nicht kennen, niemals Anmeldedaten herausgeben, egal, wer Sie wissen möchte, und egal, auf welchem Weg. Keine Informationen in den sozialen Medien preisgeben. Wenn Sie zu einer Aktion aufgefordert werden, fragen Sie über ein anderes Medium beim vermeintlichen Absender nach, ob das seine Richtigkeit hat. Durch diese Herangehensweise können Sie viele Social Engineering- Attacken bereits im Vorfeld abwehren. Bleiben Sie dran. Im nächsten Video betrachten wir mögliche Eskalationspfade.
Laden Sie Kurse herunter und lernen Sie auch unterwegs.
Sehen Sie sich Kurse auf Ihrem Mobilgerät ohne Internetverbindung an. Laden Sie Kurse mit der LinkedIn Learning-App für iOS oder Android herunter.