Social Engineering kann jeden von uns treffen. Doch mit einer entsprechenden Schulung weiß man sich passend zu verhalten. Jeder kennt es: Man lernt online eine Person kennen, schreibt mit dieser Wochenlang und auch auf der Arbeit werden rege E-Mails ausgetauscht. Es entsteht das Gefühl man hätte seinen Seelenverwandten gefunden. Diese Gefühle werden von den Betrügern ausgenutzt. Ohne auch nur über die Gefahr nachzudenken rücken die Opfer meist sensible Kunden- bzw. Unternehmensdaten heraus. Teilweise schaffen es die Betrüger auch den Gegenüber so stark zu manipulieren, dass dieser direkt Geld an eine vermeintlich gut kennende Person überweist.
Doch nicht immer muss es die große online Liebe sein, die sich Zugang zu Daten verschafft. Dies kann auch von Person zu Person vor Ort passieren. Dabei verkleiden sich die Betrüger als Handwerker oder ähnliches und täuschen in der Bank oder einem IT-Unternehmen vor etwas erledigen zu müssen. Gerade in Unternehmen mit mehreren 100 Mitarbeitern weiß kaum jemand Bescheid, wann wirklich ein Handwerker oder ähnliches kommt. So wird im ersten Moment davon ausgegangen, dass alles korrekt ist und der vermeintliche Handwerker wird in die Hinterzimmer gelassen und der Mitarbeiter geht weiter seiner Tätigkeit nach.
Wie schützt man sich vor solchen Angriffen?
Die größte Schwäche ist immer noch der Mensch. Dagegen existiert keine Software, die den Angreifer daran hindern kann Informationen zu bekommen. Speziell in Unternehmen, wo mit vielen Kundendaten gearbeitet wird, müssen die Mitarbeiter regelmäßig und spezifisch geschult werden. In solchen Seminaren werden aktuelle Gefahren thematisiert und die Mitarbeiter werden bezüglich ihres Verhaltens entsprechend geschult, sodass keine Fehler mehr bei der Datensicherheit begangen werden. Das beginnt bei den Basics, wie beispielsweise auf das SSL-Zertifikat im Browser zu achten, um keine unverschlüsselten Daten zu versenden, geht über die Tunnelung via VPN bis hin zur Ende-zu-Ende Verschlüsselung der E-Mails beispielsweise mit OpenPGP.
Generell sollte immer mit Vorsicht an Dinge herangegangen werden. Niemals sollten private und vor allem unternehmerische Inhalte an fremde Personen aus dem Internet übermittelt werden. Selbiges gilt für E-Mails und Telefonate. Dargestellt haben wir das in dem Artikel Cyberkriminalität in Unternehmen. Zudem sollte man bei Links immer vorsichtig sein. Ist es nicht ersichtlich, wohin dieser Link führt, sollte der Kollege gefragt werden, ob dieser die Mail wirklich versendet hat oder, ob sein Account gehackt wurde.
Sicherheitssoftware hilft nicht gegen vieles, sie kann aber die Anzahl an Spam und Phishing Mails drastisch reduzieren, sodass die Möglichkeiten auf einen Betrugsversuch minimiert werden.
