Wer blind vertraut, wird schnell beklaut
Freitagnachmittag im Büro. Es sind nur noch zwei Stunden bis zum Feierabend, da klingelt das Telefon. Am Apparat meldet sich ein IT-Mitarbeiter und fragt nach den Computerzugangsdaten des Unternehmens. Ohne diese könne er die wöchentlichen Wartungsarbeiten nicht abschließen. Der Kollege gibt sie bereitwillig durch – und öffnet dem Betrüger Tür und Tor zum gesamten Computernetzwerk.
Anrufe von vermeintlichen IT-Mitarbeitern stellen eine typische Methode des Social Engineering dar. Der Begriff steht für Manipulationsversuche, die bei anderen Personen Emotionen wie Hilfsbereitschaft, Vertrauen oder Angst wecken und sie so zu bestimmten Handlungen, etwa der Preisgabe von Passwörtern, bewegen sollen. Neben unnötigem Ärger kann dabei auch ein hoher finanzieller Schaden entstehen.
Die Kontaktaufnahme erfolgt meist über das Telefon oder per E-Mail, aber auch über soziale Medien, Schadsoftware, Briefpost und Fax. Manche Betrüger schleusen sich sogar als vermeintliche oder tatsächliche Mitarbeiter in Unternehmen ein.
Technische Sicherheitsvorkehrungen sind beim Social Engineering oft wirkungslos. Wer klassische Täuschungsmanöver kennt und wachsam bleibt, kann Betrugsversuche rechtzeitig bemerken und reagieren.
Fast immer geht es den Betrügern darum, an Informationen zu gelangen. Diese können sie später dafür nutzen, direkt auf Bankkonten zuzugreifen oder auf erpresserische Weise an das Geld des Opfers zu gelangen. Beim Social Engineering wird das Opfer auf der emotionalen Ebene manipuliert. Hier lassen sich sieben Betrugsgrundmuster unterscheiden.
Phishing
Die englische Wortschöpfung aus „password“ und „fishing“ steht im übertragenen Sinn für das Angeln nach sensiblen Daten. Häufig erfragen Kriminelle die Daten über gefälschte E-Mails und Internetseiten, hinter denen scheinbar vertrauenswürdige Organisationen stehen.
Spear-Phishing
Diese Form von Phishing richtet sich gezielt an eine Person und soll durch recherchierte persönliche Angaben (z. B. Name, Geburtsdatum) Vertrauen beim Empfänger wecken.
Scamming
Kriminelle geben sich in E-Mails oder sozialen Medien als eine andere Person aus und versuchen durch Komplimente, Erpressung oder mitleiderregende Geschichten an sensible Informationen oder Geld zu gelangen.
Vishing
Das Vishing entspricht dem Spear-Phishing, allerdings nehmen Kriminelle hierbei als vermeintliche Autoritäten (z. B. Vorgesetzte, Bankvertreter) direkt Kontakt mit ihrer Zielperson auf.
Digitale Erpressung
Als Gegenleistung für die Wiederherstellung von Daten fordern die Erpresser Geld vom Opfer. Eine Variante ist, dass die Erpresser vorgeben, Daten des Opfers zu besitzen, die sie bei Nichtzahlung veröffentlichen werden.
Scareware
Hierbei handelt es sich um Programme, die vortäuschen, Sicherheitsrisiken entdeckt zu haben. Vorgeschlagene Lösungen sind kostenpflichtig oder führen zur Virusinfektion des Endgeräts.
Baiting
Beim Baiting legen Betrüger Köder aus, z. B. scheinbar verlorene USB-Sticks mit Schadsoftware, um Personen zu unvorsichtigen Handlungen zu bewegen.
Social Engineers nutzen für gewöhnlich grundlegende menschliche Eigenschaften aus, um Personen zur Preisgabe von Informationen zu bewegen. Lassen Sie sich nicht dazu verführen.
Vertrauen vortäuschen
An die Hilfsbereitschaft appellieren
Praxistipp
Fragen Sie im Zweifelsfall lieber beim Vorgesetzten nach, ob Sie eine Information an Dritte weitergeben dürfen.
Neugierde wecken
Angst erzeugen
Verlangen schüren
Ein bewusster Umgang mit privaten und beruflichen Informationen kann möglichen Betrugsversuchen vorbeugen.
Wer unsicher ist, ob Anfragen zu sensiblen Daten einen Betrugsversuch darstellen, sollte auf jeden Fall umgehend Vorgesetzte hinzuziehen.
Wie steht es um Ihr eigenes Verhalten? Sind Sie leicht manipulierbar? Seien Sie ehrlich …
Rechtliche Hinweise
Besteht der Verdacht, dass Trickbetrüger in den Besitz sensibler Daten (z. B. Passwörter, Kundenadressen, Bankdaten, Betriebsgeheimnisse) gelangt sind, müssen umgehend die Vorgesetzten informiert werden, damit eine strafrechtliche Verfolgung eingeleitet werden kann. In bestimmten Fällen ist das Unternehmen verpflichtet, die unbefugte Datenweitergabe der Bundesnetzagentur und den betroffenen Personen zu melden. Kommt das Unternehmen dem nicht nach oder gab es keine ausreichenden Maßnahmen zum Schutz der Daten, drohen gerichtliche Verfahren und Strafzahlungen. Kam der Vorfall durch Fehlverhalten zustande, kann den verantwortlichen Mitarbeitern eine fristlose Kündigung ausgesprochen werden.