Cybersicherheit
16. Juni 2020 6:00  Uhr

Datenklau durch plumpes Austricksen

Beim Social Engineering wird das schwächste Glied in der Kette als Türöffner für den Klau von Firmendaten genutzt: der Mitarbeiter. Ein Trick, der immer wieder funktioniert, ist die Manipulation.

Hilfsbereitschaft, Vertrauensseligkeit, Neugier: Es sind ganz banale menschlichen Eigenschaften, die Firmenmitarbeiter leicht manipulierbar und damit zu perfekten Zielen für Datendiebe machen. Die Schäden können immens sein. | Foto: arrow – stock.adobe.com

OSTBAYERN. Geschäftsgeheimnisse, sensible Daten und Unternehmenszahlen, die nur für den internen Gebrauch bestimmt sind: Jedes Unternehmen sollte ein Interesse daran haben, seine Daten zu schützen. Mittlerweile gibt es viele verschiedene Methoden, mit denen Hacker versuchen, an sensible Daten von Unternehmen, staatlichen Behörden oder Privatpersonen zu gelangen. Nicht immer setzen Betrüger auf rein technische Mittel wie das Hacken von IT-Systemen, sondern manchmal auch ganz gezielt auf die Vertrauensseligkeit der Menschen.

Auch bei der Methode des Social Engineerings setzen Hacker gezielt beim schwächsten Glied in der Kette des Datenschutzes an: dem Menschen. „Social Engineering ist eine zwischenmenschliche Beeinflussung mit dem Ziel, bestimmte Verhaltensweisen bei Personen hervorzurufen und an vertrauliche Informationen zu gelangen“, erklärt Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG. „Soll über diese Methode in ein fremdes Computersystem eingedrungen werden, spricht man auch von Social Hacking.“

Vorsicht in sozialen Netzwerken

Sogenannte Social Engineers spionieren dabei das persönliche Umfeld ihres Opfers aus oder täuschen Identitäten vor, um an geheime Informationen, persönliche Kennwörter oder PIN-Nummern zu gelangen. „Mitarbeiter in Unternehmen werden häufig per E-Mail oder auch telefonisch kontaktiert und ausgefragt“, sagt Hösel. „Die Hacker geben sich zum Beispiel als Führungsperson oder auch Techniker aus und verlangen vertrauliche Zugangsdaten. Manchmal behaupten die Betrüger auch, ein Kunde oder Lieferant zu sein. Dabei sammeln sie über einen längeren Zeitraum bis zu einem halben Jahr verschiedene Daten.“ Über öffentlich zugängliche Quellen werden vorab meist kleine Informationsfetzen wie Verfahrensweisen oder die Unternehmenshierarchie recherchiert. Damit kann der Hacker Insiderwissen vortäuschen.

Trügerische Freundschaftsanfragen

Im Privatbereich erfolgt das Social Engineering oft über die sozialen Medien. Täter schicken zum Beispiel Freundschaftsanfragen an Bekannte des eigentlichen Opfers. Haben diese einer solchen Anfrage zugestimmt, erhält nun auch die Zielperson eine. Da die Bekannten bereits mit dem Betrüger bekannt sind und sich so eine scheinbar persönliche Verbindung herstellen lässt, stimmt häufig auch die Zielperson zu. „Über Posts, Likes und Fotos sammeln Täter Informationen und erfahren etwas über die Persönlichkeit der Zielperson. In Chats können Hacker weitere Informationen erfragen und somit ihre Kenntnisse ergänzen. Manchmal täuschen diese nach einer gewissen Zeit auch einen Notfall vor, um weitere Details zu erfragen, die Menschen im Normalfall nicht preisgeben würden – dies in der Stresssituation jedoch tun“, sagt der Datenschutzbeauftragte.

Prävention durch Sensibilisierung

Um sich vor dieser Methode zu schützen, gilt es, Mitarbeiter in Unternehmen für Social Engineering zu sensibilisieren, beispielsweise durch Datenschutzschulungen. „Generell empfiehlt es sich, E-Mails und Anrufen von unbekannten Personen misstrauisch zu begegnen und im Zweifelsfall nie sensible Daten weiterzugeben“, rät Hösel. Auch Links von scheinbar bekannten Absendern, die jedoch von einer fremden Mailadresse stammen, sollten nicht geöffnet werden.

Gewinnbenachrichtigung? Ab in den Papierkorb

Außerdem nutzen Hacker immer häufiger bekannte Layouts, beispielsweise von einem Kreditinstitut, die zu einer Login-Seite führen. So sollen Benutzername und Kennwort gestohlen werden. Um die Login-Daten nicht an Betrüger preiszugeben, empfiehlt es sich, wichtige Seiten als Lesezeichen zu speichern und immer diesen Zugang für den Login zu nutzen. E-Mails, Anrufe oder SMS, die Gewinne versprechen, sobald man persönliche Daten weitergibt, gilt es zu ignorieren, schließlich hat kaum jemand etwas zu verschenken. Jeder Mensch sollte auch kritisch überdenken, welche privaten Inhalte er oder sie in den sozialen Medien teilt. (wz)

Schwerpunkt IT- und Datensicherheit in der Wirtschaftszeitung

Unter anderem um Phishing, Ransomware und die Geschichte der IT-Sicherheit geht es auch im Themenschwerpunkt der nächsten Ausgabe der Wirtschaftszeitung, die am 26. Juni als Print und E-Paper erscheint.