Social Engineering in KMU: 10 Verhaltensregeln

Social Engineering mit USB-Stick und LohnlisteSocial Engineering ist eine zunehmende Bedrohung für Unternehmen jeder Grösse. Insbesondere KMU sind immer häufiger Ziel solcher manipulativen Angriffe, da sie häufig über weniger effektive Sicherheitskonzepte als Grosskonzerne verfügen. Wir stellen 10 Verhaltensregeln für Mitarbeitende vor, mit denen sich Social-Engineering-Angriffe vermeiden lassen.


Was ist Social Engineering?

Social Engineering ist eine Methode, bei der Angreifer mit psycho­logischer Manipulation Mitarbeitende beeinflussen. Ziel dabei ist es, sie dazu zu bringen, vertrauliche Informationen preiszugeben oder unberechtigten Zugriff auf Systeme zu gewähren. Diese Angriffe sind besonders gefährlich, weil sie menschliche Schwächen wie Vertrauen und Hilfs­bereitschaft ausnutzen.

Die Angriffe können über verschiedene Kanäle erfolgen, darunter E-Mail, Telefon oder persönliche Kontakte. Die Absichten dahinter sind immer dieselben: Zugang zu wertvollen Informationen oder IT-Systemen zu erhalten, die schwache IT-Sicherheit zu umgehen, um Schad­software zu installieren oder eine Handlung wie etwa eine Finanz­transaktion auszulösen.

Die Psychologie hinter Social Engineering

Cyberkriminelle nutzen verschiedene psychologische Techniken, um ihre Ziele zu erreichen. Dazu gehören:

  • Schockieren und Steuern: Die Angreifer setzen auf Überraschungs­effekte, um schnelle und unüberlegte Reaktionen zu provozieren.

  • Das Prinzip «Geben und Nehmen»: Durch kleine Gefälligkeiten schaffen Angreifer eine Verpflichtung zur Gegen­seitigkeit. Z.B. durch einen im Büro platzierten USB-Stick mit der Aufschrift «Lohnliste» – Inhalt: Schadsoftware.

  • Social Proof: Die Angreifer nutzen die Neigung der Menschen aus, sich an das Verhalten anderer zu gewöhnen. Sie verlangen dabei zunächst Kleinigkeiten, um über die Zeit immer wichtigere Informationen zu bekommen.

  • CEO-Fraud: Hierbei wird die Autorität oder Sympathie einer Führungsperson vorgetäuscht. Durch künstliche Intelligenz lässt sich etwas die Stimme täuschend echt imitieren.

  • Scarcity Principle: Mit künstlicher Verknappung von Ressourcen den Druck zu handeln erhöhen – beispiels­weise mit einem fingierter Wettbewerb, bei dem die ersten fünf Mitarbeitenden etwas gewinnen können.

  • Pretexting: Ein Angreifer gibt sich als vertrauens­würdige Personen aus, z.B. als externer IT-Dienstleister, um Informationen zu erhalten.


Was sind die Risiken für KMU durch Social Engineering?

Die Risiken von Social Engineering sind für KMU vielfältig und können weitreichende Konsequenzen haben. Da kleinere und mittlere Unternehmen oft über begrenzte IT-Ressourcen und weniger ausgefeilte Sicherheits­massnahmen verfügen, sind sie besonders anfällig für solche Angriffe.

Ein erfolgreicher Social-Engineering-Angriff kann zu finanziellen Verlusten bis hin zur Insolvenz führen. Oft beeinträchtigt eine solche Attacke das Vertrauen der Kunden und schädigt den Ruf des Unternehmens. Zudem besteht das Risiko, dass unternehmenskritische Informationen in die falschen Hände geraten, was langfristige Auswirkungen auf die Wettbewerbs­fähigkeit haben kann. Angesichts dieser Bedrohungen ist es für KMU unerlässlich, Schutz­massnahmen zu ergreifen und ihre Mitarbeitenden im Umgang mit potenziellen Angriffen zu schulen.


Wichtige Präventionsmassnahmen für KMU

Um sich wirksam und gegen Social Engineering zu schützen, müssen KMU eine Reihe von Präventions­massnahmen ergreifen. Dazu gehört insbesondere die Sensibilisierung der Mitarbeitenden durch regelmässige Schulungen und Workshops.

Zusätzlich sollten KMU technische Sicherheits­vorkehrungen treffen. Dazu zählen unter anderem folgende Schutzfaktoren:

  • Firewalls
  • Antivirensoftware
  • Zwei-Faktor-Authentifizierung
  • Laufende Einspielung von Sicherheitsupdates 
Zur wirksamen Prävention von Social Engineering gehören zudem zwingend organisatorische Massnahmen wie eine Anlaufstelle für verdächtige Aktivitäten und nachvollziehbare Verhaltens­regeln für die Belegschaft.



10 unverzichtbare Verhaltensregeln für Mitarbeitende


1. Aufmerksamkeit

Stets Sorgfalt walten lassen bei allen Arten von Kontaktaufnahmen – sei es per E-Mail, über Messaging-Dienste wie WhatsApp, SMS oder telefonisch. Laufend auf Unregel­mässigkeiten oder ungewöhnliche Anfragen achten, die auf Social-Engineering-Strategien hinweisen könnten. Alle eingehenden Anfragen und Nachrichten fundiert bewerten, um potenzielle Bedrohungen frühzeitig zu identifizieren. Bei E-Mails ist zu prüfen, ob sie verdächtige Merkmale eines Phishing-E-Mails aufweisen.  

2. Erst denken, dann klicken

Vor dem Öffnen von Links oder Anhängen in einer E-Mail oder Nachricht die Plausibilität und den Kontext der Anfrage überprüfen. Sicherstellen, dass die Anfrage von einer vertrauens­würdigen Quelle stammt und dass der Inhalt der Nachricht sinnvoll und in einem erwarteten Rahmen steht. Auf ungewöhnliche Formulierungen oder andere Anzeichen achten, die auf einen möglichen Betrugsversuch hinweisen könnten. Vergewissern, ob die Anfrage tatsächlich relevant ist und ob kürzlich Kontakt mit der Person oder dem Unternehmen bestand oder eine solche Nachricht erwartet wird.

3. Verdachtsfälle melden

Bei verdächtigen Nachrichten unverzüglich die zuständige interne Anlaufstelle informieren. Dabei alle relevanten Informationen bereitstellen, wie die Art der Nachricht, den Absender, den Inhalt und den Zeitpunkt des Eingangs. Diese Meldung ermöglicht es, mögliche Bedrohungen zu analysieren, zu bewerten und bei Bedarf geeignete Gegen­massnahmen einzuleiten. 

4. Verifizierung mittels Rückruf

Im Zweifelsfall den Absender über einen unabhängigen Kanal kontaktieren, beispielsweise über einen telefonischen Rückruf. Nicht auf die ursprüngliche Nachricht antworten, sondern eine alternative und sichere Kommunikationsmethode wählen, um die Identität des Absenders zu verifizieren. So lässt sich sicherstellen, dass die Anfrage tatsächlich von der Person stammt, für die sie sich ausgibt. 

5. Kühlen Kopf bewahren

Nicht unter Druck setzen lassen. Oft versuchen Angreifer, mit Zeitdruck oder dringenden Anfragen Stress­situationen zu erzeugen, die zu unüberlegten Entscheidungen führen können. In solchen Momenten Ruhe bewahren und sich genügend Zeit nehmen, um alle Informationen sorgfältig zu prüfen. Gegebenenfalls Rücksprache mit Kollegen, Kolleginnen oder der IT-Abteilung halten, bevor auf eine Anfrage reagiert wird, die verdächtig erscheint oder unangemessen eilig wirkt. 

6. Vorsicht bei der Weitergabe von Informationen

Nicht täuschen lassen: Selbst scheinbar unwichtige Details können für Angreifer von grossem Wert sein. Oft nutzen sie kleine Informations­fragmente als Puzzle­stücke, um mit der Zeit ein vollständigeres Bild über das anvisierte Unternehmen oder die Zielperson zu erhalten. Selbst unbedeutend scheinende Informationen wie die Struktur des Unternehmens, interne Prozesse oder die Namen von Mitarbeitenden können in Kombination mit anderen Daten dazu führen, dass Cyber­kriminelle raffinierte Täuschungsmanöver aufsetzen und durchführen können. 

7. Sichere Login-Daten

Ein starkes Passwort ist eine der grundlegenden Verteidigungs­linien gegen unbefugten Zugriff auf persönliche und berufliche Konten. Ein sicheres Passwort besteht aus einer komplexen Kombination von mindestens 12 Zeichen. Zusätzlich ist es wichtig, Passwörter regelmässig, beispielsweise alle 3 Monate zu ändern, um die Sicherheit weiter zu erhöhen. Unterschiedliche Passwörter für verschiedene Konten nutzen, um einen möglichen Schaden im Fall eines Sicherheitsvorfalls zu begrenzen. Zu erwägen ist auch die Verwendung eines Passwort-Managers, um starke Passwörter sicher zu speichern und zu verwalten.

8. Vorsichtig unterwegs

Bei der Nutzung öffentlicher WLAN-Netzwerke ist besondere Vorsicht geboten. Diese Verbindungen sind oft ungesichert sind und stellen ein erhebliches Risiko für Datendiebstahl und andere Cyberangriffe dar. Bei der Verwendung solcher Netzwerke auf sensible Aktivitäten wie Online-Banking oder Zugriff auf vertrauliche Unternehmens­informationen verzichten. Zudem darauf achten, dass die automatische Verbindung zu unbekannten Netzwerken deaktiviert ist, um nicht versehentlich in unsichere Netze zu geraten. 

9. Obligatorische Schulungen

Cybersicherheitsschulungen sind eine wesentliche Komponente einer wirksamen Unternehmens­sicherheits­strategie, und die Teilnahme daran ist für alle Mitarbeitenden obligatorisch. Die Schulungen dienen dazu, das Bewusstsein und das Know-how für potenzielle Bedrohungen zu schärfen, um effektiv auf Sicherheits­vorfälle zu reagieren. Sie zeigen die neuesten Bedrohungs­szenarien und Angriffs­methoden auf. Die Teilnehmenden lernen dabei, wie sie verdächtige Aktivitäten erkennen und darauf reagieren können.  

10. Im Zweifel fragen

Bei Unsicherheiten lieber über­vorsichtig agieren. Es ist besser, im Zweifelsfall zu viele Fragen zu stellen, als ein potenzielles Sicherheitsrisiko einzugehen. Das Nachfragen bei Unklarheiten kann dazu beitragen, Miss­verständnisse zu vermeiden und die Sicherheit des Unternehmens zu gewährleisten.

Stärkung der Sicherheitskultur im Unternehmen

Eine starke Sicherheitskultur ist der Schlüssel zur Abwehr von Social-Engineering-Angriffen. Dazu gehört nicht nur die Sensibilisierung der Mitarbeitenden, sondern auch die Schaffung eines Umfelds, in dem Sicherheit als gemeinsame Verantwortung betrachtet wird.

Neben klaren Verhaltensregeln tragen regelmässige Schulungen, offene Kommunikation und klare Richtlinien dazu bei, das Bewusstsein für Sicherheits­risiken zu schärfen. Dazu zählt auch, das Vertrauen in die eigenen Fähigkeiten zur Abwehr von Angriffen zu stärken. 

Neuer Call-to-Action
Themen: Cyber Security, Passwort
Autor: Philipp Hollerer | 16.10.2024 | 12:08
Philipp Hollerer
Besuchen Sie mich auf Social Media:
LinkedIn
  • Blog-Beitrag teilen:
  • Share on Linkedin
  • Share on Facebook
  • Blog-Beitrag teilen:
  • Share on Linkedin
  • Share on Facebook

Jetzt IT-Blog für KMU als E-Mail abonnieren.

Proaktiv. Smart. All Inclusive.
Möchten Sie eine IT, die mit höchster Sicherheit, Leistungsfähigkeit und Stabilität rund um die Uhr zur Verfügung steht? Dann kontaktieren Sie uns.
 
care4IT AG
Räffelstrasse 26
8045 Zürich
SWITZERLAND
Tel: +41 43 388 20 40
info@care4it.ch
Social Media
Folgen Sie uns:
Linkedin Instagram
Support
Tel: +41 43 388 20 99
 
24 / 7 Support-Hotline
(nur für Geschäftskunden)
Tel: +41 43 388 20 49

nachhaltige-it-fuer-kmu-mit-it-support-it-outsourcing-in-zuerich-care4it

OneTreePlanted-nachhaltige-IT-Loesungen-care4IT


Shortlinks
Home
Managed IT Services
Cloud
Outsourcing & Support
Blog
Academy
Karriere & Jobs
Über uns
Kontakt & Anreise
Remote Software Team Viewer
AGB

 

Impressum & Datenschutzbestimmung

Newsletter & Infos zu aktuellen Blog-Posts rund um KMU-IT abonnieren