Das Ausnutzen menschlicher Schwächen und die Manipulation der Psyche gehören leider immer mehr zum Handwerk krimineller Elemente. Diese missbrauchen das Bedürfnis nach Vertrauen in Systeme, Hilfsbereitschaft oder ganz einfach die Autorität vor „ranghöheren“ Personen. Ebenso wird die menschliche Neugier immer gnadenloser ausgenutzt.

Doch wofür eigentlich?


In diesem Blog möchte ich auf, leider immer häufiger auftretende Phishingattacken und seine Risiken eingehen. Vermutlich hat jeder schon einmal von dem „Enkeltrick“ gehört. Ältere Personen, oft alleinstehend und nähebedürftig werden durch einen Telefonanruf ihres vermeintlichen Enkels um Geldbeträge gebeten, die diese dann an ein fremdes Konto überweisen. Wer kennt schon die genauen Kontodaten seiner Familie?

Dieses Vorgehen kann man beispielhaft auch auf Firmenumgebungen übertragen. Durch die Mail eines Kollegen oder des Chefs werden Sie gebeten kurz vor Feierabend noch eine Summe auf ein Konto zu überweisen, damit Projekt XY fertig wird.

Doch wie funktioniert das eigentlich?

Potentiell kann jeder Mitarbeiter Ziel eines Angriffs werden. Da mittlerweile jeder auf die ein oder andere Art auf Social-Media vertreten ist, können Angreifer gezielt nach Informationen über Ihre Person oder die Firma, in der Sie arbeiten, suchen. Hat ein Angreifer erst einmal genügend Informationen gesammelt, kann er über mehrere Wege Kontakt zu Ihnen aufnehmen.
Der Einfachste ist wohl, Ihnen einfach eine Email mit Anhang zu schicken und zu hoffen, dass Sie diese in einer schwachen Minute kurz vor Feierabend öffnen. Auf Anhänge, die nicht in den Alltag gehören, sollte wirklich niemand klicken! Ein gutes Beispiel hierfür ist der EMOTET-Trojaner.
Etwas komplizierter, aber mit ein wenig Fachwissen nicht unmöglich ist das sogenannte Email Spoofing. Hier übernimmt der Angreifer die Identität eines Firmenkollegen oder sogar Ihres Chefs und wer kann seinem Chef schon eine Last-Minute-Transaktion abschlagen, die den Quartalsumsatz retten könnte? Selbst Telefonanrufe können mit technischen Tricks gefälscht werden.

Prüfen Sie Ihre Interna!
Gibt es feste Abläufe?
Wer darf Zahlungen in Auftrag geben und über welche Wege treffen diese Aufträge ein?

Das Bundesamt für Sicherheit in der Informationstechnologie (BIS) benennt diese Art von Cyberattacke „Advanced Persistent Threat“. Der klassische Weg ist die Erpressung von Lösegeld durch Verschlüsselung firmeninterner Daten. Da jeden Tag stündlich neue Viren und Trojaner auf den Markt kommen, kann es keinen 100 prozentigen Schutz geben. Deshalb sollte man für den Ernstfall vorbereitet sein.

Wer sind die Angreifer und was sollte man im Ernstfall tun?

Laut einer Studie der Bitkom sind häufig die eigenen oder ehemalige Mitarbeiter, verprellte Konkurrenz oder Lieferanten die Angreifer. Auf den „Prinz aus Nigeria Trick“ sollte heutzutage niemand mehr hereinfallen, was Sie aber tun können, wenn doch ein Erstfall eintritt, habe ich meinem letzte Blog -Notfallkarte des BSI- thematisiert. In kurz sei aber gesagt, dass eine Investition in die Schulung Ihrer Mitarbeiter niemals fehl am Platz ist, da nur ein informiertes Umfeld fähig ist auf Attacken von außerhalb korrekt zu reagieren.

Ausgaben für Sicherheit sind nicht unnötig, sondern Investitionen in die Zukunftssicherheit Ihres Unternehmens.

Bei Fragen zu Sicherheitsthemen rund um Ihre IT und wie Sie diese verbessern können – sprechen Sie uns an, wir beraten Sie gerne.

Manuel Lehrke

Auszubildender zum Fachinformatiker - Systemintegration bei hagel IT-Services GmbH
Man ist nie zu alt für neue Technik.
Manuel Lehrke

Kommentarbereich geschlossen.