Der Gebrauch von Cookies erlaubt uns Ihre Erfahrung auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu.

Erfahren Sie mehr

05.04.2019 Digitale Sicherheitsbedrohungen für Unternehmen

Symbolbild

Social-Engineering-Angriffe durch Cyberkriminelle nehmen rasant zu und zählen zu den stärksten Gefährdungen für Unternehmen. Gezielte Personalschulungen sind daher dringend erforderlich.

Unternehmen setzen vermehrt Kapital für technische Schutzmaßnahmen ein, um ihre Hard- und Software sowie ihre Betriebssysteme bestmöglich vor Cyberangriffen zu bewahren. Dies ruft Kriminelle auf den Plan, die durch den Einsatz von gezielten und gut durchdachten Social-Engineering-Tricks, eine Schwachstelle bei den Mitarbeitenden finden wollen.

Aufgrund der vermehrten Zunahme von Social-Engineering-Angriffen wird daher dringend empfohlen, neben den technischen Maßnahmen auch alle Mitarbeiterinnen und Mitarbeiter für dieses Thema zu sensibilisieren, um das Unternehmen bestmöglich vor beträchtlichem Schaden zu bewahren.

Beispiele für Social-Engineering-Angriffe, die oftmals zur Anwendung kommen:

Phishing

Hinter der Versendung von gefälschten E-Mails im Namen von Bankinstituten, Mobilfunkprovidern und dergleichen sowie dem Einsatz gefälschter Webseiten im Internet durch Cyberkriminelle stecken finanzielle Motive. Ziel ist es, Anwenderinnen und Anwender dazu zu verleiten, Links zu kompromittierten Webseiten aufzurufen, kompromittierte Dateianhänge zu öffnen und persönlichen Daten wie Zugangs- und Kontodaten preiszugeben.

Pretexting

Cyberkriminelle versuchen mittels einem plausiblen, jedoch erfundenen Vorwand, von Mitarbeitenden Informationen – beispielsweise Login-Daten – zu erhalten, um sich so Zugang zum System zu verschaffen und somit sensible Daten des Unternehmens stehlen zu können.

Baiting

Bei dieser Art von Cyberattacke wird ein Speichermedium zum Einsatz gebracht, auf dem sich Schadsoftware befindet. Betrügerische Personen platzieren dieses gezielt am Bürogelände, damit es garantiert gefunden und auf einem firmeninternen Rechner aktiviert wird. Dadurch kann unmerklich Malware eingeschleust werden, die Kriminellen unerkannt Zugriff zum System gewährt.

Tailgating

Unbefugte versuchen sich unter falschem Vorwand, z.B. der Ausweis wurde vergessen, Zugang zu zutrittsgesicherten Orten zu verschaffen. Darunter fällt auch, wenn hilfsbereite Menschen ihr Mobilgerät einer Person leihen, damit diese kurz etwas nachsehen kann. Oftmals hat dies nur das Ziel, Schadsoftware zu installieren, um unerlaubt an persönliche Daten zu gelangen.

Quid pro quo-Attacke

Mit diesem Trick locken Kriminelle mit attraktiven Gegenangeboten, um wichtige Informationen zu erhalten (Quid pro quo: lat. für „dies für das“)

Wasserloch-Angriff

Cyberkriminelle schleusen bei einer sogenannten Watering-Hole-Attacke auf einer Webseite, die von einer bestimmten und großen Gruppe von Mitarbeitenden oft besucht wird, Malware ein. Sobald ein Gerät aufgrund des Aufrufs infiziert ist, haben die Angreifenden Zugriff auf dessen System.

Spear-Phishing

Dies ist eine beliebte Methode für zielgerichtete Angriffe. Anstatt Phishing-E-Mails ziellos an eine möglichst große Zahl von Empfängerinnen und Empfängern zu versenden, setzt sie auf gezielte Angriffe mit geringem Versandvolumen. Ziel ist es, mit einer speziell angefertigten E-Mail ganz bestimmte Adressatinnen und Adressaten zu erreichen, um sich Zugang zum Netzwerk der Organisation zu verschaffen und so vertrauliche Informationen zu erlangen.

Weitere Informationen

Datum der Veröffentlichung: 05.04.2019

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria