9 min Zuletzt auktualisiert: 26.11.2024

Social Engineering: Mitarbeitende als unsichtbare HeldInnen

Gewissenhaftigkeit und Respekt vor Autoritäten sind zwei recht banale Eigenschaften, die die meisten Vorgesetzten an ihren Mitarbeitenden schätzen. Wer andere unterstützt, dabei auch mal fünf gerade sein lässt und nicht jeden Schritt mehrfach hinterfragt, hat sicher in den meisten Unternehmen gute Chancen, zu einer beliebten Kollegin oder zu einem gern gesehenen Mitarbeitenden zu werden. So weit, so normal.

Und weil ein Großteil der Menschen gern hilft, zudem wenig misstrauisch, dafür aber sehr gewissenhaft ist, haben BetrügerInnen es relativ leicht, an Unsummen von Geld zu kommen oder geheime Datensätze von Unternehmen abzufangen. Wie etwa 2015, als eine Buchhalterin der Hofpfisterei in München fälschlicherweise 1,9 Millionen Euro nach Hongkong überwies. Der Fall ging 2017 durch die Medien und ist für mich heute noch ein Paradebeispiel dafür, wie Social Engineering (Manipulation auf sozialer Ebene) funktioniert. 

Eine wahre Geschichte – die womöglich hätte verhindert werden können

Frau H. wurde eines Morgens per Mail von ihrer Chefin darüber informiert, dass in Kürze eine “vertrauliche Finanztransaktion” anstünde. Tatsächlich wurde die Buchhalterin – wieder per Mail, wieder von ihrer Vorgesetzten – eine Stunde später dazu aufgefordert, 1,9 Millionen Euro an ein chinesisches Konto zu überweisen. Was sie auch tat – und zwar ohne zu wissen, dass BetrügerInnen ihr Unternehmen gerade um knapp 2 Millionen Euro erleichtern, und ohne zu ahnen, dass ihre Chefin nichts mit diesen Mails zu tun hatte. Innerhalb kürzester Zeit war das Geld weg. Und nachdem aufgefallen war, dass die Hofpfisterei Opfer von Social Engineering wurde, ging der Ärger erst richtig los: Versicherungen wurden bemüht, jahrelange Prozesse wurden durchlaufen, Schuldige wurden gesucht – und Frau H. war ihren Job los. 

Warum hatten es die BetrügerInnen so leicht, die Buchhalterin zu täuschen? Immerhin saß deren Chefin nur ein paar Zimmer weiter, Zahlungen nach Hongkong sind für die Hofpfisterei eher ungewöhnlich, und auch dass eine Überweisung nicht digital, sondern per Fax erledigt werden soll, hätte auffallen können. Außerdem: Wieso ist bei der Bank niemand stutzig geworden? 1,9 Millionen Euro von der Hofpfisterei nach Hongkong – das passiert nicht alle Tage bei der Münchner Hausbank. Doch niemand hat gezweifelt – oder zumindest seine Zweifel nicht adressiert – und somit hatten die BetrügerInnen leichtes Spiel.  

Social Engineering hat viele Gesichter

Lassen Sie uns dem Kind einen Namen geben: CEO-Fraud, also Geschäftsführer-Betrug, heißt die Masche, die im November 2015 in der Hofpfisterei zu kurzzeitigen Atemaussetzern und ungläubig aufgerissenen Augen geführt haben dürfte. Typisch für diese Betrugsform, die Teil von Social Engineering ist, sind

  • Vertraulichkeit: Frau H. durfte mit niemandem über die in Auftrag gegebene Überweisung sprechen
  • Unerwartete Anfragen: Frau H. wurde von der Bitte ihrer “Chefin” überrascht
  • Zeitdruck: Frau H. sollte sich beeilen
  • Ausnutzen von Hintergrundinformationen: Frau H. war persönlich bei der Bank bekannt und somit unverdächtig, fälschlicherweise große Beträge zu transferieren

CEO-Fraud ist aber nur eine Möglichkeit, um Mitarbeitende zu manipulieren und zu täuschen, und um Unternehmen empfindlich zu schädigen. Zu Social Engineering gehören auch die zahllosen Phishing-Mails, die wir alle kennen: In Abu Dhabi hat uns ein Cousin dritten Grades 5 Millionen Euro vererbt, und sein Stiefsohn braucht jetzt nur noch unsere Kontoverbindung, um uns das Geld zukommen lassen zu können. Oder die realistischere Variante für alle, die nicht mehr an eine unbekannte reiche Verwandtschaft glauben: “Ihr Konto wurde gesperrt. Melden Sie sich HIER, um es wieder freizuschalten!”. 

Im beruflichen Kontext gehen auch gern Anrufe bei Mitarbeitenden ein. Dann ist am anderen Ende ein vermeintlicher Kollege aus der IT, der mal eben das Passwort der Vertriebsleiterin benötigt, weil gerade ein Update bei Microsoft ausgeführt wird. “Danach geht alles wieder viel schneller, ich muss mich nur kurz bei Ihnen einloggen!”

Social Engineering-Angriffe werden häufiger, je besser unsere Technik wird

Es gibt noch weitere unzählige Beispiele, die zeigen, wie schnell Mitarbeitende manipuliert, getäuscht und als menschliche Schwachstelle missbraucht werden, um an Geld oder Daten zu kommen. Dass dieser Trend immer weiter um sich greift, ist logisch nachvollziehbar – denn je besser Cyber-Sicherheitssysteme werden und durch technische Schlupflöcher immer seltener in Unternehmen eingedrungen werden kann, sind unwissende und nicht vorbereitete Mitarbeitende eine offenbar lukrative Einnahmequelle. Der Global Crime Trend Report 2022 von Interpol geht von einer steigenden Entwicklung in den kommenden 5 Jahren aus. Laut dem IT-Sicherheitsanbieter Barracuda wird bereits jetzt jedes Unternehmen im Schnitt bis zu 700 Mal pro Jahr Opfer eines Social Engineering-Angriffs, wobei Unternehmen mit weniger als 100 Mitarbeitenden etwa 350 % mehr Angriffen ausgesetzt sind als größere Unternehmen. Aus Angst vor Reputationsverlusten wird nicht jeder Angriff bei den Strafverfolgungsbehörden gemeldet, wodurch die Dunkelziffer deutlich höher liegen dürfte.  

Die große Frage: Was hilft?

Wie Unternehmen sich, ihre Mitarbeitenden und ihre Kundschaft schützen können, ist simpel: Menschen müssen befähigt werden, Social Engineering zu erkennen, Sicherheitsmaßnahmen zu ergreifen und sich zu wehren. Aus Mitarbeitenden können Cyber-HeldInnen werden: 

  • Alle Mitarbeitenden müssen lernen, dass sie die erste Verteidigungslinie gegen Social Engineering-Angriffe bilden
  • Sie müssen erkennen, dass sie eine hohe Verantwortung tragen und lernen, wie sie dieser gerecht werden
  • Unternehmen müssen eine moderne und nachvollziehbare Sicherheitskultur im gesamten Betrieb implementieren

Neben professionellen E-Learnings, die Mitarbeitende sensibilisieren und auf dem Gebiet der Cyber-Kriminalitätsabwehr weiterbilden, können Unternehmen weitere Schritte einleiten. Phishing-Mails können genauso simuliert werden wie telefonisches Social Engineering. Auch physische Social-Engineering-Tests und USB-Baiting-Tests helfen Mitarbeitenden dabei, Angriffe zu erkennen und mit ihnen umzugehen. Ohne vorherige Wissensaneignung sind all diese Übungen aber natürlich fehl am Platz. Mitarbeitende, die durch unser IT-Security E-Learning geschult werden, bekommen einen ganzheitlichen Überblick über die Momente, in denen sie von Social Engineering betroffen sein können:

  • Mit welchen Maßnahmen schütze ich meinen Arbeitsplatz und meine Geräte?
  • Wie erkenne ich Phishing und Social Engineering?
  • Welche Sicherheitsrisiken gibt es bei der Remote-Arbeit? 
  • Wie verhalte ich mich im Ernstfall richtig?

IT-Sicherheit ist viel zu wichtig, um kompliziert zu sein. Deshalb legen wir bei lawpilots wie immer großen Wert auf moderne Grafiken, Storytelling, verständliche Sprache und Lerninhalte, die den Arbeitsalltag aller Mitarbeitenden aufgreifen. Unsere rechtliche Expertise ist dabei mehrfach ausgezeichnet – damit Unternehmen nachweislich sicherer werden, wenn sie ihren Mitarbeitenden unsere E-Learnings zur Verfügung stellen. 

Jede/r Einzelne von uns spielt eine entscheidende Rolle bei der Abwehr von Cyber-Betrug und Social Engineering-Angriffen. In Zukunft werden wir alle noch häufiger damit konfrontiert werden – KI macht’s möglich. Denn die Handlungsoptionen, die Kriminelle im Zuge der fortschreitenden Digitalisierung haben, müssen von allen potenziell Betroffenen frühzeitig erkannt werden. Das schaffen wir nicht, wenn sich die KI und damit die Betrugsmöglichkeiten weiterentwickeln, wir jedoch auf unserem aktuellen Wissensstand stehenbleiben.

Ich freue mich, wenn Sie als Führungskraft mir Rückmeldung geben: Was sind Ihre Erfahrungen mit Social Engineering? Wie schützen Sie aktuell Ihr Unternehmen davor? Und sind Sie zu 100 % sicher, dass Sie sich diesbezüglich auf Ihre Mitarbeitenden verlassen können?

Für 1:1-Gespräche stehe ich natürlich auch immer gern zur Verfügung. 

Unsere Auszeichnungen

Comenius-Siegel-2024 DBA Siegel

Unsere Partner

lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.1738400762475 von 5 Sternen 2673 Bewertungen auf ProvenExpert.com

Schulungen

Darum lawpilots

Expertise

Unternehmen

Ressourcen

Verkauf nur an UnternehmerInnen, Gewerbetreibende, FreiberuflerInnen und öffentliche Einrichtungen. Kein Verkauf an VerbraucherInnen im Sinne des § 13 BGB.
Meldestelle für HinweisgeberInnen: lawpilots@hinweis.hb-ecommerce.eu; 0151 / 19461497