{"id":685062,"date":"2024-09-11T06:00:17","date_gmt":"2024-09-11T04:00:17","guid":{"rendered":"https:\/\/blog.wiwo.de\/management\/?p=685062"},"modified":"2024-09-11T14:30:00","modified_gmt":"2024-09-11T12:30:00","slug":"buchauszug-tina-groll-cem-karayakaya-klicken-sie-hier-digitale-selbstverteidigung-leichtgemacht","status":"publish","type":"post","link":"https:\/\/blog.wiwo.de\/management\/2024\/09\/11\/buchauszug-tina-groll-cem-karayakaya-klicken-sie-hier-digitale-selbstverteidigung-leichtgemacht\/","title":{"rendered":"Buchauszug Tina Groll & Cem Karakaya: „Klicken Sie hier. Digitale Selbstverteidigung leichtgemacht“"},"content":{"rendered":"
Buchauszug: Cem Karakaya & Tina Groll<\/span>, „Klicken Sie hier. Digitale Selbstverteidigung leichtgemacht“\u00a0<\/b><\/div>\n
<\/div>\n
<\/div>\n
\n
\"\"

Tina Groll (Foto: Kay Blaschke\/Ariston PR)<\/p><\/div>\n<\/div>\n

<\/div>\n

 <\/p>\n

 <\/p>\n

<\/div>\n
<\/div>\n
<\/div>\n
<\/div>\n

 <\/p>\n

<\/div>\n
<\/div>\n
<\/div>\n
<\/div>\n
<\/div>\n
<\/div>\n
<\/div>\n
<\/div>\n
„Lassen Sie Ihre Identit\u00e4t nie unbeaufsichtigt: Neue Ph\u00e4nomene von Internetkriminalit\u00e4t“<\/b><\/div>\n
\n

Die g\u00e4ngigsten Methoden der T\u00e4ter in der \u00dcbersicht –\u00a0Angriffe auf Unternehmen durch Social Engineering<\/b><\/p>\n

 <\/p>\n

Der Mensch ist ein soziales Wesen, er ist neugierig, l\u00e4sst sich mitunter leicht in Angst versetzen, er ist gierig, er ist manchmal nur auf seinen Vorteil bedacht. Er kann mitf\u00fchlend sein und hilfsbereit sein. Alle diese Eigenschaften werden beim Social Engineering ausgenutzt. Social Engineering zielt darauf ab, rationale \u00dcberlegungen au\u00dfer Kraft zu setzen, indem es starke Emotionen hervorruft und zu einem un\u00fcberlegten Handeln verleitet.<\/p>\n

\"\"

Cem Karakaya (Foto: Kay Blaschke\/Ariston PR)<\/p><\/div>\n

 <\/p>\n

Fatal ist es, wenn die Angegriffenen an wichtigen Schnittstellen in Unternehmen arbeiten und es zu hohen Schadenssummen kommt. Sie glauben vielleicht, das k\u00f6nnte Ihnen nicht passieren? Sie werden staunen, wie leicht Menschen auf diese Manipulationsmethoden hereinfallen. Laut dem Verizon Data Breach Investigations Report (DBIR) aus dem Jahr 202241 beinhalten 82 Prozent der Datenschutzverletzungen ein menschliches Element \u2013 sprich: Jemand hat einen Fehler gemacht. Und in einer Studie des Unternehmens Barracuda aus dem Jahr 202142 wurde festgestellt, dass ein Unternehmen im Schnitt rund 700-mal im Jahr Angriffen ausgesetzt ist, h\u00e4ufig setzen die T\u00e4ter dabei auf soziale Manipulationen von Besch\u00e4ftigten.<\/p>\n

 <\/p>\n

Digitale Tools spielen dabei oft keine so gro\u00dfe Rolle \u2013 die T\u00e4ter nutzen viel lieber die menschlichen Schwachstellen aus. Sie greifen zum Telefon (oft mit verfremdeten Stimmen, etwa um zu klingen wie der Unternehmenslenker), sie schl\u00fcpfen in Rollen und tauchen als Dienstleister, Handwerker, Reinigungspersonal oder Kundinnen verkleidet in Firmen auf, um mit den Mitarbeitenden zu sprechen, so wie es etwa der Hacker Blackmamba1923 getan hat.<\/p>\n

Man unterscheidet verschiedene Formen des Social Engineerings. Beim Pretexting etwa geben sich die T\u00e4ter oft als Autorit\u00e4tspersonen wie Polizeibeamte aus. Die Angreifer versuchen einen falschen Vorwand (\u00bbPretext\u00ab) zu nutzen, um das Gegen\u00fcber zu \u00fcberlisten. Die Rolle als Autorit\u00e4tsperson versetzt die T\u00e4ter in die vermeintlich \u00fcberlegene Position, auf die gew\u00fcnschten Informationen zuzugreifen. Es muss aber nicht immer eine Autorit\u00e4tsperson sein, es kann auch eine Rolle der helfenden Hand sein, die das Opfer vermeintlich unterst\u00fctzen will. Immer wird eine plausible Geschichte erfunden und eben eine Rolle gespielt.<\/p>\n

Beim Tailgating (\u00bbDurchschl\u00fcpfen\u00ab) wiederum kommt es zu physischen Angriffen auf Unternehmen \u2013 so auch im Fall von Blackmamba1923. Tailgators dringen unbemerkt, getarnt oder auch eingeladen in eine Firma ein und lesen dann mit speziellen Werkzeugen, etwa einem wie ein USB-Stick aussehenden Tool, Tastatureingaben an Rechnern aus. Die Sticks k\u00f6nnen aber noch mehr \u2013 zum Beispiel Tastatureingaben ausf\u00fchren.<\/p>\n

Eine weitere Form ist der Social-Engineering-Angriff mit einem K\u00f6der. Hier wird vor allem mit Verlockungen oder der Angst, etwas zu verpassen, gespielt. Auch hier geht es darum, ein bestimmtes Verhalten auszul\u00f6sen. Da werden etwa Mitarbeitenden kostenlose Geschenke angeboten, wenn sie Unternehmensdaten verraten.<\/p>\n

Beim sogenannten Spearphishing hingegen wird eine verfeinerte Form des Phishings genutzt. Hier ist der Angriff sehr sorgf\u00e4ltig auf ein bestimmtes Opfer zugeschnitten. Laut einer Studie der britischen Regierung zur Cybersicherheit43 ist bei der Mehrheit (83 Prozent) der Unternehmen, die einen Cyberangriff feststellen, Phishing bzw. Spearphishing das Einfallstor. Und so gehen die T\u00e4ter dabei vor:<\/p>\n

1. Zielauswahl: Die Angreifer w\u00e4hlen ein spezifisches Individuum oder eine Organisation als Ziel aus. Dies kann zum Beispiel auch ein Unternehmensleiter, eine Regierungsbeamtin in hoher Funktion oder eine andere Person mit Zugang zu sensiblen Informationen sein, etwa die Leiterin der IT-Abteilung eines Unternehmens.<\/p>\n

2. Informationssammlung: Vor dem Angriff sammeln die T\u00e4ter detaillierte Informationen \u00fcber ihre Zielperson. Sie durchforsten Profile in sozialen Netzwerken, Unternehmenswebsites oder andere Quellen.<\/p>\n

3. Nachrichtenerstellung: Basierend auf den gesammelten Informationen erstellen die T\u00e4ter eine speziell auf die Zielperson ausgerichtete E-Mail, Messenger-Nachricht oder einen Brief, manchmal machen sie auch einen Anruf. Hier geht es dann etwa um eine bevorstehende Konferenz, ein aktuelles Projekt oder ein anderes pers\u00f6nliches oder berufliches Interesse.<\/p>\n

4. Manipulation: Die Nachricht wird so gestaltet, dass sie von einer vertrauensw\u00fcrdigen Quelle zu stammen scheint, wie einem Kollegen, einer Vorgesetzten oder einem bekannten Unternehmen. Sie kann Links zu gef\u00e4lschten Websites enthalten oder Anh\u00e4nge mit Malware.<\/p>\n

5. Aktion: Die Zielperson wird aufgefordert, eine bestimmte Aktion auszuf\u00fchren, wie das Klicken auf einen Link, das \u00d6ffnen eines Anhangs oder das Weitergeben vertraulicher Informationen. Da die Nachricht pers\u00f6nlich und relevant erscheint, ist die Wahrscheinlichkeit h\u00f6her, dass das Opfer die Aufforderung befolgt.<\/p>\n<\/div>\n

 <\/p>\n

\"\"

(Foto: Ariston PR)<\/p><\/div>\n

\n

Cem Karakaya & Tina\u00a0Groll<\/span>, „Klicken Sie hier. Digitale Selbstverteidigung leichtgemacht“,\u00a0 Ariston Verlag, 256 Seiten, 20,– Euro<\/b><\/a><\/p>\n

 <\/p>\n

Spearphishing ist gef\u00e4hrlich, weil die Angriffe individuell und daher sehr schwer zu erkennen sind, selbst technisch versierte Individuen k\u00f6nnen get\u00e4uscht werden.<\/p>\n

Ein bekanntes Beispiel war der Angriff auf die E-Mails des Democratic National Committee im Jahr 2016 w\u00e4hrend des US-Wahlkampfs. 44, 45 Die Angreifer waren wohl russische Hacker. Sie verwendeten Spear-Phishing-Mails, die so aussahen, als stammten sie von Google, und forderten die Empf\u00e4ngerinnen und Empf\u00e4nger auf, ihre Passw\u00f6rter zu \u00e4ndern. Die Links f\u00fchrten zu gef\u00e4lschten Websites. Die eingegebenen Passw\u00f6rter wurden von den Angreifern erfasst.<\/p>\n

Ebenfalls 2016 wurde der \u00f6sterreichische Flugzeughersteller FACC Ziel einer solchen Attacke und verlor dadurch rund 50 Millionen Euro.46, 47 Das E-Mail-Konto des Gesch\u00e4ftsf\u00fchrers wurde von den T\u00e4tern gef\u00e4lscht. Ein Angestellter des Unternehmens erhielt dann eine vermeintlich vom Chef stammende dringende E-Mail- Anfrage f\u00fcr eine Geld\u00fcberweisung. Der Besch\u00e4ftigte kam der Aufforderung nach \u2013 das Geld wurde an die T\u00e4ter transferiert.<\/p>\n

2020 nutzten Cyberkriminelle Phishing-Angriffe bei mindestens 50 000 Zoom-Nutzerinnen und -Nutzern, die die Videostreaming- Plattform \u00fcber einen Firmenaccount ihres Arbeitgebers verwendeten. Gespielt wurde hier mit der Angst vor einer m\u00f6glichen K\u00fcndigung. Die Betroffenen bekamen einen Link zu einem Zoom-Call mit der Personalabteilung. Wer ihn anklickte, landete auf einer gef\u00e4lschten Anmeldeseite48, mit der die T\u00e4ter die Passw\u00f6rter stahlen.<\/p>\n

Opfer wurde auch das Marriott-Hotel in Maryland (USA) im Jahr 2022. Hier wurden Social-Engineering-Taktiken genutzt, um 20 GB pers\u00f6nlicher und finanzieller Daten zu stehlen.49 Ebenfalls 2022 wurde das US-Arbeitsministerium (Department of Labor, DoL) Opfer eines sozial manipulierten Angriffs50, bei dem Anmeldedaten f\u00fcr Microsoft Office 365 gestohlen wurden. F\u00fcr den Angriff nutzten die T\u00e4ter ein ausgekl\u00fcgeltes Phishing, das auf geschickt gef\u00e4lschten Domains basierte, die wie die legitime DoL-Domain aussahen.<\/p>\n<\/div>\n

Sogar Sicherheitsanbieter wurden bereits zum Opfer: etwa die Firma Crowdstrike im Jahr 202251. Betr\u00fcger nutzten die vertrauensw\u00fcrdige Marke des Unternehmens, um Phishing-Mails an Mitarbeitende zu senden. Die E-Mail enthielt Details zu einer m\u00f6glichen Malware-Infektion und eine Telefonnummer, die angerufen werden sollte, um die installierte Schadware zu entfernen. Die Mitarbeiter sollten den Angreifern dann Zugang zu ihren Computern gew\u00e4hren.<\/p>\n

\n

All diese Beispiele zeigen: Cyberangriffe k\u00f6nnen jedes Unternehmen treffen. Und tats\u00e4chlich passiert das auch, t\u00e4glich. Arbeitgeber sollten ihre Mitarbeitenden daher regelm\u00e4\u00dfig schulen und Daten sichern. Wichtig ist ein Notfallplan, der genau vorsieht, was im Falle eines Cyberangriffs zu tun ist. Der Plan hat im Idealfall auch L\u00f6sungen f\u00fcr die Kommunikation nach au\u00dfen, damit keine Reputationssch\u00e4den entstehen. Mit einer sogenannten Endpoint Security \u2013 das ist ein mehrschichtiger Schutz f\u00fcr Unternehmen, insbesondere bei verd\u00e4chtigen Aktivit\u00e4ten im IT-Netzwerk \u2013 bleibt man laufend informiert und kann sofort reagieren, wenn es zu einer Gefahrenlage kommt. In der Regel testen die T\u00e4ter zun\u00e4chst die Schwachstellen, ehe der echte Angriff erfolgt.<\/p>\n

Anti-Ransomware-Funktionen sch\u00fctzen zudem Dateien vor Verschl\u00fcsselung, stellen Dateien automatisch wieder her und stoppen Angriffe mittels Verhaltensanalysen. Die meisten Systeme arbeiten heute mit k\u00fcnstlicher Intelligenz, die bekannte und unbekannte Malware ganz ohne Signaturen erkennt. Sie blockiert auch sogenannte Exploits und Techniken, die zur Verbreitung von Malware, zum Diebstahl von Zugangsdaten und zur Verschleierung von Angriffen eingesetzt werden. Und das Sch\u00f6nste daran ist, dass die IT-Abteilung die komplette Kontrolle \u00fcber eine zentrale Konsole hat.<\/p>\n

Gef\u00e4hrlich ist aber auch das E-Mail-Postfach. Vor allem dann, wenn die T\u00e4ter das Passwort haben. Oft m\u00fcssen sie dazu nichts hacken, man kann die Daten f\u00fcr wenig Geld im Darknet kaufen. Auf den gr\u00f6\u00dferen Plattformen gibt es aktuell knapp 15 Milliarden E-Mail-Adressen samt Passw\u00f6rtern. Damit lassen sich dann automatisiert Erpressungsnachrichten verschicken. Ein Programm wechselt jeweils die E-Mail-Adresse und das Passwort der Opfer aus.<\/p>\n

Sie sollten sich daher E-Mails in der Textversion darstellen lassen, nicht als HTML; au\u00dferdem keine externen Inhalte automatisch herunterladen und PDFs mit einem alternativen Programm wie dem PDF-Viewer anzeigen. Checken Sie bei verd\u00e4chtigen E-Mails, ob die Absender-Domain zum Webauftritt passt und die Bankdaten zum Unternehmen. Und nutzen Sie die Dienste von VirusTotal52, Browserling53 oder urlscan.io54, um Links zu \u00fcberpr\u00fcfen.<\/p>\n

(Fu\u00dfnoten im Buch)<\/p>\n<\/div>\n

 <\/p>\n

\"\"<\/a><\/p>\n

\n
\n
\n
\n
\n

 <\/p>\n

 <\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Copyright: @Claudia T\u00f6dtmann. Alle Rechte vorbehalten.\u00a0<\/strong><\/p>\n

M\u00f6chten Sie einen Blog-Beitrag nutzen, um nicht von Links abh\u00e4ngig zu sein? Kontakt f\u00fcr Nutzungsrechte, um Inhalte dauerhaft zu sichern: claudia.toedtmann@wiwo.de<\/strong><\/p>\n

Alle inhaltlichen Rechte des Management-Blogs von Claudia T\u00f6dtmann liegen bei der Blog-Inhaberin. Jegliche Nutzung der Inhalte bed\u00fcrfen der ausdr\u00fccklichen Genehmigung.<\/strong><\/p>\n<\/div>\n

Um den Lesefluss nicht zu behindern, wird in Management-Blog-Texten nur die m\u00e4nnliche Form genannt, aber immer sind die weibliche und andere Formen gleicherma\u00dfen mit gemeint.\u00a0\u00a0<\/strong><\/p>\n<\/article>\n<\/div>\n<\/div>\n<\/div>\n

\n

\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Buchauszug: Cem Karakaya & Tina Groll, „Klicken Sie hier. Digitale Selbstverteidigung leichtgemacht“\u00a0       „Lassen Sie Ihre Identit\u00e4t nie unbeaufsichtigt: Neue Ph\u00e4nomene von Internetkriminalit\u00e4t“ Die g\u00e4ngigsten Methoden der T\u00e4ter in der \u00dcbersicht –\u00a0Angriffe auf Unternehmen durch Social Engineering   … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":19,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[2851,1890,7645,4969],"class_list":["post-685062","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-ariston-verlag","tag-buchauszug","tag-cem-karakaya","tag-tina-groll"],"_links":{"self":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/685062","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/comments?post=685062"}],"version-history":[{"count":10,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/685062\/revisions"}],"predecessor-version":[{"id":685077,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/685062\/revisions\/685077"}],"wp:attachment":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/media?parent=685062"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/categories?post=685062"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/tags?post=685062"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}