Bitkom Research hat im Auftrag des Digitalverbands Bitkom 1.003 Unternehmen ab 10 Beschäftigten und einem Jahresumsatz von mindestens 1 Mio. Euro in Deutschland telefonisch befragt. Demnach sind 8 von 10 Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen. Die Befragung fand im Zeitraum von KW 16 bis KW 24 2024 statt. Link zu den Ergebnissen.
Eines der Hauptrisiken sind die Mitarbeitenden, die bspw. unwissentlich auf einen gefährlichen Link klicken. Daher hat die auf Einkauf und Lieferketten spezialisierte Kloepfel Group eine Checkliste für Einkäufer und Supply Chain Manager zum Schutz vor Social Engineering entwickelt.
ABC der Social-Engineering-Techniken und wie man sie erkennt
Baiting
Der Angreifer lockt das Opfer mit einem verlockenden Angebot, oft in Form eines kostenlosen Downloads oder eines USB-Sticks, der mit Schadsoftware infiziert ist. Beispiel: Ein gefährlicher USB-Stick wird auf einem Parkplatz platziert, in der Hoffnung, dass jemand ihn findet und neugierig in seinen PC steckt. Vorsicht daher vor unbekannten USB-Sticks oder ungewöhnlich attraktiven Angeboten ohne klare Quelle.
Impersonation
Der Angreifer gibt sich als jemand anderes aus, oft als eine vertrauenswürdige Person wie ein Kollege oder ein Vorgesetzter, um Zugang zu Informationen oder sicheren Bereichen zu erhalten. Beispiel: Ein Fremder gibt sich als neuer Mitarbeiter aus und bittet um Zugang zum Gebäude.
Phishing
Phishing ist der Versuch, durch gefälschte E-Mails oder Websites persönliche Daten wie Passwörter zu stehlen. Beispiel: Eine E-Mail, die aussieht, als käme sie von einer Bank, fordert den Empfänger auf, seine Kontodaten einzugeben. Phishing-E-Mails kann man an unüblichen Absenderadressen, Rechtschreibfehlern oder unerwarteten Anfragen nach persönlichen Informationen erkennen.
Pretexting
Beim Pretexting täuscht der Angreifer eine falsche Identität vor, um an vertrauliche Informationen zu gelangen. Beispiel: Jemand ruft an und gibt sich als IT-Mitarbeiter aus, um Ihr Passwort zu erfragen. Pretexting lässt sich daran erkennen, dass der Anrufer ungewöhnliche Fragen stellt oder Informationen verlangt, die normalerweise nicht telefonisch abgefragt werden.
Quid Pro Quo
Bei dieser Methode bietet der Angreifer eine Gegenleistung für Informationen oder Zugangsrechte an. Beispiel: Ein Anrufer bietet „kostenlosen technischen Support“ an, um Sie dazu zu bringen, Zugangsdaten preiszugeben. Quid Pro Quo-Angriffe lassen sich erkennen, wenn jemand im Austausch für eine angebliche Dienstleistung persönliche oder sicherheitsrelevante Informationen verlangt.
Spear Phishing
Eine gezielte Form des Phishings, bei der der Angreifer speziell auf eine Person abzielt und eine personalisierte Nachricht verwendet, um das Vertrauen des Opfers zu gewinnen. Beispiel: Eine E-Mail, die so aussieht, als käme sie vom Chef, fordert den Mitarbeiter auf, auf einen Anhang bzw. auf einen Link zu klicken oder vertrauliche Informationen weiterzugeben.
Tailgating
Tailgating ist, wenn jemand ohne eigene Zugangskarte oder Berechtigung in einen gesicherten Bereich gelangen möchte.
Vishing
Vishing (Voice Phishing) ist eine Technik, bei der Betrüger telefonisch versuchen, sensible Informationen wie Passwörter oder Bankdaten zu bekommen. Beispiel: Ein Betrüger gibt sich als Mitarbeiter einer Bank aus und fragt nach Ihren Kontoinformationen. Sogenannte Enkeltrickbetrüger, die mit Schockanrufen versuchen, an Geld zu kommen, zählen auch dazu. Bei unerwarteten Anrufen, bei denen der Anrufer nach vertraulichen Informationen fragt bzw. starken Druck ausübt, sollte man besser auflegen.
Watering Hole
Bei dieser Technik kompromittiert der Angreifer eine häufig besuchte Website, um Malware zu verbreiten oder Daten abzugreifen. Beispiel: Eine oft besuchte Branchenwebsite wird infiziert, sodass deren Besucher unwissentlich Schadsoftware herunterladen. Watering Hole-Angriffe können durch Virus-Warnungen oder durch ungewöhnliches Verhalten von vertrauten Webseiten erkannt werden.
Gegenmaßnahmen gegen Social Engineering
Zum Schutz vor Social-Engineering-Angriffen braucht es klare Regeln für die interne und externe Kommunikation, damit verdächtige Anfragen immer überprüft werden.
Der Zugang zu sensiblen Informationen sollte nur durch starke Sicherheitsmaßnahmen wie Mehrfach-Authentifizierungen und sichere Passwörter gewährt werden.
Ein gutes Überwachungssystem hilft, verdächtige Aktivitäten schnell zu erkennen und zu melden.
Regelmäßige Sicherheitsüberprüfungen und Schulungen für alle Beteiligten, einschließlich Lieferanten, sorgen dafür, dass alle auf die Gefahren aufmerksam sind und gemeinsam daran arbeiten, Angriffe zu verhindern.
Die Unternehmen sollten IT-Sicherheitsberater bzw. IT-Sicherheitsbeauftragte einsetzen, um diese Schutzmaßnahmen effektiv umzusetzen.
Marc Kloepfel, CEO der Kloepfel Group, rät: „Bei einer hohen Lieferantenvielfalt, wie sie in der Lieferkette mit zahlreichen relevanten Lieferanten häufig vorkommt, steigt das Risiko für Cyberangriffe erheblich. Daher ist es essenziell, dass der Einkauf umfassend gegen Cyberbedrohungen abgesichert ist. Dies beinhaltet die Implementierung strenger Sicherheitsprotokolle und die regelmäßige Überprüfung der IT-Sicherheit bei allen Lieferanten, um die Integrität der gesamten Lieferkette zu gewährleisten und das Risiko von Cyberangriffen zu minimieren.“
Kontakt:
Kloepfel Group
Damir Berberovic
Tel.: 0211 941 984 33 | Mail: rendite@kloepfel-consulting.com