Social Engineering – Wenn Hacker Ihre Daten klauen und verwenden

Kriminelle haben eine Datenbank mit über 300.000 Spotify-Zugangsdaten ungeschützt im Internet betrieben. Es wird vermutet, dass die Zugangsdaten mit Credential-Stuffing-Angriffen ermittelt wurden. Aber wie funktionieren solche Angriffe und welche Gefahr geht genau für Unternehmen vom Social Engineering aus? Und wie können Sie sich schützen? Das verraten wir Ihnen in unserem Blog.

Was Social Engineering ist

Der Begriff „Social Engineering“ bezeichnet eine Vorgehensweise, bei der die Schwachstelle Mensch ausgenutzt wird. Oft werden dabei Mitarbeiter eines Unternehmens mit einem Trick überredet, die normalen Sicherheitsvorkehrungen zu umgehen und sensible Informationen preiszugeben. Bei vielen, wenn nicht sogar bei den meisten Angriffen, wird eine Form des Social Engineerings eingesetzt. Autoren von Computer-Viren nutzen z.B. oft Techniken des Social Engineering, um den Empfänger einer E-Mail zum Herunterladen eines mit Viren versehenen Anhangs zu bringen. Und bei Phishing-Mails sollen Menschen mithilfe von Social Engineering zur Freigabe vertraulicher Informationen gebracht werden.

Bei einer anderen Variante des Social Engineering vertraut der Betrüger auf die Unkenntnis oder das Unvermögen der Menschen, mit der sich rasant entwickelnden Technologie Schritt zu halten. So ist es Ihren Mitarbeiten vielleicht gar nicht bewusst, wie wertvoll die Informationen in ihrem Besitz sind. Dann gehen diese entsprechend nachlässig damit um. Häufig durchsucht ein Social Engineer auch einfach den Müll-Container seines Ziels nach Informationen oder merkt sich die Zugangsdaten eines Mitarbeiters, indem er ihm über die Schulter sieht, während sich dieser am System anmeldet. Ebenfalls von Vorteil für einen Social Engineer ist die Angewohnheit vieler Menschen, Passwörter zu wählen, die für sie bedeutungsvoll und damit oft auch leicht zu erraten sind. Und dann werden diese Passwörter auch noch direkt für mehrere Logins zu verschiedenen Diensten genutzt – Risiko, das jetzt auch viele Spotify-Kunden treffen könnte.

Welche Gefahr von Social Engineering ausgeht

Im Falle der geklauten Spotify Zugangsdaten könnten die Daten für Social Engineering verwendet werden. Betroffenen könnten beispielsweise gefälschte Rechnungen von Spotify gesendet werden oder sie könnten dazu gebracht werden, Schadsoftware zu installieren. Die ungeschützte Datenbank könnte zudem von Dritten missbraucht werden. Die Zugangsdaten könnten dann bei anderen Diensten ausprobiert werden. Das wird vor allem zum Problem, wenn Mitarbeiter von Unternehmen das gleiche Passwort bei ihrem Spotify Konto verwendet haben, wie auch bei Diensten und Tools, die sie geschäftlich nutzen.

Wie Sie sich schützen können

Vielen Tricks eines Social Engineers können Sie durch relativ einfache Maßnahmen entgehen. Studien zum Beispiel von Bitkom und dem Wirtschaftsschutz zeigen, dass der Mensch bei der Entdeckung von Sicherheitsvorfällen eine immer wichtigere Rolle spielt. Sensibilisieren Sie Ihre Mitarbeiter darum regelmäßig durch Awareness Schulungen für die Risiken und vertrauen Sie nicht allein auf Technologien, welche Schutz versprechen.

Das Vorgehen beim sowie drei Top-Tipps zum Schutz vor Datendiebstahl verrät Ihnen außerdem Donald Ortmann in unserem Webcast „BREDEX to Go – So bringen Sie Ihren digitalen Wandel auf den Weg“ in der aktuellen Folge „Wie ein Berater für Informationssicherheit sich selbst vor Datenklau schützt“, den Sie jetzt auf unserem YouTube-Kanal finden. Hören Sie außerdem, warum Daten das Gold des 21. Jahrhunderts sind, wer eigentlich alles Ihr Datengold haben möchte und warum man trotz Datenkraken und Social Engineering nicht paranoid werden sollte.

 

Sie haben weitere Fragen rund um die Themen Informationssicherheit und Social Engineering, sprechen Sie uns gerne an. Unser Team für Datenschutz und Informationssicherheit ist per E-Mail und Telefon unter 0531 24330-0 für Sie erreichbar. Sie haben bereits bedenken, dass Ihre Daten gestohlen und auffindbar sind? Mit unserem Darknet Check überprüfen wir das für Sie.

Kontakt-Icon