#3/17 Fakten + Hintergründe

„Sehr geehrte Frau Mustermann, ich hoffe, Sie haben einen schönen Tag. Ich brauche Sie in dringender Angelegenheit. Ein ausländischer Geschäfts­partner erwartet eine Überweisung von uns. Details finden Sie im Anhang. Ich wäre Ihnen dankbar für eine schnelle Antwort per Mail.“

Edith Strauß (1UK02): „Social Engineering richtet sich nicht gegen die Maschine, sondern gegen den Menschen“

Frau Mustermann fragt nach Kontoverbindung und Höhe der Summe und tätigt die Überweisung – wie Hunderte Male zuvor. Zwar meldet sich der Vorstandsvorsitzende normalerweise nicht selbst bei ihr, aber deshalb wird sie nicht misstrauisch. Auch die Mail-Adresse des Vorsitzenden hat sie nicht überprüft.


Falls Frau Mustermann kritisch nachfragt, wird meist massiv Druck aufgebaut: „Wenn Sie nicht gleich überweisen und das Geschäft Ihretwegen platzt, können Sie sich nach einer neuen Stelle umsehen.“

Augen auf!

Das ist häufig die beste Methode, um Betrüger zu erkennen. Zwar können Absender-Adressen auch gefälscht werden, doch in der Regel benutzen die Betrüger Mail-Adressen, die minimal von der tatsächlichen abweichen. Weil viele Menschen in sozialen Netzwerken leichtfertig preisgeben, wo, mit wem und woran sie arbeiten, sehen Fremde schnell, welche Identität sie sich überstreifen müssen, um auf potenzielle Opfer Eindruck zu machen. Zusätzlich rufen Angreifer gelegentlich unter gefälschten Telefonnummern an. Im Display ist die Fälschung nicht zu erkennen. Ziel ist es, dem Opfer vorzugaukeln, alles sei wie immer. Eine Überweisung von Hunderten.


Da hilft nur die aktive Nachfrage unter der internen Rufnummer oder E-Mail-Adresse. „Lassen Sie sich keinesfalls unter Druck setzen und klären Sie es im Zweifelsfall erst mit Ihrem Vorgesetzten“, sagt Edith Strauß (1UK02), die täglich etliche Mails von sehr unterschiedlichen Anbietern bekommt. „Selbst wenn das Anliegen seine Richtigkeit hat, schadet es nicht, im Haus nachzufragen.“

Das Ziel ist der Mensch

Obwohl der Konzern Versicherungskammer gute technische Sicherheits­systeme nutzt, bleibt die Gefahr durch Social Engineering hoch, eben weil die Angreifer es nicht auf die Maschine abgesehen haben. Das Ziel ist der Mensch, und der macht gelegentlich Fehler. Wenn ein Mitarbeiter auf solche Mails oder Anrufe hereinfällt, hilft auch die beste Firewall nichts.


Heutzutage haben mehr als 90 Prozent aller Cyberangriffe eine Social-Engineering-Komponente. „Wir können nicht gänzlich ausschließen, dass Mitarbeiter bedenkliche Anhänge öffnen oder Überweisungen auf ‚Zuruf‘ tätigen“, erklärt Strauß. „Aber wir können sie schulen und sensibilisieren, sodass die Wahrscheinlichkeit, auf einen Betrüger hereinzufallen, erheblich reduziert wird.“


Matthias Hohn