{"id":15155,"date":"2025-11-15T03:41:35","date_gmt":"2025-11-15T03:41:35","guid":{"rendered":"https:\/\/newestek.com\/?p=15155"},"modified":"2025-11-15T03:41:35","modified_gmt":"2025-11-15T03:41:35","slug":"was-ist-social-engineering","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=15155","title":{"rendered":"Was ist Social Engineering?"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large\"><figcaption class=\"wp-element-caption\">Mit Social-Engineering-Techniken manipulieren Cyberkriminelle die menschliche Psyche. Lesen Sie, wie das funktioniert und wie Sie sich sch\u00fctzen k\u00f6nnen.<\/figcaption><\/figure>\n<p class=\"imageCredit\">sp3n | shutterstock.com<\/p>\n<\/div>\n<p>Selbst wenn Sie bei der Absicherung Ihres Rechenzentrums, Ihrer Cloud-Implementierungen und der physischen Sicherheit Ihres Firmengeb\u00e4udes alle Register ziehen \u2013 mit Hilfe von Social Engineering finden gewiefte Cyberkriminelle meistens einen Weg, diese Ma\u00dfnahmen zu umgehen.<\/p>\n<h1 class=\"wp-block-heading\" id=\"social-engineering-definition\">Social Engineering \u2013 Definition<\/h1>\n<p><a href=\"https:\/\/de.wikipedia.org\/wiki\/Social_Engineering_(Sicherheit)\" title=\"Social Engineering\" target=\"_blank\" rel=\"noopener\">Social Engineering<\/a> bezeichnet die \u201cKunst\u201d, menschliche Schw\u00e4chen auszunutzen, um sich Zugang zu Geb\u00e4uden, Systemen oder Daten zu verschaffen. Anstatt zu versuchen, eine Software-Schwachstelle zu finden und auszunutzen, wird ein Social Engineer beispielsweise einen Mitarbeiter anrufen und sich als IT-Support-Angestellter ausgeben, um ihn zur Herausgabe seines Passworts zu bewegen.<\/p>\n<p>Der bekannte Hacker Kevin Mitnick hat den Begriff Social Engineering in den 1990er Jahren entscheidend mitgepr\u00e4gt. Die Grundidee, sich menschliches Verhalten zunutze zu machen und die Techniken dahinter, gibt es allerdings schon so lange, wie es Betr\u00fcger gibt.<\/p>\n<h1 class=\"wp-block-heading\" id=\"social-engineering-techniken\">Social Engineering \u2013 Techniken<\/h1>\n<p><a href=\"https:\/\/www.computerwoche.de\/article\/2780856\/social-engineering-angriffe-erkennen-und-verhindern.html\" title=\"Social Engineering\" target=\"_blank\">Social Engineering<\/a> hat sich f\u00fcr Cyberkriminelle als besonders erfolgreich erwiesen, wenn es darum geht in Unternehmen einzudringen. Sobald ein Angreifer das Passwort eines vertrauensw\u00fcrdigen Mitarbeiters erbeutet hat, kann er sich damit einloggen und sensible Daten auslesen. Mit einer Zugangskarte oder einem Code, der physischen Zugang gew\u00e4hrt, k\u00f6nnen Cyberkriminelle sogar noch gr\u00f6\u00dferen Schaden anrichten.<\/p>\n<p>Im Artikel \u201c<a href=\"https:\/\/www.csoonline.com\/article\/2123704\/social-engineering--anatomy-of-a-hack.html?nsdr=true\" title=\"Social Engineering: Anatomy of a Hack\" target=\"_blank\">Social Engineering: Anatomy of a Hack<\/a>\u201d beschreibt ein Penetrationtester, wie er aktuelle Ereignisse, \u00f6ffentlich verf\u00fcgbare Informationen aus sozialen Netzwerken und ein Hemd mit Cisco-Logo aus einem Second-Hand-Laden dazu nutzte, illegal in ein Unternehmen einzudringen. Das vier Dollar teure Gebrauchthemd half ihm, die Rezeptionisten und andere Mitarbeiter davon zu \u00fcberzeugen, dass er im Auftrag von Cisco technischen Support leisten m\u00fcsste. Einmal eingedrungen, war es f\u00fcr ihn ein Leichtes, auch anderen Teammitgliedern Zutritt zu verschaffen. Dar\u00fcber hinaus gelang es dem <a href=\"https:\/\/www.computerwoche.de\/article\/2770285\/was-ist-pentesting.html\" title=\"Ethical Hacker\" target=\"_blank\">Ethical Hacker<\/a>, mehrere mit Malware verseuchte USB-Sticks in den R\u00e4umen zu platzieren und sich in das Unternehmensnetzwerk zu hacken. All das lief vor den Augen der Mitarbeiter ab.<\/p>\n<p>Um einen erfolgreichen Social-Engineering-Angriff zu fahren, m\u00fcssen Sie nicht unbedingt zuerst in einen Second-Hand-Laden gehen, diese Angriffe funktionieren ebenso gut per E-Mail, Telefon oder \u00fcber soziale Netzwerke. Allen Angriffsarten ist dabei gemein, dass sie menschliche Eigenschaften zu ihrem Vorteil nutzen \u2013 beispielsweise Gier, Angst, Neugier oder auch das Bed\u00fcrfnis, anderen zu helfen.<\/p>\n<p>Cyberkriminelle nehmen sich dabei oft Wochen oder Monate Zeit, um ein Ziel auszukundschaften, bevor Sie einen pers\u00f6nlichen Besuch wagen, eine Nachricht senden oder einen Anruf t\u00e4tigen. Zu den Vorbereitungen kann beispielsweise geh\u00f6ren, eine Telefonliste oder ein Organigramm des Zielunternehmens zu finden oder die Mitarbeiter \u00fcber <a href=\"https:\/\/www.computerwoche.de\/article\/2752864\/wenn-der-hacker-ueber-linkedin-kommt.html\" title=\"soziale Netzwerke\" target=\"_blank\">soziale Netzwerke<\/a> zu recherchieren. Anschlie\u00dfend k\u00f6nnen Sie beispielsweise \u00fcber folgende Wege aktiv werden.<\/p>\n<ul class=\"wp-block-list\">\n<li>\n<p><strong>Am Telefon:<\/strong> Ein Social Engineer k\u00f6nnte anrufen und vorgeben, ein Mitarbeiter oder eine vertrauensw\u00fcrdige externe Autorit\u00e4t zu sein (zum Beispiel ein Strafverfolgungsbeamter oder ein Wirtschaftspr\u00fcfer).<\/p>\n<\/li>\n<li>\n<p><strong>Im B\u00fcro:<\/strong>\u201cK\u00f6nnen Sie mir die T\u00fcr aufhalten? Ich habe meinen Schl\u00fcssel\/ meine Zugangskarte vergessen.\u201d Diesen Satz haben Sie sicher auch schon einmal so vernommen. Auch wenn die fragende Person nicht verd\u00e4chtig erscheinen mag \u2013 das ist eine beliebte Taktik beim Social Engineering.<\/p>\n<\/li>\n<li>\n<p><strong>Online:<\/strong> Soziale Netzwerke erleichtern es, Social-Engineering-Angriffe zu fahren. \u00dcber Plattformen wie LinkedIn lassen sich schnell und einfach die meisten Mitarbeiter eines Unternehmens finden. Oft kommen noch viele andere Informationen dazu, die unter Umst\u00e4nden f\u00fcr weitere Angriffe n\u00fctzlich sein k\u00f6nnen.<\/p>\n<\/li>\n<\/ul>\n<p>Beim Social Engineering werden regelm\u00e4\u00dfig auch aktuelle Ereignisse, Feiertage oder auch Popkultur-Ph\u00e4nomene dazu eingesetzt, Opfer in die Falle zu locken. Dabei passen die Cyberkriminellen ihre Phishing-Angriffe so an, dass sie auf bestimmte Interessen (Musik, Sport, Politik, etc.) abzielen. Das erh\u00f6ht die Chance, dass die mit <a href=\"https:\/\/www.computerwoche.de\/article\/2800283\/das-kleine-abc-der-schadsoftware.html\" title=\"Malware\" target=\"_blank\">Malware<\/a> verseuchten Anh\u00e4nge angeklickt werden.<\/p>\n<h1 class=\"wp-block-heading\" id=\"social-engineering-angriffsformen\">Social Engineering \u2013 Angriffsformen<\/h1>\n<ul class=\"wp-block-list\">\n<li>\n<p><strong>Phishing-Angriffe<\/strong> (zu denen auch SMS-basierte <a title=\"Smishing\" href=\"https:\/\/www.computerwoche.de\/article\/2796003\/wie-phishing-per-sms-funktioniert.html\" target=\"_blank\">Smishing<\/a>\u2013 und Voice-basierte <a title=\"Vishing-Attacken\" href=\"https:\/\/www.computerwoche.de\/article\/2796419\/wie-phishing-per-telefon-funktioniert.html\" target=\"_blank\">Vishing-Attacken<\/a> z\u00e4hlen) sind oft mit geringem Aufwand verbunden. Das Motto: \u201cDie Masse macht\u2019s\u201d. Im Rahmen von Phishing-Kampagnen werden oft Tausende identischer E-Mails verschickt. Anschlie\u00dfend m\u00fcssen die Angreifer nur noch darauf warten, dass jemand leichtgl\u00e4ubig genug ist, um auf den enthaltenen Anhang zu klicken.<\/p>\n<\/li>\n<li>\n<p><strong>Spear Phishing<\/strong> oder auch Whaling bezeichnet Phishing-Angriffe, die ganz bewusst <a title=\"hochrangige Ziele ins Visier nehmen\" href=\"https:\/\/www.csoonline.com\/article\/3491895\/e-mail-sicherheit-die-psychotricks-der-spear-phishing-betruger.html\" target=\"_blank\">hochrangige Ziele ins Visier nehmen<\/a>. Spear-Phishing-Angreifer verbringen im Regelfall viel Zeit damit, solche Ziele zun\u00e4chst auszukundschaften. Das Ziel besteht dabei darin, einen m\u00f6glichst \u00fcberzeugenden, personalisierten Scam auf die Beine zu stellen.<\/p>\n<\/li>\n<li>\n<p><strong>Baiting<\/strong> ist ein essenzieller Bestandteil aller Phishing-Formen \u2013 und anderen Betr\u00fcgereien. Es bezeichnet die Verlockung, mit der die Ziele in Versuchung gef\u00fchrt werden \u2013 sei es eine SMS, die kostenlose Geschenkkarten verspricht oder eine E-Mail, die Kryptow\u00e4hrungen zu besonders attraktiven Preisen oder gar kostenlos in Aussicht stellt.<\/p>\n<\/li>\n<li>\n<p>Beim <strong>Pretexting<\/strong> handelt es sich um eine <a title='betr\u00fcgerische Form von \"Storytelling\"' href=\"https:\/\/www.computerwoche.de\/article\/2803547\/was-ist-pretexting.html\" target=\"_blank\">betr\u00fcgerische Form von \u201cStorytelling\u201d<\/a>. Die dabei erfundene Geschichte soll das Opfer zum Beispiel dazu bewegen, pers\u00f6nliche Informationen oder Zugangsdaten preiszugeben. Wei\u00df ein Angreifer beispielsweise, bei welcher Bank sein Opfer Kunde ist, k\u00f6nnte er sich als Mitarbeiter des Kundendiensts ausgeben und unter einem Vorwand wie \u201cZahlungsverzug\u201d versuchen, Finanzinformationen zu erhalten.<\/p>\n<\/li>\n<li>\n<p><strong>Business Email Compromise<\/strong> (BEC), auch bekannt als <a title=\"CEO-Fraud\" href=\"https:\/\/www.computerwoche.de\/article\/2765169\/wenn-hacker-chef-spielen.html\" target=\"_blank\">CEO-Fraud<\/a>, kombiniert mehrere der bislang genannten Techniken. Ein Angreifer erlangt entweder die Kontrolle \u00fcber die E-Mail-Adresse eines Opfers oder schafft es, E-Mails zu versenden, die so aussehen, als k\u00e4men sie von dieser legitimen Adresse. Damit kontaktieren die Angreifer die Untergebenen des Angegriffenen in seinem Namen und ordnen beispielsweise dringliche \u00dcberweisungen an.<\/p>\n<\/li>\n<li>\n<p><strong>Tailgating<\/strong> ist eine physische Social-Engineering-Form, bei der Angreifer den Mitarbeitern eines Unternehmens <a title=\"ins Firmengeb\u00e4ude folgen\" href=\"https:\/\/www.csoonline.com\/article\/3493920\/10-essenzielle-masnahmen-fur-physische-sicherheit.html\" target=\"_blank\">ins Firmengeb\u00e4ude folgen<\/a>. Dazu k\u00f6nnten diese sich beispielsweise als Lieferant oder neuer Mitarbeiter, der den Ausweis vergessen hat, ausgeben.<\/p>\n<\/li>\n<\/ul>\n<h1 class=\"wp-block-heading\" id=\"social-engineering-beispiele\">Social Engineering \u2013 Beispiele<\/h1>\n<p>Um ein Gef\u00fchl daf\u00fcr zu bekommen, auf welche Social-Engineering-Taktiken Sie besonders achten sollten, empfiehlt sich ein Blick auf erfolgreiche Angriffe der Vergangenheit. Hierbei konzentrieren wir uns auf drei spezifische Social-Engineering-Angriffe, die f\u00fcr Cyberkriminelle besonders eintr\u00e4glich ausgefallen sind:<\/p>\n<p><strong>1. Etwas Verlockendes anbieten<\/strong><\/p>\n<p>Jeder Trickbetr\u00fcger wei\u00df: Am einfachsten ist es, aus der menschlichen Gier Profit zu schlagen. Das bildet die Grundlage des klassischen <a href=\"https:\/\/www.computerwoche.de\/article\/2600682\/insider-chat-mit-einem-online-betrueger.html\" title=\"nigerianischen 419-Scams\" target=\"_blank\">nigerianischen 419-Scams<\/a>: Hierbei gaukeln Betr\u00fcger ihren Opfern vor, sie m\u00fcssten hohe, unrechtm\u00e4\u00dfig erworbene Geldsummen aus dem eigenen Land zu einer sicheren Bank im Ausland transferieren. Dazu br\u00e4uchten sie Unterst\u00fctzung: Gegen die Zahlung vermeintlicher Provisions-, Verwaltungs- oder Versicherungsgeb\u00fchren k\u00f6nnten die Opfer einen Gutteil des oft millionenschweren Geldbetrags abbekommen, so dass betr\u00fcgerische Versprechen. <\/p>\n<p>Angriffe dieser Art sind seit Jahrzehnten bekannt und eigentlich eine Lachnummer, aber nichtsdestotrotz immer noch eine effektive Social-Engineering-Technik, auf die Menschen hereinfallen: Im Jahr 2007 \u00fcberwies der Schatzmeister eines d\u00fcnn besiedelten Bezirks im US-Bundesstaat Michigan einem solchen Betr\u00fcger <a href=\"https:\/\/www.cfo.com\/risk-compliance\/2007\/06\/treasurer-steals-to-pay-for-e-mail-scam\/\" title=\"1,2 Millionen Dollar an \u00f6ffentlichen Geldern\" target=\"_blank\" rel=\"noopener\">1,2 Millionen Dollar an \u00f6ffentlichen Geldern<\/a> \u2013 in der Hoffnung abkassieren zu k\u00f6nnen. <\/p>\n<p>Ein weiterer g\u00e4ngiger K\u00f6der ist die Aussicht auf einen neuen, besseren Job: Im Rahmen einer \u00e4u\u00dferst peinlichen Kompromittierung traf es im Jahr 2011 das Sicherheitsunternehmen RSA auf diese Weise. Mindestens zwei Mitarbeiter \u00f6ffneten eine Malware-verseuchte Datei, die <a href=\"https:\/\/www.networkworld.com\/article\/697270\/malware-cybercrime-was-this-the-email-that-took-down-rsa.html\" title=\"an eine Phishing-E-Mail angeh\u00e4ngt war\" target=\"_blank\">an eine Phishing-E-Mail angeh\u00e4ngt war<\/a>. Der Dateiname: \u201c2011 recruitment plan.xls\u201d.<\/p>\n<p><strong>2. Fake it till you make it<\/strong><\/p>\n<p>Eine der simpelsten \u2013 und \u00fcberraschenderweise auch erfolgreichsten \u2013 Social-Engineering-Techniken besteht darin, sich als ratlosen Mitarbeiter auszugeben. Bei einem seiner legend\u00e4ren fr\u00fchen Betrugsversuche verschaffte sich Kevin Mitnick Zugang zu den Betriebssystem-Entwicklungsservern der <a href=\"http:\/\/passwordresearch.com\/stories\/story47.html\" title=\"Digital Equipment Corporation\" target=\"_blank\" rel=\"noopener\">Digital Equipment Corporation<\/a>. Sein Vorgehen: Er rief bei DEC an, gab sich als leitender Entwickler aus und behauptete, er habe Probleme mit dem Login. Er wurde postwendend mit neuen Logindaten versorgt. Das spielte sich schon 1979 ab \u2013 man sollte also meinen, die Dinge h\u00e4tten sich seitdem verbessert. Das ist allerdings nicht der Fall: Im Jahr 2016 erlangte ein Hacker <a href=\"https:\/\/www.nytimes.com\/2016\/02\/09\/us\/hackers-access-employee-records-at-justice-and-homeland-security-depts.html\" title=\"die Kontrolle \u00fcber ein E-Mail-Konto\" target=\"_blank\" rel=\"noopener\">die Kontrolle \u00fcber ein E-Mail-Konto<\/a> des US-Justizministeriums und nutzte es, um sich wie seinerzeit Mitnick Zugangsdaten zu verschaffen. <\/p>\n<p>Zwar haben viele Organisationen Barrieren aufgebaut, die diese Art des dreisten Betrugs verhindern sollen, aber oft ist es nicht besonders schwer, sie zu umgehen. Als Hewlett-Packard (HP) im Jahr 2005 <a href=\"https:\/\/www.welt.de\/print-welt\/article155234\/HP-Chef-gesteht-Verwicklung.html\" title=\"Privatdetektive damit beauftragte \" target=\"_blank\" rel=\"noopener\">Privatdetektive damit beauftragte <\/a>herauszufinden, welche Vorstandsmitglieder Informationen an die Presse durchstachen, versorgte das Unternehmen die Schn\u00fcffler mit den letzten vier Ziffern der Sozialversicherungsnummer ihrer Zielpersonen. Diese Daten akzeptierte der technische Support von HPs TK-Provider AT&amp;T als Identit\u00e4tsnachweis und h\u00e4ndigte den Detektiven detaillierte Anrufprotokolle aus.<\/p>\n<p><strong>3. Autorit\u00e4t spielen<\/strong><\/p>\n<p>Viele Menschen sind daran gew\u00f6hnt, Autorit\u00e4ten zu respektieren. Das wissen auch Cyberkriminelle. Sie spielen sich als Vorgesetzte oder F\u00fchrungskr\u00e4fte aus, um an ihr Ziel zu gelangen. So \u00fcberwiesen im Jahr 2015 Finanzmitarbeiter von Ubiquiti Networks Firmengelder in Millionenh\u00f6he <a href=\"https:\/\/krebsonsecurity.com\/2015\/08\/tech-firm-ubiquiti-suffers-46m-cyberheist\/\" title=\"an Social-Engineering-Betr\u00fcger\" target=\"_blank\" rel=\"noopener\">an Social-Engineering-Betr\u00fcger<\/a>, die sich als F\u00fchrungskr\u00e4fte des Unternehmens ausgegeben und ihre Glaubw\u00fcrdigkeit mit gef\u00e4lschten E-Mail-Absendern unterstrichen hatten. <\/p>\n<p>Ein anderes Beispiel: Zur Jahrtausendwende geh\u00f6rte es f\u00fcr (manche) britische Boulevard-Journalisten zum guten Ton, sich Zugang zu den Voicemail-Konten von f\u00fcr sie interessanten Personen zu verschaffen. So \u00fcberzeugte ein Journalist den TK-Anbieter Vodafone davon, die Voicemail-PIN <a href=\"https:\/\/www.theguardian.com\/uk\/2011\/apr\/05\/sienna-miller-wins-court-order-for-phone-data\" title=\"der Schauspielerin Sienna Miller zur\u00fcckzusetzen\" target=\"_blank\" rel=\"noopener\">der Schauspielerin Sienna Miller zur\u00fcckzusetzen<\/a>, indem er dort anrief und sich als \u201cKollege John aus der Credit-Control-Abteilung\u201d ausgab. <\/p>\n<p>Ein weiteres prominentes Beispiel ist John Podesta, Hillary Clintons ehemaliger Wahlkampfleiter, der 2016 von russischen Spionen gehackt wurde. Die Cyberkriminellen hatten ihm im Vorfeld eine Phishing-E-Mail zugestellt, die als Nachricht von Google getarnt war und <a href=\"https:\/\/www.cbsnews.com\/news\/the-phishing-email-that-hacked-the-account-of-john-podesta\/\" title=\"eine Aufforderung enthielt, sein Passwort zur\u00fcckzusetzen\" target=\"_blank\" rel=\"noopener\">eine Aufforderung enthielt, sein Passwort zur\u00fcckzusetzen<\/a>. Statt sein Konto zu sch\u00fctzen, gab er damit seine Anmeldedaten preis.<\/p>\n<h3 class=\"wp-block-heading\" id=\"social-engineering-zahlen-statistiken\">Social Engineering \u2013 Zahlen &amp; Statistiken<\/h3>\n<ul class=\"wp-block-list\">\n<li>\n<p>Allein im Jahr 2024 konnten kriminelle Hacker durch BEC-Angriffe rund <strong>6,3 Milliarden Dollar<\/strong> einstreichen. (Quelle: <a href=\"https:\/\/www.verizon.com\/business\/resources\/reports\/2025-dbir-data-breach-investigations-report.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Verizon DBIR 2025<\/a>)<\/p>\n<\/li>\n<li>\n<p>Smishing macht <strong>39 Prozent<\/strong> aller mobilen Bedrohungen aus. (Quelle: <a title=\"SlashNext\" href=\"https:\/\/slashnext.com\/state-of-phishing-2023\/\" target=\"_blank\" rel=\"noopener\">SlashNext<\/a>)<\/p>\n<\/li>\n<li>\n<p>Mit der Einf\u00fchrung von ChatGPT stieg die Zahl der Social-Engineering-Angriffe <strong>um 45 Prozent<\/strong>. (Quelle: <a title=\"SlashNext\" href=\"https:\/\/slashnext.com\/state-of-phishing-2023\/\" target=\"_blank\" rel=\"noopener\">SlashNext<\/a>)<\/p>\n<\/li>\n<li>\n<p>Mit 17 Prozent aller Kompromittierungen ist Phishing der <strong>zweith\u00e4ufigste, initiale Malware-Infektionsvektor<\/strong>. (Quelle: Mandiant <a title=\"M-Trends-Report 2024\" href=\"https:\/\/cloud.google.com\/security\/resources\/m-trends\" target=\"_blank\" rel=\"noopener\">M-Trends-Report 2024<\/a>)<\/p>\n<\/li>\n<\/ul>\n<h3 class=\"wp-block-heading\" id=\"social-engineering-angriffe-abwehren\">Social Engineering \u2013 Angriffe abwehren<\/h3>\n<p>Wir haben f\u00fcnf Tipps zur Abwehr von Social-Engineering-Attacken f\u00fcr Sie zusammengestellt:<\/p>\n<p><strong>1. Security Awareness<\/strong><\/p>\n<p><a href=\"https:\/\/www.computerwoche.de\/article\/2785239\/security-awareness-richtig-planen-und-vermitteln.html\" title=\"Security-Awareness-Schulungen\" target=\"_blank\">Security-Awareness-Schulungen<\/a> sind der beste Weg, um Social Engineering zu verhindern. Nur wenn die Mitarbeiter wissen, welche Gefahr ihnen droht, k\u00f6nnen sie sich gegen solche Angriffe wappnen. Erarbeiten Sie ein umfassendes Schulungsprogramm, dass zu mehr Sicherheitsbewusstsein f\u00fchrt! Es sollte regelm\u00e4\u00dfig aktualisiert werden, um sowohl allgemeinen Phishing-Bedrohungen als auch neuen, <a href=\"https:\/\/www.computerwoche.de\/article\/2798234\/neue-wege-zum-phishing-erfolg.html\" title=\"gezielten Bedrohungen\" target=\"_blank\">gezielten Bedrohungen<\/a> angemessen begegnen zu k\u00f6nnen. <\/p>\n<p>Dabei sollten Sie von einer tiefgehenden Erkl\u00e4rung technischer Schwachstellen und Details absehen und stattdessen Beispiele nennen, die die Methoden der Angreifer in den Fokus stellen. Auch interaktive Elemente wie ein Quiz k\u00f6nnen dazu beitragen, Mitarbeiter vorzubereiten.<\/p>\n<p><strong>2. Security-Briefing f\u00fcr Mitarbeiter in Schl\u00fcsselpositionen<\/strong><\/p>\n<p>Unternehmen sollten F\u00fchrungskr\u00e4fte und leitende Angestellte in ihre Bem\u00fchungen einbeziehen, da sie f\u00fcr Cyberkriminelle die <a href=\"https:\/\/www.computerwoche.de\/a\/so-werden-ceos-hereingelegt,3256518\" title=\"attraktivsten Social-Engineering-Ziele\" target=\"_blank\">attraktivsten Social-Engineering-Ziele<\/a> darstellen. Wichtig ist es auch Mitarbeiter, die die Berechtigung zu Finanztransaktionen haben, regelm\u00e4\u00dfig \u00fcber <a href=\"https:\/\/www.cio.de\/a\/wenn-hacker-chef-spielen,3331676\" title=\"die Gefahren aufzukl\u00e4ren\" target=\"_blank\">die Gefahren aufzukl\u00e4ren<\/a>.<\/p>\n<p><strong>3. Bestehende Prozesse pr\u00fcfen<\/strong><\/p>\n<p>F\u00fcr finanzielle und andere wichtige Transaktionen bietet es sich an, zus\u00e4tzliche Kontrollma\u00dfnahmen einzuziehen. Dabei gilt es im Auge zu behalten, dass einige Schutzma\u00dfnahmen, beispielsweise eine Aufgabentrennung, sinnlos werden k\u00f6nnten, wenn es sich um eine <a href=\"https:\/\/www.computerwoche.de\/article\/2772542\/mitarbeiter-die-zu-innentaetern-wurden.html\" title=\"Insider-Bedrohung\" target=\"_blank\">Insider-Bedrohung<\/a> handelt. Eine regelm\u00e4\u00dfige Risikoanalyse ist zu empfehlen.<\/p>\n<p><strong>4. Neue Richtlinien f\u00fcr dringende Anfragen<\/strong><\/p>\n<p>Sendet der Vorstandsvorsitzende eine E-Mail von seinem Gmail-Konto, sollte das bei den Mitarbeitern Alarmsignale ausl\u00f6sen. Um vorschnelle Reaktionen zu vermeiden, die ins Ungl\u00fcck f\u00fchren k\u00f6nnen, sollten Mitarbeiter ein klar definiertes Notfallverfahren an die Hand bekommen und im Zweifel direkt mit dem Absender kommunizieren k\u00f6nnen.<\/p>\n<p><strong>5. Incident Management<\/strong><\/p>\n<p>\u00dcberpr\u00fcfen, verfeinern und testen Sie regelm\u00e4\u00dfig Ihre Incident-Management-Systeme. Dazu bieten sich \u00dcbungen mit der Gesch\u00e4ftsleitung und den wichtigsten Mitarbeitern an, in denen Kontrollmechanismen und potenzielle Schwachstellen auf den Pr\u00fcfstand kommen.<\/p>\n<h3 class=\"wp-block-heading\" id=\"social-engineering-toolkits\">Social Engineering \u2013 Toolkits<\/h3>\n<p>Es gibt am Markt einige Tools und Services, die Unternehmen bei Awareness-Kampagnen und Phishing-Simulationen unterst\u00fctzen:<\/p>\n<ul class=\"wp-block-list\">\n<li>\n<p>Das <a title=\"Social Engineering Toolkit\" href=\"https:\/\/github.com\/trustedsec\/social-engineer-toolkit\" target=\"_blank\" rel=\"noopener\">Social Engineering Toolkit<\/a> von TrustedSec steht als kostenloser Download zur Verf\u00fcgung und hilft bei der Automatisierung von Penetrationstests. Zu den Features geh\u00f6ren neben Social Engineering auch Spear Phishing, Fake Websites und USB-basierte Angriffe.<\/p>\n<\/li>\n<li>\n<p>Das <a title=\"Social Engineering Framework\" href=\"https:\/\/www.social-engineer.org\/framework\/general-discussion\/\" target=\"_blank\" rel=\"noopener\">Social Engineering Framework<\/a> ist eine weitere gute Ressource. Laut Aussage der Macher enth\u00e4lt es \u201caktuelle wissenschaftliche, technische und psychologische Informationen\u201d zum Thema. Das Ziel sei es, \u201ceine Informationssammlung f\u00fcr Sicherheitsexperten, Penetrationstester und Enthusiasten zu schaffen\u201d. Das Framework wird regelm\u00e4\u00dfig aktualisiert.<\/p>\n<\/li>\n<\/ul>\n<p><strong>Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong><a href=\"https:\/\/www.csoonline.com\/de\/newsletters\/signup\/\" target=\"_blank\"><strong>Unser kostenloser Newsletter<\/strong><\/a><strong> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Mit Social-Engineering-Techniken manipulieren Cyberkriminelle die menschliche Psyche. Lesen Sie, wie das funktioniert und wie Sie sich sch\u00fctzen k\u00f6nnen. sp3n | shutterstock.com Selbst wenn Sie bei der Absicherung Ihres Rechenzentrums, Ihrer Cloud-Implementierungen und der physischen Sicherheit Ihres Firmengeb\u00e4udes alle Register ziehen \u2013 mit Hilfe von Social Engineering finden gewiefte Cyberkriminelle meistens einen Weg, diese Ma\u00dfnahmen zu umgehen. Social Engineering \u2013 Definition Social Engineering bezeichnet die \u201cKunst\u201d,&#8230; <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=15155\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-15155","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15155","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15155"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15155\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15155"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15155"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15155"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}