Nie zuvor standen IT-Systeme so häufig unter Beschuss. Doch Unternehmen sichern ihre IT-Strukturen immer besser ab, was einige Hacker dazu bringt, bei ihren Cyber-Angriffen neue Wege einzuschlagen. Zunehmend häufiger greifen sie nicht mehr via Computer über das Internet an, sondern täuschen ihre Opfer am Telefon. Derartige Angriffe sind besonders gefährlich und richten immer wieder große Schäden an.
Telefonbetrug statt Computerangriff
Es überrascht nicht, dass zunehmend mehr Cyber-Kriminelle diesen Weg wählen. Klassische Hacker-Angriffe auf IT-Strukturen können sich äußerst aufwändig gestalten, weshalb preiswerte Alternativen gefragt sind. Besonders der erwähnte Griff zum Telefonhörer ist beliebt, denn er gilt als wirksam: Viele Mitarbeiter fallen auf Fake-Anrufe herein und folgen den Anweisungen der Anrufer. Sie geben beispielsweise Benutzernamen und Passwörter am Telefon preis oder überweisen sogar Geldbeträge.
Angriffe dieser Art werden auch als Social Engineering bezeichnet. Ziel ist es, mit einem ausgewählten Opfer in Verbindung zu treten und ihm Informationen zu entlocken. Wichtiges Mittel der Angreifer ist die gezielte Täuschung, indem sie sich beispielsweise als Vorgesetzte ausgeben. Häufig werden Notsituationen erfunden und nicht selten auch Druck aufgebaut, damit die Opfer nicht lange überlegen, sondern rasch handeln.
Dass Angreifer mittlerweile so gerne auf das Social Engineering setzen, liegt nicht zuletzt an der Wirksamkeit. Mit simplen Mitteln lässt sich oft eine ganze Menge erreichen. Im Idealfall genügt ein Anruf, um z.B. wertvolle Zugangsdaten zu erbeuten. Manchmal steht auch gar nicht die IT im Fokus, weil es die Kriminellen beispielsweise darauf abgesehen haben, Zahlungen zu ergauern. Ein Bereich des Social Engineerings ist der sogenannte CEO Frau, in dessen Rahmen sich die Angreifer als Vorgesetzte ausgeben und Druck ausüben, um Geldtransfers anzuweisen.
Wie sich Unternehmen absichern
Unternehmen können sich gegen solche Angriffe absichern. IT-Systeme können zwar nicht helfen, dafür jedoch Schulungen. Im Kern geht es darum, Mitarbeiter über die Möglichkeit solcher Angriffe zu informieren und konkrete Handlungsanweisungen festzulegen. Kein Mitarbeiter sollte voreilig sensible Informationen preisgeben oder gar Gelder überweisen. Stattdessen sollte er sich gründlich rückversichern und z.B. mit Kollegen aus der IT-Abteilung in Kontakt treten, um weitere Informationen einzuholen. Auf diese Weise ist es möglich, Betrugsversuche als solche zu erkennen und nicht auf sie hereinzufallen.
Darüber hinaus kann sich eine doppelte Absicherung der Zugänge via 2-Faktor-Authentifzierung (2FA) empfehlen. Ist sie erst einmal eingerichtet, genügen Benutzername und Passwort für den Login nicht mehr. Stattdessen muss eine Freigabe über einen zweiten Faktor (z.B. eine App auf dem Smartphone des Benutzers) erfolgen. Sobald es um Zugänge von Dritten geht, kommen Angreifer an dieser Stelle nicht weiter. Sprechen sie hingegen mit der berechtigten Person selbst, könnten die Angreifer um eine Freigabe bitten. Mitarbeiter müssen spätestens an diesem Punkt erkennen, dass eine Weitergabe der Daten auf keinen Fall gestattet ist – in Verbindung mit der richtigen Schulung lässt sich die notwendige Awareness steigern.