«Cyberangriffe können alle Unternehmen treffen», warnt das Nationale Zentrum für Cybersicherheit NCSC. Dabei kann die Website des betroffenen Unternehmens offline gehen. Allzu oft wird aber das Unternehmensnetzwerk lahmgelegt. Ergebnis: Datenverluste, Ausfall der Systeme, Haftpflichtansprüche, Reputationsschäden. Häufigste Angriffswaffe ist das «Social Engineering». Was ist das?

Das ist «Social Engineering» bei Cyberangriffen

Unter dem Titel «Cyberangriffe gegen Firmen - Das müssen Sie wissen» erläutert das Nationale Zentrum für Cybersicherheit NCSC, was unter «Social Engineering zu verstehen ist. Demnach zielen die Cyberangreifer beim «Social Engineering» darauf ab, Mitarbeitende von Unternehmen mit einer raffinierten Täuschung zu verleiten, gegen ihren Willen eine Handlung vorzunehmen: Einen E-Mailanhang öffnen, einen Link anklicken, persönliche Daten wie Passwörter angeben oder eine Zahlung vornehmen.

Nähe aufbauen und ein vermeintliches Sicherheitsgefühl vermitteln

Beim «Social Engineering» wollen die Cyberangreifer das mögliche Opfer emotional berühren oder bei diesem echtes Interesse wecken. Dabei wird Nähe aufgebaut und ein vermeintliches Sicherheitsgefühl vermittelt. Damit das gelingen kann, informieren sich die Cyberangreifer im Vorfeld über die Struktur des angepeilten Unternehmens und über persönliche Interessen der möglichen Zielpersonen. Dies geschieht zumeist ganz einfach mittels frei verfügbaren Datenquellen im Internet und in den Sozialen Medien. Diese Recherchen aufgrund öffentlich zugänglicher Daten erlauben es, die ausgewählten Opfer mit einem massgeschneiderten Szenario zu ködern.

Beispiele für «Social Engineering»

• Hierarchie: Die Täterschaft nutzt den hierarchischen Aufbau eines Unternehmens aus und baut Handlungsdruck auf. Beispielsweise täuscht sie eine Identität vor und fordert einen Mitarbeiter oder eine Mitarbeiterin im Namen einer vorgesetzten Person auf, sensible Informationen preiszugeben oder eine Geldüberweisung vorzunehmen.
• Zeitdruck: Dem Opfer wird im Rahmen eines massgeschneiderten Szenarios mitgeteilt, dass schnell gehandelt werden muss.
• Gier und Neugier: Dem Opfer wird ein Gewinn oder eine Überraschung versprochen, wenn die Datei geöffnet wird oder auf den Link geklickt wird.
• Angst und Wut: Es wird mit Konsequenzen gedroht, falls einer Aufforderung nicht nachgekommen wird. Falsche Aussagen sollen das Opfer dazu bringen, einen Link anzuklicken, um diese Aussagen zu berichtigen.
• Anteilnahme: Das präsentierte Szenario spricht das Opfer emotional an. Das Opfer will handeln, um Missstände zu beseitigen.

Finanzabteilungen stehen im Brennpunkt

Ergänzend schreibt das Nationale Zentrum für Cybersicherheit NCSC zum «Social Engineering» von Cyberangreifern: «Unternehmen sind lukrative Ziele für Betrüger. Im Vergleich zu Privatpersonen lassen sich in der Regel auf einen Schlag grössere Summen entwenden. Deshalb wenden die Cyberangreifer mehr Zeit auf und die Angriffe erfolgen gezielter und professioneller als bei Privatpersonen. Dabei stehen vor allem die Finanzabteilungen im Brennpunkt.»

Klein -und Mittelunternehmen KMU brauchen eine Gesamtstrategie

Klein -und Mittelunternehmen KMU brauchen eine Gesamtstrategie gegen Cyberangriffe: Dazu zählt erstens die Sensibilisierung der Mitarbeitenden für die Gefahren des «Social Engineering» von raffinierten Cyberangreifern beispielsweise durch die Mitarbeiter-Onlineschulung «Cyber Security Awareness». Zweitens müssen alle technischen und organisatorischen Massnahmen gegen Cyberangriffe ergriffen werden, wie sie im «Merkblatt Informationssicherheit für KMU» aufgelistet sind.