- Verständliche Einführung in die psychologischen Grundlagen des Social Engineering
- Plastische Beispiele für Social Engineering-Angriffe
- Praktische Tipps, um Manipulation zu erkennen
- Klare Zusammenhänge zwischen IT-Sicherheit und menschlichem Verhalten
- Effektive Argumente, um mehr Security Awareness zu schaffen
- Einfache Hinweise für sichere Kommunikation Demo anfordern
5 Kurskapitel
Every course module you find here can be used as a short learning unit – also called Learning Nugget. Do you have any questions about the course content? – Kontaktieren Sie uns. Wir helfen Ihnen gerne weiter.
Aus dem Kurs
Durch Social Engineering können in Unternehmen beachtliche Schäden entstehen
Was ist Social Engineering? Im Grunde beschreibt der Begriff das Sammeln von Daten und vertraulichen Informationen. Social Engineers versuchen mit allen möglichen Mitteln, Einblicke in Ihr Leben zu bekommen. Schritt für Schritt und mit großer Geduld setzen sie die gefundenen Puzzleteile so zusammen, dass am Ende ein umfassendes Bild entsteht. Die Schwachstelle, die Kriminelle beim Social Engineering nutzen, um an Ihre sensiblen Daten zu gelangen, ist aber nicht etwa die Technik – sondern der Mensch.
Soweit der Blick auf die Social Engineering-Definition. Wechseln wir von der Theorie in die Praxis. Das folgende Beispiel wird Ihnen zeigen, wie unfassbar einfach es ist, mit Social Engineering an persönliche Daten zu gelangen.
Social Engineering: Soziale Netzwerke als Datenquelle
Denken Sie einmal an Soziale Netzwerke. Sind Ihre Profile öffentlich einsehbar? Ja? Dann schauen wir doch mal, was wir dort finden. Wir sehen Ihren Vor- und Zunamen und Ihr Geburtsdatum. Vor vier Wochen haben Sie eine Motorrad-Tour durch die Eifel gemacht, ihre Oma Josephine hatte vergangene Woche ihren 95. Geburtstag erlebt und am Mittwoch haben Sie noch eine Lasagne bei „Luigi’s Trattoria“ gegessen. Ein Foto zeigt Sie vor Ihrem schönen Eigenheim, die Hausnummer und ein Straßenschild sind gut zu erkennen. Huch – und in diesem Moment erscheint ein neuer Beitrag: Das angehängte Bild zeigt Sie und Ihre Familie beim Schnorcheln mit Delfinen in Hurghada. Sie sind gerade also gar nicht zuhause. Oha! Wenn Ihr Urlaub vorbei ist, ist Ihr Haus leergeräumt.
Das Beispiel zeigt, wie Social Engineering funktioniert. Es gibt Kriminelle, die sich darauf spezialisiert haben, Social Media-Profile nach sensiblen Informationen zu durchforsten. Wenn diese Verbrecher nun sehen, dass Sie es sich derzeit am Roten Meer gutgehen lassen, verkaufen sie diese Informationen im Nu an eine Einbrecherbande. Für Sie persönlich ist das ein großes Ärgernis. Der Schaden ist hoch, aber vergleichsweise überschaubar. Stellen Sie sich bloß einmal vor, was passiert, wenn Ihr Unternehmen Opfer von einem Social Engineering-Angriff wird.
Mitarbeiter für Social Engineering sensibilisieren
Beim sogenannten CEO Fraud kann einem Unternehmen ein beachtlicher Schaden entstehen. Allein in den USA haben Kriminelle mit dieser Masche in den Jahren 2016 bis 2018 einen Gesamtschaden in Höhe von 2,3 Milliarden US-Dollar angerichtet. Der CEO Fraud ist für Unternehmen besonders gefährlich, da sie sich kaum davor schützen können. Die Experten in der IT Abteilung sind machtlos – denn jeder einzelne Mitarbeiter kann den Betrügern sprichwörtlich die Tür öffnen. Auch bei dieser Form des Social Hacking ist der Mensch der Angriffspunkt, den Kriminelle nutzen, um sich zu bereichern. Umso wichtiger ist es, dass alle Beschäftigten eines Unternehmens für Social Engineering sensibilisiert werden, etwa indem sie an einem Online-Kurs von Security Island zu diesem wichtigen Thema teilnehmen.
Beliebte Masche beim Social Engineering: der CEO Fraud
Beim CEO Fraud spionieren die Social Engineers ein Unternehmen aus. Sie verschaffen sich einen umfassenden Überblick der internen Abläufe und personellen Verantwortlichkeiten – und zwar bis ins letzte Detail. Dann kontaktiert einer der Betrüger einen Mitarbeiter, der auf firmeneigene Bankkonten zugreifen kann, per Telefon oder per E-Mail. Bei diesem Kontakt behauptet der Betrüger, der Geschäftsführer des Unternehmens zu sein – und dass er sehr dringend eine größere Geldsumme benötige, um diskret ein wichtiges Geschäft zu tätigen. Natürlich hat der Betrüger zuvor erkundet, dass der wahre Chef zum Zeitpunkt seiner Kontaktaufnahme nicht im Unternehmen anwesend ist. Eventuelle Rückfragen des Mitarbeiters würden also ins Leere laufen. Und um seine Anfrage glaubwürdig erscheinen zu lassen, schickt der angebliche Chef oder einer seiner Komplizen täuschend echt wirkende Dokumente, „Kaufverträge“ oder ähnliches, an die Mail-Adressen des Mitarbeiters. Es gibt Unternehmen, die im Zuge der CEO Fraud-Masche bereits 40 Millionen Euro an Betrüger überwiesen haben.
Social Engineers nutzen viele verschiedene Methoden
Der CEO Fraud ist nur eine Methode, die Social Engineers nutzen. Sie haben noch zahlreiche weitere Asse im Ärmel. Mal geht es um angeblich notwendige Computer-Updates, mal geben sie sich in Sozialen Netzwerken mit gefälschten Profilen als Freund oder Bekannter aus, mal nehmen sie die senilen Großeltern ihrer Opfer ins Visier oder sie finden über Online-Partnerbörsen einen Weg ins Leben der Menschen, deren Vertrauen sie sich erschlichen haben.
Das Vorgehen beim Social Engineering weist Parallelen auf zu einem Phishing-Angriff. Dabei erhalten Internetnutzer beispielsweise eine gefälschte E-Mail. Diese Phishing-Mails sehen harmlos aus, haben es aber in sich: In der Regel enthalten Sie einen Link zu einer gefälschten Webseite. Unter einem Vorwand wird der Empfänger der Phishing-Mails aufgefordert, auf der Internetseite vertrauliche Informationen einzugeben, etwa Zugangs- oder Bezahldaten. Ist der Phishing-Angriff erfolgreich, können die Kriminellen fortan unbemerkt aufs Online-Banking zugreifen oder in Webshops einkaufen.
Social Engineering: Der Mensch als Risikofaktor
Niemand ist sicher vor einem Social Engineering-Angriff. Die Betrüger sind absolute Profis. Sie verstehen es, sich das Vertrauen ihrer Opfer zu erschleichen. Sie verfügen über detailliertes Insiderwissen und setzen bei ihrer Kontaktaufnahme auf perfektes Timing. Unwissenheit, Dringlichkeit und Ungeduld sind ihre wichtigsten Verbündeten. So können sie sicher sein, dass bei den Betroffenen die Alarmglocken erst schrillen, wenn sie bereits in die Falle getappt sind. Das Verheerende beim Social Engineering ist: Ein einziger unvorsichtiger Kollege genügt, damit der Cyber-Angreifer Zugriff zu den IT-Systemen des Unternehmens bekommt.
Wissen über Social Engineering mit E-Learning vertiefen
Zusammenfassend können wir sagen: Es ist sehr wichtig, zu wissen, wie Social Engineering funktioniert, wie es geplant und durchgeführt wird, und welche Absichten die Täter haben. Dieses Wissen erarbeiten sich die Teilnehmer in diesem E-Learning-Kurs von Security Island. Anhand zahlreicher Beispiele aus der Praxis werden sie sensibilisiert für das Thema Social Engineering. Abschließend können sie anhand eines Fragebogens ihr neues Wissen überprüfen.
FAQ
Unsere Kurse werden im Format SCORM 1.2 ausgeliefert. Das E-Learning können Sie somit in Ihr bestehendes Learning Management System (LMS) integrieren oder über unsere hauseigene Online Academy allen gewünschten Mitarbeitenden zur Verfügung stellen.
Dies hängt von unterschiedlichen Faktoren ab:
- Anzahl der zu schulenden Mitarbeitenden
- Lizenzierungszeitraum
- Lizenzierung weiterer E-Learning Kurse von Security Island
- Grad der gewünschten Individualisierung des Kurses (optional)
- Möglichkeit eines Buy-Outs
Generell gilt: Je mehr Kurse lizenziert werden, desto geringer fällt der Preis/Kurs aus! Gerne unterstützen wir Sie dabei, Ihr passendes Lizenzierungsmodell zu finden.
Jeder Security Island E-Learning Kurs kann auf Ihr Corporate Design und auf Ihre Unternehmensprozesse angepasst werden. Durch unsere flexible Produktionsweise können Individualisierungen auch kurzfristig realisiert werden.
Die Kosten für die Individualisierung hängen von dem Aufwand der Anpassungen ab. Dieser kann in einer kostenlosen Erstberatung ermittelt werden.
Alle unsere E-Learning Kurse werden von erfahrenen Fachautorinnen und Fachautoren verfasst, die fester Bestandteil der Kurse von Security Island sind. Für inhaltliche Rückfragen und Anpassungen stehen sie unseren Kunden mit Rat und Tat zur Seite.