Eines der Hauptrisiken für Unternehmen sind die Mitarbeitenden, die beispielsweise unwissentlich auf einen gefährlichen Link klicken. Das auf Einkauf und Supply Chain spezialisierte Unternehmen Kloepfel hat deshalb eine Checkliste für Einkäufer und Supply Chain Manager zum Schutz vor Social Engineering entwickelt.
ABC der Social-Engineering-Techniken
Baiting: Der Angreifer lockt das Opfer mit einem Angebot, oft in Form eines kostenlosen Downloads oder eines USB-Sticks, der mit Schadsoftware infiziert ist. Vorsicht daher vor unbekannten Links oder ungewöhnlich attraktiven Angeboten ohne klare Quelle.
Impersonation: Der Angreifer gibt sich als jemand anderes aus, oft als eine vertrauenswürdige Person wie ein Kollege oder ein Vorgesetzter, um Zugang zu Informationen oder sicheren Bereichen zu erhalten. Beispiel: Ein Fremder gibt sich als neuer Mitarbeiter aus und bittet um Zugang zum Gebäude.
Phishing: Phishing ist der Versuch, durch gefälschte E-Mails oder Websites persönliche Daten wie Passwörter zu stehlen. Beispiel: Eine E-Mail, die aussieht, als käme sie von einer Bank, fordert den Empfänger auf, seine Kontodaten einzugeben. Phishing-E-Mails kann man an unüblichen Absenderadressen, Rechtschreibfehlern oder unerwarteten Anfragen nach persönlichen Informationen erkennen.
Pretexting: Beim Pretexting täuscht der Angreifer eine falsche Identität vor, um an vertrauliche Informationen zu gelangen. Beispiel: Jemand ruft an und gibt sich als IT-Mitarbeiter aus, um Ihr Passwort zu erfragen. Pretexting lässt sich daran erkennen, dass der Anrufer ungewöhnliche Fragen stellt oder Informationen verlangt, die normalerweise nicht telefonisch abgefragt werden.
Quid Pro Quo: Bei dieser Methode bietet der Angreifer eine Gegenleistung für Informationen oder Zugangsrechte an. Beispiel: Ein Anrufer bietet "kostenlosen technischen Support" an, um Sie dazu zu bringen, Zugangsdaten preiszugeben. Quid Pro Quo-Angriffe lassen sich erkennen, wenn jemand im Austausch für eine angebliche Dienstleistung persönliche oder sicherheitsrelevante Informationen verlangt.
Spear Phishing: Eine gezielte Form des Phishings, bei der der Angreifer speziell auf eine Person abzielt und eine personalisierte Nachricht verwendet, um das Vertrauen des Opfers zu gewinnen. Beispiel: Eine E-Mail, die so aussieht, als käme sie vom Chef, fordert den Mitarbeiter auf, auf einen Anhang bzw. auf einen Link zu klicken oder vertrauliche Informationen weiterzugeben.
Tailgating: Tailgating ist, wenn jemand ohne eigene Zugangskarte oder Berechtigung in einen gesicherten Bereich gelangen möchte.
Vishing: Vishing (Voice Phishing) ist eine Technik, bei der Betrüger telefonisch versuchen, sensible Informationen wie Passwörter oder Bankdaten zu bekommen. Beispiel: Ein Betrüger gibt sich als Mitarbeiter einer Bank aus und fragt nach Ihren Kontoinformationen. Sogenannte Enkeltrickbetrüger, die mit Schockanrufen versuchen, an Geld zu kommen, zählen auch dazu. Bei unerwarteten Anrufen, bei denen der Anrufer nach vertraulichen Informationen fragt beziehungsweise starken Druck ausübt, sollte man besser auflegen.
Watering Hole: Bei dieser Technik kompromittiert der Angreifer eine häufig besuchte Website, um Malware zu verbreiten oder Daten abzugreifen. Beispiel: Eine oft besuchte Branchenwebsite wird infiziert, sodass deren Besucher unwissentlich Schadsoftware herunterladen. Watering Hole-Angriffe können durch Virus-Warnungen oder durch ungewöhnliches Verhalten von vertrauten Webseiten erkannt werden.
Gegenmaßnahmen gegen Social Engineering
Zum Schutz vor Social-Engineering-Angriffen braucht es klare Regeln für die interne und externe Kommunikation, damit verdächtige Anfragen immer überprüft werden. Der Zugang zu sensiblen Informationen sollte nur durch starke Sicherheitsmaßnahmen wie Mehrfach-Authentifizierungen und sichere Passwörter gewährt werden. Ein gutes Überwachungssystem hilft, verdächtige Aktivitäten schnell zu erkennen und zu melden.
Regelmäßige Sicherheitsüberprüfungen und Schulungen für alle Beteiligten, einschließlich Lieferanten, sorgen dafür, dass alle auf die Gefahren aufmerksam sind und gemeinsam daran arbeiten, Angriffe zu verhindern. Die Unternehmen sollten IT-Sicherheitsberater beziehungsweise IT-Sicherheitsbeauftragte einsetzen, um diese Schutzmaßnahmen effektiv umzusetzen.
Marc Kloepfel, CEO der Kloepfel Group, rät: „Bei einer hohen Lieferantenvielfalt, wie sie in der Lieferkette mit zahlreichen relevanten Lieferanten häufig vorkommt, steigt das Risiko für Cyberangriffe erheblich. Daher ist es essenziell, dass der Einkauf umfassend gegen Cyberbedrohungen abgesichert ist. Dies beinhaltet die Implementierung strenger Sicherheitsprotokolle und die regelmäßige Überprüfung der IT-Sicherheit bei allen Lieferanten, um die Integrität der gesamten Lieferkette zu gewährleisten und das Risiko von Cyberangriffen zu minimieren.“