loader image

Artikel

Social Engineering und Phishing erkennen

DsiN für Unternehmen

Soziale Manipulation und Phishing sind ein alltägliches Sicherheitsproblem. Um Schaden vorzubeugen

müssen Mitarbeiter:innen wachsam sein.

Soziale Manipulation und Phishing sind zu einem alltäglichen Problem für viele Unternehmen und Mitarbeiter geworden. Auch Sie sind wahrscheinlich schon mehr als einmal mit Social Engineering in Berührung gekommen.  

Fast alle Internetnutzenden haben in ihrem Leben schon E-Mails erhalten, die auffordern, Daten – z. B. Kontodaten – in ein Formular einzugeben, oft auf einer überzeugend gestalteten Webseite, die aussieht wie die einer großen Bank oder eines populären Online-Dienstes. Phishing, also das „Angeln von Passwörtern“ über gefälschte Webseiten, E-Mails oder Kurznachrichten ist dabei die geläufigste Form, um durch Manipulation an persönliche Daten von Internetnutzenden zu gelangen. Dabei wird besonders der „Faktor Mensch“ als Sicherheitslücke ausgenutzt – mit sogenannten Social-Engineering-Angriffen.  

Der Begriff „Social Engineering“ bezeichnet in der IT-Sicherheit Angriffsmethoden, bei denen Kriminelle durch die Manipulation von Personen an sensible Informationen von Unternehmen oder Privatpersonen zu gelangen versuchen. Denn: Kein IT-Sicherheitssystem der Welt kann Daten schützen, die von ihren rechtmäßigen Nutzer:innen freiwillig herausgegeben werden.  Social Engineers nutzen dabei das Bedürfnis von Menschen aus, sich kooperativ und hilfsbereit zu verhalten. Es ist daher ungemein wichtig, dass Mitarbeitende sich ein grundlegendes Wissen über Social-Engineering-Methoden aneignen, um das Gefahrenpotenzial verschiedener Risikosituationen besser einschätzen zu können. 

Ziele von Social-Engineering-Angriffen 

Welche Informationen und Daten mittels sozialer Manipulation im Netz beschafft werden, kann variieren: z. B. geschäftskritische, vertrauliche und andere interne Informationen eines Unternehmens, Login-Daten, Transaktionsnummern für Online-Banking, Kontodaten, Kreditkarten-PINs, persönliche Informationen. Auch der erfolgreiche Hack zahlreicher prominenter Twitter-Accounts im Juli 2020 im Rahmen eines Bitcoin-Scams ist vermutlich auf einen Social-Engineering-Angriff auf Twitter-Mitarbeitende zurückzuführen. 

Die sogenannte „Chef-Masche“ (CEO-Fraud) geht sogar so weit, dass sich Angreifer:innen als Vorgesetzte ausgeben und Mitarbeitende so lange manipulieren, bis sie Geld auf ein fremdes Konto überweisen. Die Verluste sind für das betroffene Unternehmen oftmals schmerzhaft. Bekannt wurde unter anderem ein Fall aus dem Jahr 2019, bei dem mithilfe eines Deep-Fakes die Stimme des Chefs eines Unternehmens imitiert wurde, um mehr als 200.000 Euro zu erbeuten. 

Grundregeln zum Vorbeugen von betrügerischen Angriffen

Social Engineering nutzt gezielt ganz normale menschliche Eigenschaften aus – Hilfsbereitschaft, Gutgläubigkeit und vor allem das grundlegende Vertrauen zu anderen Personen. Deshalb schützen uns vor solchen Angriffen keine Firewalls oder andere technischen Maßnahmen. Es gibt nur einen einzigen wirksamen Schutz vor Social Engineering: ein gesundes Misstrauen, verbunden mit dem strikten Einhalten vereinbarter Regeln zur Datenweitergabe! 

  • Halten Sie sich strikt Regeln und Abläufe im Betrieb: Verweisen Sie auch unter Zeitdruck auf den vorgeschriebenen Dienstweg, wenn Sie um eine regelwidrige Auskunft oder Herausgabe von Daten gebeten werden. Sie handeln so nicht etwa unkooperativ, sondern helfen Firma und Kollegium dabei, vertrauensvoll zusammenzuarbeiten. 
     
  • Machen Sie sich Ihrer eigenen Anfälligkeiten bewusst: Alle von uns können Ziel eines Social-Engineering-Angriffs werden. Überlegen Sie, welche Informationen über Sie online zugänglich sind und wie Angreifende dieses Wissen über Sie ausnutzen könnten. 
     
  • Seien Sie neuen Kontaktanfragen gegenüber skeptisch: Soziale Netzwerke sind unerschöpfliche Informationsquellen für Social Engineers. Geben Sie in sozialen Netzwerken niemals sensible Daten heraus und vergewissern Sie sich im Zweifel noch einmal über die Vertrauenswürdigkeit des neuen Kontakts durch öffentlich zugängliche Informationen. 
     
  • Überprüfen Sie regelmäßig Ihre Privatsphäre-Einstellungen: Seien Sie vorsichtig bei der Auswahl der Informationen, die Sie auf Ihrem Profil preisgeben und prüfen Sie in den Einstellungen, wer diese Informationen einsehen kann.  
     
  • Öffnen Sie keine unerwarteten E-Mails und Anhänge:  Anhänge können Schadsoftware enthalten, die ihr Gerät infizieren. Öffnen Sie daher nur Anhänge, die Sie erwarten und deren Erhalt Ihnen plausibel erscheint. Hier finden Sie DsiN-Tipps, wie sie E-Mail & Co im Beruf sicher nutzen
     
  • Lernen Sie Phishing-Angriffe besser zu erkennen: Die Universität Darmstadt bietet ein Online-Lehrprogramm für Phishing an, mit dem Sie routinierter bei der täglichen Arbeit mit E-Mail und Co und so für Angriffe sensibler werden. 
     
  • Gehen Sie vorsichtig mit allzu guten Angeboten um: Auch in der Geschäftswelt gilt: Seien Sie stets skeptisch gegenüber allzu verlockenden Angeboten oder Offerten. Oftmals verbirgt sich dahinter ein Trick, um schnell an Informationen zu gelangen. 

Neueste Artikel

Alle sehen
Bild eines geöffnetes Laptops mit Nachrichtensprecher.
13.05.2025

Pro-russische Desinformation im Netz

Auf sozialen Netzwerken wie Telegram, X, Facebook, Instagram und Co. kursieren zunehmend gezielte Falschinformationen aus dem pro-russischen Umfeld1. Diese Inhalte verbreiten sich oft rasend schnell – erst über russischsprachige Kanäle, dann über internationale Verschwörungsnetzwerke, schließlich auch im deutschsprachigen Raum. Ziel ist es, politische Debatten zu beeinflussen, Vertrauen in demokratische Institutionen sowie Personen zu untergraben und gesellschaftliche Spaltung zu fördern. Aktuelle Beispiele zeigen, wie raffiniert dabei vorgegangen wird: Eine gefälschte Webseite, die wie die offizielle Seite des CDU-Vorsitzenden Friedrich Merz aussieht, verbreitet Falschbehauptungen über angebliche (Geld-) Leistungen für Geflüchtete aus der Ukraine, beschlossen von der neuen Bundesregierung.2 Auch ein manipuliertes Video, in dem Bundeskanzler Merz, Frankreichs Präsident Macron und der britische Premier Starmer angeblich bei einem Treffen der Drogenkonsum unterstellt wird, macht derzeit die Runde.2 Solche Desinformation knüpft meist an reale Inhalte an, vermischt sie mit Lügen und wirkt dadurch besonders glaubwürdig. Das Risiko: Wer Inhalte aus fragwürdigen Quellen nicht kritisch überprüft, läuft Gefahr, gezielte Manipulation für bare Münze zu nehmen und sie unbewusst weiterzuverbreiten. Solche Falschmeldungen wirken, weil sie echte Informationen imitieren, emotional aufladen und sich schnell verbreiten. Besonders vor Wahlen können sie das Vertrauen in demokratische Prozesse untergraben und die Meinungsbildung gezielt beeinflussen. SiBa empfiehlt:
  • Quelle und Inhalt prüfen: Stammt die Webseite wirklich von der genannten Person oder Institution?
  • Faktenchecks nutzen
  • Falschinformationen auf Plattformen wie X, Facebook oder YouTube aktiv melden
  • Wenn Personen im eigenen Umfeld Desinformation glauben oder weiterverbreiten: Ruhig und sachlich ins Gespräch gehen, seriöse Quellen zeigen
  • Verdächtige Inhalte nicht weiterleiten oder teilen
Quellen: 1 Tagesschau: Bundesregierung warnt vor russischer Desinformation (07.02.2025)  2Correctiv: Angebliches Koks-Video und Fake-Webseite: Merz im Visier russischer Desinformation Wer kann mir helfen? ARD-Faktenfinder Mimikama-Faktencheck ZEBRA: Wo kann ich Falschnachrichten melden oder prüfen lassen? Wie schütze ich mich Bundesregierung: Was ist Desinformation? Wirtschaftsdienst: Digitale Medienmärkte: Was tun gegen Hassrede und Falschinformationen? BSI: Desinformation im Netz  
06.05.2025

Patchday: Schadcode Angriffe auf die Androidbetriebssysteme 13, 14 und 15

Das Android Maskottchen unter dem ein Feuer brennt
Über eine Sicherheitslücke ist es Angreifern gelungen, Schadsoftware auf die Betriebssysteme von Android 13, 14 und 15 einzuschleusen und sich dadurch höhere Nutzerrechte zu verschaffen. Im schlimmsten Fall können Angreifer erheblichen Schaden verursachen oder die Kontrolle über die betroffenen Geräte erlangen. Laut Google bewerten die Android-Entwickler eine bestimmte Sicherheitslücke in den Versionen 13 und 14 als besonders kritisch. Über diese Schwachstelle können Angreifer Schadsoftware auf ein Gerät bringen – ohne dass Nutzer:innen etwas tun oder spezielle Nutzerrechte freigeben. Aktuell wird die Lücke bereits für gezielte Angriffe ausgenutzt. Wie viele Geräte betroffen sind, ist bislang unklar. Google spricht von begrenzten Fällen. Das Unternehmen hat zwar im Rahmen ihrer regelmäßigen Sicherheitsupdates (Patchday) die Lücken geschlossen, allerdings sollten die Nutzer:innen schnellstmöglich prüfen, ob Updates verfügbar sind, und diese installieren. SiBa empfiehlt: prüfen Sie unter Einstellungen > Softwareupdates, ob ein Update bereitsteht. Installieren Sie umgehend die verfügbaren Aktualisierungen, am besten nach Veröffentlichung und bleiben Sie aufmerksam bei ungewöhnlichem Verhalten Ihres Geräts. Originalmeldung von heise.de  Wie schütze ich mich? Automatische Updates für iOS, Windows und Android einrichten • Digitalführerschein (DiFü) Datenschutz und mobile Sicherheit für dein Smartphone | Android Smartphone Einstellungen | Digitaler Engel Wer kann mir helfen? Android-Sicherheitsbulletin – Mai 2025  |  Android Open Source Project Android-Version prüfen und aktualisieren - Android-Hilfe Pflicht-Update von Google: Darum müsst ihr Android-Handys jetzt aktualisieren | NETZWELT

Kontaktieren Sie uns

Kontaktieren Sie uns für
Ihre Anfrage gerne unter:

info@sicher-im-netz.de

(0) 30 767581-500

Presseanfragen richten
Sie bitte an:

presse@sicher-im-netz.de

(0) 30 767581-514

Postanschrift

Deutschland sicher im Netz e.V.
Albrechtstraße 10c 10117 Berlin

Schließen