Technische Vorkehrungen sind enorm wichtig, um E-Mails zu schützen. Trotzdem gibt es in fast allen Unternehmen noch einen Risikofaktor, der sich kaum kontrollieren lässt: der Mensch. Hacker müssen nämlich nicht unbedingt programmieren können, um sich Zugang zu wichtigen Daten zu verschaffen.
Das sogenannte SSocial Engineering ist nicht im Internet entstanden. Betrüger haben schon früher arglose Menschen per Anruf oder Brief dazu gebracht, ihnen aufgrund von ganz unterschiedlichen Vorwänden Geld zu geben. Allerdings ist es mit Hilfe von E-Mails deutlich einfacher geworden, eine große Zahl von Empfängern innerhalb kürzester Zeit zu erreichen.
Unternehmen sind vor allem deshalb ein beliebtes Ziel, weil die potenzielle Beute hier deutlich höher liegt als im privaten Umfeld. Die nötigen Informationen lassen sich oft über die Website der Firma und über Social Media-Kanäle herausfinden. Dazu zählen unter anderem die Namen der Mitarbeiter in Führungspositionen, längere Geschäftsreisen von leitenden Angestellten oder die aktuellen Schwerpunkte im Alltagsbetrieb.
Überweisungen als Resultat von Social Engineering
Auf der Basis der gesammelten Informationen wenden sich Hacker dann oft mit einer gefälschten E-Mail-Adresse und mit dringenden Worten an Mitarbeiter, die wahrscheinlich dazu berechtigt sind, finanzielle Transaktionen abzuwickeln. Oft geht es dabei um ein vermeintlich dringendes Anliegen, sodass der Empfänger sich unter Druck gesetzt fühlt – eine Nachfrage beim Chef bleibt dann aus, stattdessen wird eine Zahlung so schnell wie möglich geleistet.
Allerdings geht es nicht immer um das liebe Geld. Gefälschte E-Mails können auch von einem vermeintlichen Kollegen aus der IT-Abteilung kommen, der nach bestimmten Zugangsdaten fragt. Mit Hilfe dieser Informationen kann sich ein Hacker dann Zugriff zu den internen Systemen eines Unternehmens verschaffen und die Informationen zu seinem Vorteil nutzen.Es gibt einige Unternehmen, die aufgrund von Social Engineering-Angriffen viel Geld verloren haben. Zudem dürfte die Dunkelziffer sehr hoch sein, da die Ergebnisse solcher Attacken nur selten öffentlich werden. Deshalb sollten die Verantwortlichen dafür sorgen, dass Mitarbeiter den bestmöglichen Schutz erhalten. Einerseits lohnen sich entsprechende Seminare, Workshops oder kurze Informationen, die immer wieder verschickt werden. Zum anderen gibt es technische Möglichkeiten, die es Angreifern so schwer wie möglich machen. Advanced Threat Protection von Skyfillers ist dafür ein gutes Beispiel, mehr Informationen zu diesem Thema gibt es hier.