HLB Dr. Schumacher & Partner GmbH - Springe direkt:

Möchten Sie zur mobilen Version wechseln?
Kompetenz
verbindet

Social Engineering: Gefahr auch für Unternehmen

PDF
Veröffentlichung

Social Engineering: Gefahr auch für Unternehmen

Social-Engineering: Gefahr auch für Ihr Unternehmen

Digitale Systeme haben heute nahezu alle Lebensbereiche erobert. Das schafft viele Vorteile, ruft aber auch immer wieder Kriminelle auf den Plan. Eine nicht zu unterschätzende Gefahr lauert unter anderem durch das sogenannte Social Engineering. Was das ist und wie sich insbesondere Unternehmen davor schützen können, verraten Philipp Rohling, Diplom-Kaufmann (FH), und Daniel Onnebrink, Diplom-Wirtschaftsinformatiker, von der Kanzlei HLB Dr. Schumacher & Partner aus Münster in Wirtschaft aktuell.

Aufgrund der fortschreitenden Digitalisierung in allen Bereichen stehen immer mehr Daten einer stetig wachsenden Menschenmenge zur Verfügung, während gleichzeitig die Verwendung von öffentlich zugänglichen Daten für betrügerische Zwecke zunimmt. Daher sollte der Schutz von persönlichen sowie unternehmerischen Daten einen besonderen Stellenwert einnehmen.

Was früher der klassische Trickbetrug an der Haustür oder am Telefon war, ist heute das sogenannte „Social Engineering“. In beiden Fällen versuchen Trickbetrüger oder Social Engineers, das soziale Verhalten von ausgewählten Personen zu manipulieren. Ziel der Betrüger ist es zum Beispiel, an sensible Unternehmensdaten zu gelangen oder aber ungewollte Finanztransaktionen auszulösen. Beim Social Engineering wird versucht, das Vertrauen von Schlüsselpersonen zu gewinnen und auszunutzen. Dies wird beispielsweise durch fingierte Probleme, Einschüchterungen oder durch die Vorgabe falscher Tatsachen erreicht. Um Schlüsselpersonen zu identifizieren und weitere, für die Durchführung des Social Engineering notwendige Informationen zu erhalten, reicht häufig eine Google-Recherche aus. Aber auch achtlos weggeworfene Unterlagen können ungeahnte Möglichkeiten für Betrüger bieten.

BEISPIEL

Folgendes reale Beispiel* verdeutlicht, wie ein Social Engineerer zum Erfolg kommen kann: Der Geschäftsführer des betroffenen Unternehmens, Herr Müller, befindet sich für zwei Wochen im Urlaub und ist dort telefonisch nicht erreichbar. In dieser Zeit vertritt ihn der Leiter der Finanzbuchhaltung, Herr Kaufmann. Herr Kaufmann erhält eine E-Mail, in der Herr Müller ihn darüber informiert, dass sich in Kürze der Rechtsanwalt Meier mit ihm in Verbindung setzen wird. Der Grund dafür sei die kurzfristige Abwicklung eines lukrativen und streng geheim zu haltenden Geschäfts. Einige Tage später meldet sich, wie angekündigt, der Anwalt bei Herrn Kaufmann und weist ihn an, eine beträchtliche Geldsumme auf ein Konto im Ausland zu überweisen. Da zu legt er eine unterschriebene Vollmacht des Geschäftsführers vor. Herr Kaufmann geht nicht von einem Betrug aus, sondern handelt, wie ihm „befohlen“. Dass es sich sowohl bei dem E-Mail-Absender als auch bei dem Rechtsanwalt bereits um einen Betrüger handelt, hält Herr Kaufmann aufgrund der glaubwürdigen E-Mail und der vorgelegten Vollmacht nicht für möglich. Als der Schwindel auffliegt, ist der Schaden für das Unternehmen bereits entstanden und irreparabel. In diesem Beispiel hat das Social Engineering schon weit vor der ersten E-Mail begonnen. Der Betrüger wusste über die Abwesenheit des Geschäftsführers Bescheid, da er sich zuvor telefonisch an das Unternehmen gewendet hat und durch das Vortäuschen falscher Tatsachen das Vertrauen der Telefonannahme gewinnen konnte. Die Unterschrift des Geschäftsführers konnte der Täter auf Basis eines Fotos aus der Lokalpresse nachahmen. Auf dem Pressebild ist ein großer Scheck abgebildet für eine Unternehmensspende an wohltätige Zwecke, durch Herrn Müller unterschrieben. Über die Firmenhomepage konnte der Angreifer seine Schlüsselperson inklusive E-Mail-Adresse identifizieren.

FAZIT

Social Engineering stellt eine große Herausforderung für die internen Kontrollsysteme in Unternehmen dar. Eine Sensibilisierung der Mitarbeiter durch Schulungen, IT-seitig vorgegebene Grenzen bei Finanztransaktionen sowie ein Vier-Augen-Prinzip bei allen wichtigen Geschäftsvorfällen stellen beispielhaft die möglichen Kontrollmechanismen dar, die zur Reduzierung der Risiken durch das Social Engineering geeignet sind. Bei der Beurteilung und Optimierung eines internen Kontrollsystems können neben externen Beratern auch Wirtschaftsprüfungsunternehmen Unterstützung leisten.

*Die Namen der Personen sind frei erfunden.

hCards

Logo von HLB Dr. Schumacher & Partner GmbH
HLB Dr. Schumacher & Partner GmbH, work: An der Apostelkirche 4, 48143 Münster, Deutschland, work: +49 (0) 2 51/28 08-0, fax: +49 (0) 2 51/28 08-280
Atikon
Atikon, work: Kornstraße 15, 4060 Leonding, Österreich, work: +43 732 611266 0, fax: +43 732 611266 20