{"id":19814,"date":"2022-07-05T06:00:00","date_gmt":"2022-07-05T04:00:00","guid":{"rendered":"https:\/\/difue.de\/?p=19814"},"modified":"2022-07-04T17:20:23","modified_gmt":"2022-07-04T15:20:23","slug":"social-engineering-irgendwer-faellt-drauf-rein","status":"publish","type":"post","link":"https:\/\/difue.de\/en\/news\/gefahrenschutz\/social-engineering-irgendwer-faellt-drauf-rein\/","title":{"rendered":"Social Engineering: “Irgendwer f\u00e4llt immer drauf rein”"},"content":{"rendered":"
\t\n

Wer im Netz pers\u00f6nliche Daten oder sensible Informationen sch\u00fctzen will, macht mit einer Anti-Viren-Software und einer funktionierenden Firewall schon vieles richtig. Aber es gibt eine Schwachstelle in der IT-Sicherheit gegen die selbst der beste Virenschutz machtlos ist. Und das ist der Mensch. Sandra Balz von der Transferstelle IT-Sicherheit im Mittelstand (TISiM) spricht im DiF\u00fc-Podcast “D wie Digital” \u00fcber Social Engineering, Psycho-Tricks und wie wir uns alle dagegen wehren k\u00f6nnen. Hier ist das Interview zum Nachlesen.<\/em> <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

difue.de: Wenn wir von Hacker:innen reden, denken viele erst einmal an die Hacker:innen vor dem Computer, die mit Kapuze auf dem Kopf endlose Codezeilen tippen und sich so einen Zugang zu Netzwerken verschaffen wollen. Social Engineering ist aber eine andere Form des Hackens. Wie kann man sich das genau vorstellen?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Sandra Balz: Es ist wnicht mehr die oder der Hacker:in in der Kapuze im stillen K\u00e4mmerlein, sondern beim Social Engineering geht es wirklich darum, eine zwischenmenschliche Beeinflussung herbeizuf\u00fchren. Sprich: Man tritt als vermeintlich vertrauensw\u00fcrdig in Erscheinung und gibt sich beispielsweise gegen\u00fcber einem Unternehmen als eine Respektsperson oder Vorgesetzten aus. Social Engineerer nutzen also bewusst Vertrauen aus.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

K\u00f6nnen wir dann sagen, dass Social Engineerer so etwas wie Menschen-Hacker:innen sind?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Am Ende wollen sie nat\u00fcrlich pers\u00f6nliche Daten haben, beispielsweise Kreditkartendaten. Ich glaube, \u00e4ltere Menschen fallen \u00f6fter darauf rein. Ich sehe das oftmals, wenn meine Mutter sagt: “Ach, du arbeitest doch da und mir ist das jetzt aber auch passiert.” Hacker:innen, die Menschen hacken – ja, das trifft es gut.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ihre Mutter ist eine Privatperson. Viele Privatpersonen werden Opfer von Social Engineering und fallen auf Phishing<\/a>-Versuche rein. Aber das Thema ist nat\u00fcrlich auch in der Firmenwelt immer wieder gro\u00df. Haben Sie da vielleicht noch Beispiele aus der Praxis, wo so ein Hack-Versuch Erfolg gehabt hat?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ich nenne keine Namen, aber ich wei\u00df das von verschiedenen Stellen. Ich kenne den Fall, da hat sich jemand einfach ausgegeben als Mitarbeiter von Microsoft. Diese Person hat in einer Firma angerufen und gesagt, er br\u00e4uchte f\u00fcr eine Pr\u00fcfung sensible Daten. Der Mitarbeiter der Firma hat dann die sensiblen Daten rausgegeben. Und dann war es geschehen.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Sie selbst sind auf dem Gebiet Profi und fallen jetzt nicht so leicht darauf rein, viele andere Menschen hingegen schon. Was kann man leichter hacken: Menschen oder Computer?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ganz sicher den Menschen, denn der hat eher Vertrauen in das Gute. Und wenn man nicht ausreichend sensibilisiert ist, dann f\u00e4llt man einfach schnell drauf rein. Hacker:innen werden ja auch immer geschickter. Sie streuen ihre Nachrichten teilweise einfach in Masse und brauchen blo\u00df abzuwarten, bis jemand darauf reinf\u00e4llt. Man sagt da auch gerne: Das Problem sitzt vor dem Rechner und nicht dahinter.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Das hei\u00dft ganz platt gesagt, wenn ich 10.000 Anrufe mache oder 10.000 E-Mails verschicke, dann werden schon ein paar anbei\u00dfen.<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ja, das w\u00fcrde ich ganz definitiv so unterschreiben.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Was sind denn typische Strategien von Social Engineering? Ist das wirklich immer so eine massenhafte Streuung oder suchen sich diese menschlichen Hacker:innen ihre Ziele auch ganz bewusst aus?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n\n

\n\t
\n\t\t
\n\t\t\t
\n\n\t\t\t\t
\n\n\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t
Was ist Social Engineering?<\/div>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t

Hacker:innen setzen nicht nur auf Software-Sicherheitsl\u00fccken. Sie nutzen auch einfache psychologische Tricks, um uns hereinzulegen. Der englische Begriff daf\u00fcr ist Social Engineering<\/em> (soziale Manipulation). Eine verbreitete Methode ist beispielsweise das sogenannte Phishing oder auch Smishing. Dabei werden gef\u00e4lschte E-Mails oder SMS verschickt, um sensible Daten abzugreifen.<\/p>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t

<\/p>\n

Social Engineerer streuen zun\u00e4chst einfach sehr breit und schauen dann, wo es am besten funktioniert, um es weiter zu professionalisieren. Auch vor dem Hintergrund, dass sich einige Taktiken schnell abzunutzen.<\/p>\n

 <\/p>\n

Besonders oft hatten wir in der Coronazeit den Fall, dass Verbraucher:innen vermeintliche Nachrichten von DHL \u00fcber einen Paketversand erhielten. Da wurden bereits viele Menschen stutzig und haben den Link in der Mail nicht angeklickt, wenn sie nichts bestellt haben.<\/p>\n

 <\/p>\n

<\/p>\n

Irgendwer f\u00e4llt in der Regel aber dennoch darauf hinein, grunds\u00e4tzlich bleiben Social Engineerer in ihrer Strategie jedoch immer variabel und deshalb f\u00fcr alle Verbraucher:innen gef\u00e4hrlich.<\/p>\n

<\/p>\n\n\t\t\t\t<\/div>\n\n\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n<\/section>\n\n\n

\t\n

Gibt es eine klassische Masche oder Betrugsversuche, die im Moment besonders gern eingesetzt werden?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Der Klassiker sind Phishing-Versuche, also Fehlinformation per Mail dar\u00fcber, dass beispielsweise angeblich ein Passwort abl\u00e4uft oder sensible Daten best\u00e4tigt werden m\u00fcssen. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Social Engineerer geben sich dann als eine Bank oder als ein wirklich vertrauensw\u00fcrdiges Institut aus – per Mail, aber auch gerne am Telefon<\/a> und SMS<\/a>.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Also Social Engineerer muss ich also wahrscheinlich gar kein Computer-Profi sein, um Leute an der Nase herumzuf\u00fchren?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Nein, muss ich nicht. Es sind nicht die Hacker:innen, die im stillen K\u00e4mmerlein ellenlange Codes schreiben. Die gibt es im Kontext von Angriffen gegen\u00fcber Unternehmen auch. Aber beim Social Engineering sind die T\u00e4ter:innen nicht einmal sonderlich professionell. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Das ist gleichzeitig auch das Schlimme daran. Menschen fallen leider trotzdem darauf hinein, weil sie zu wenig sensibilisiert sind oder vielleicht auch manchmal Leichtsinn vorherrscht. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

H\u00e4ufig denken Nutzer:innen: “Was soll schon passieren?” Oder “Was hei\u00dft das? Mein Passwort ist kompromittiert?” Dann l\u00f6schen sie meist die entsprechende Mail. Aber das kann eigentlich nicht der dauerhafte Weg sein.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Spielen da auch psychologische Aspekte wie Hilfsbereitschaft oder das eigene Ego mit rein?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Mit charakterlichen Z\u00fcgen, die Menschen nun einmal haben, wird nat\u00fcrlich gespielt. Beispiel: Hierarchien in Unternehmen. Wenn ich eine vermeintliche Mail-Aufforderung von meinem Chef erhalte und diese glaubhaft ist, \u00fcberpr\u00fcfen Mitarbeiter:innen das gegebenenfalls nicht weiter – dabei kann die Mail eben auch gef\u00e4lscht sein.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Interessant ist in diesem Zusammenhang auch die Frage, ob die Gefahr im Home-Office oder im B\u00fcro h\u00f6her ist. Wir vermuten, dass Mitarbeitende im B\u00fcro doch noch einmal Kolleg:innen fragen, wenn ihnen Nachrichten verd\u00e4chtig vorkommen. Im Home-Office dagegen erfolgt diese schnelle R\u00fcckfrage \u00fcber den B\u00fcrotisch eben so nicht. Die H\u00fcrde zum Nachfragen ist h\u00f6her und kostet gegebenenfalls eine Extra-Mail, weshalb hier die Angriffsfl\u00e4che gr\u00f6\u00dfer sein k\u00f6nnte.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Haben Sie da auch Zahlen zu oder sind das eher Erfahrungswerte aus der Praxis?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Im Disinfo-Report<\/a> zeigt sich, dass mit der Zunahme von Home-Office nicht zwangsl\u00e4ufig auch die Bereitschaft steigt, um Sicherheitsvorkehrungen zu treffen. Das bewegt sich weiterhin auf unzureichendem Niveau. Das Verschl\u00fcsseln von E-Mails liegt etwa bei nur 35 Prozent.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Digitalisierung schreitet in Unternehmen voran, aber viele Firmen denken die Sicherheit nicht in gleichem Ma\u00dfe mit. Und Social Engineering betrifft ja nicht nur den privaten Bereich, sondern findet auch statt, wenn ich im Home-Office bin oder im B\u00fcro oder sonst wo.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Wie ist denn das in Unternehmen: Auf welcher Mitarbeitendenebene haben Social-Engineering-Versuche besonders gro\u00dfen Erfolg? Fallen auch die oberen F\u00fchrungsebenen, also die Chef:innen, auf simple Tricks herein?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Man findet auf allen Ebenen Einfallstore und ich glaube, man kann nicht sagen, dass die F\u00fchrungsebene da weniger Angriffsfl\u00e4che bietet oder dort weniger Risiko vorhanden ist.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Wen sehen Sie denn bei der Pr\u00e4vention in der Pflicht auf Unternehmensseite? Sind das die Arbeitnehmer:innen, die sich mehr mit dem Thema auseinandersetzen m\u00fcssen? Oder sind es die Arbeitgeber:innen, die ihre Mitarbeitenden schulen sollten?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ich sage es nahezu jeden Tag, wenn ich die Gelegenheit habe oder mit Unternehmen sprechen kann beziehungsweise mit Multiplikatoren: Wir m\u00fcssen die Verantwortlichen sensibilisieren. Der Gesch\u00e4ftsf\u00fchrer, der Inhaber oder der CEO muss f\u00fcr das Thema empf\u00e4nglich sein und die ersten Ma\u00dfnahmen einleiten. Das hei\u00dft im ersten Schritt, die Hilfestellungen nutzen, die von staatlicher Seite kostenfrei zur Verf\u00fcgung gestellt werden. <\/p>\n<\/div><\/div><\/div>\n\n\n

\n\t
\n\t\t
\n\t\t\t
\n\n\t\t\t\t
\n\n\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\n

Wer im Netz pers\u00f6nliche Daten oder sensible Informationen sch\u00fctzen will, macht mit einer Anti-Viren-Software und einer funktionierenden Firewall schon vieles richtig. Aber es gibt eine Schwachstelle in der IT-Sicherheit gegen die selbst der beste Virenschutz machtlos ist. Und das ist der Mensch. Sandra Balz von der Transferstelle IT-Sicherheit im Mittelstand (TISiM) spricht im DiF\u00fc-Podcast “D wie Digital” \u00fcber Social Engineering, Psycho-Tricks und wie wir uns alle dagegen wehren k\u00f6nnen. Hier ist das Interview zum Nachlesen.<\/em> <\/p>\n\n\n\n

difue.de: Wenn wir von Hacker:innen reden, denken viele erst einmal an die Hacker:innen vor dem Computer, die mit Kapuze auf dem Kopf endlose Codezeilen tippen und sich so einen Zugang zu Netzwerken verschaffen wollen. Social Engineering ist aber eine andere Form des Hackens. Wie kann man sich das genau vorstellen?<\/strong><\/p>\n\n\n\n

Sandra Balz: Es ist wnicht mehr die oder der Hacker:in in der Kapuze im stillen K\u00e4mmerlein, sondern beim Social Engineering geht es wirklich darum, eine zwischenmenschliche Beeinflussung herbeizuf\u00fchren. Sprich: Man tritt als vermeintlich vertrauensw\u00fcrdig in Erscheinung und gibt sich beispielsweise gegen\u00fcber einem Unternehmen als eine Respektsperson oder Vorgesetzten aus. Social Engineerer nutzen also bewusst Vertrauen aus.<\/p>\n\n\n\n

K\u00f6nnen wir dann sagen, dass Social Engineerer so etwas wie Menschen-Hacker:innen sind?<\/strong><\/p>\n\n\n\n

Am Ende wollen sie nat\u00fcrlich pers\u00f6nliche Daten haben, beispielsweise Kreditkartendaten. Ich glaube, \u00e4ltere Menschen fallen \u00f6fter darauf rein. Ich sehe das oftmals, wenn meine Mutter sagt: “Ach, du arbeitest doch da und mir ist das jetzt aber auch passiert.” Hacker:innen, die Menschen hacken – ja, das trifft es gut.<\/p>\n\n\n\n

Ihre Mutter ist eine Privatperson. Viele Privatpersonen werden Opfer von Social Engineering und fallen auf Phishing<\/a>-Versuche rein. Aber das Thema ist nat\u00fcrlich auch in der Firmenwelt immer wieder gro\u00df. Haben Sie da vielleicht noch Beispiele aus der Praxis, wo so ein Hack-Versuch Erfolg gehabt hat?<\/strong><\/p>\n\n\n\n

Ich nenne keine Namen, aber ich wei\u00df das von verschiedenen Stellen. Ich kenne den Fall, da hat sich jemand einfach ausgegeben als Mitarbeiter von Microsoft. Diese Person hat in einer Firma angerufen und gesagt, er br\u00e4uchte f\u00fcr eine Pr\u00fcfung sensible Daten. Der Mitarbeiter der Firma hat dann die sensiblen Daten rausgegeben. Und dann war es geschehen.<\/p>\n\n\n\n

Sie selbst sind auf dem Gebiet Profi und fallen jetzt nicht so leicht darauf rein, viele andere Menschen hingegen schon. Was kann man leichter hacken: Menschen oder Computer?<\/strong><\/p>\n\n\n\n

Ganz sicher den Menschen, denn der hat eher Vertrauen in das Gute. Und wenn man nicht ausreichend sensibilisiert ist, dann f\u00e4llt man einfach schnell drauf rein. Hacker:innen werden ja auch immer geschickter. Sie streuen ihre Nachrichten teilweise einfach in Masse und brauchen blo\u00df abzuwarten, bis jemand darauf reinf\u00e4llt. Man sagt da auch gerne: Das Problem sitzt vor dem Rechner und nicht dahinter.<\/p>\n\n\n\n

Das hei\u00dft ganz platt gesagt, wenn ich 10.000 Anrufe mache oder 10.000 E-Mails verschicke, dann werden schon ein paar anbei\u00dfen.<\/strong><\/p>\n\n\n\n

Ja, das w\u00fcrde ich ganz definitiv so unterschreiben.<\/p>\n\n\n\n

Was sind denn typische Strategien von Social Engineering? Ist das wirklich immer so eine massenhafte Streuung oder suchen sich diese menschlichen Hacker:innen ihre Ziele auch ganz bewusst aus?<\/strong><\/p>\n\n\n\n\n\n

Gibt es eine klassische Masche oder Betrugsversuche, die im Moment besonders gern eingesetzt werden?<\/strong><\/p>\n\n\n\n

Der Klassiker sind Phishing-Versuche, also Fehlinformation per Mail dar\u00fcber, dass beispielsweise angeblich ein Passwort abl\u00e4uft oder sensible Daten best\u00e4tigt werden m\u00fcssen. <\/p>\n\n\n\n

Social Engineerer geben sich dann als eine Bank oder als ein wirklich vertrauensw\u00fcrdiges Institut aus – per Mail, aber auch gerne am Telefon<\/a> und SMS<\/a>.<\/p>\n\n\n\n

Also Social Engineerer muss ich also wahrscheinlich gar kein Computer-Profi sein, um Leute an der Nase herumzuf\u00fchren?<\/strong><\/p>\n\n\n\n

Nein, muss ich nicht. Es sind nicht die Hacker:innen, die im stillen K\u00e4mmerlein ellenlange Codes schreiben. Die gibt es im Kontext von Angriffen gegen\u00fcber Unternehmen auch. Aber beim Social Engineering sind die T\u00e4ter:innen nicht einmal sonderlich professionell. <\/p>\n\n\n\n

Das ist gleichzeitig auch das Schlimme daran. Menschen fallen leider trotzdem darauf hinein, weil sie zu wenig sensibilisiert sind oder vielleicht auch manchmal Leichtsinn vorherrscht. <\/p>\n\n\n\n

H\u00e4ufig denken Nutzer:innen: “Was soll schon passieren?” Oder “Was hei\u00dft das? Mein Passwort ist kompromittiert?” Dann l\u00f6schen sie meist die entsprechende Mail. Aber das kann eigentlich nicht der dauerhafte Weg sein.<\/p>\n\n\n\n

Spielen da auch psychologische Aspekte wie Hilfsbereitschaft oder das eigene Ego mit rein?<\/strong><\/p>\n\n\n\n

Mit charakterlichen Z\u00fcgen, die Menschen nun einmal haben, wird nat\u00fcrlich gespielt. Beispiel: Hierarchien in Unternehmen. Wenn ich eine vermeintliche Mail-Aufforderung von meinem Chef erhalte und diese glaubhaft ist, \u00fcberpr\u00fcfen Mitarbeiter:innen das gegebenenfalls nicht weiter – dabei kann die Mail eben auch gef\u00e4lscht sein.<\/p>\n\n\n\n

Interessant ist in diesem Zusammenhang auch die Frage, ob die Gefahr im Home-Office oder im B\u00fcro h\u00f6her ist. Wir vermuten, dass Mitarbeitende im B\u00fcro doch noch einmal Kolleg:innen fragen, wenn ihnen Nachrichten verd\u00e4chtig vorkommen. Im Home-Office dagegen erfolgt diese schnelle R\u00fcckfrage \u00fcber den B\u00fcrotisch eben so nicht. Die H\u00fcrde zum Nachfragen ist h\u00f6her und kostet gegebenenfalls eine Extra-Mail, weshalb hier die Angriffsfl\u00e4che gr\u00f6\u00dfer sein k\u00f6nnte.<\/p>\n\n\n\n

Haben Sie da auch Zahlen zu oder sind das eher Erfahrungswerte aus der Praxis?<\/strong><\/p>\n\n\n\n

Im Disinfo-Report<\/a> zeigt sich, dass mit der Zunahme von Home-Office nicht zwangsl\u00e4ufig auch die Bereitschaft steigt, um Sicherheitsvorkehrungen zu treffen. Das bewegt sich weiterhin auf unzureichendem Niveau. Das Verschl\u00fcsseln von E-Mails liegt etwa bei nur 35 Prozent.<\/p>\n\n\n\n

Digitalisierung schreitet in Unternehmen voran, aber viele Firmen denken die Sicherheit nicht in gleichem Ma\u00dfe mit. Und Social Engineering betrifft ja nicht nur den privaten Bereich, sondern findet auch statt, wenn ich im Home-Office bin oder im B\u00fcro oder sonst wo.<\/p>\n\n\n\n

Wie ist denn das in Unternehmen: Auf welcher Mitarbeitendenebene haben Social-Engineering-Versuche besonders gro\u00dfen Erfolg? Fallen auch die oberen F\u00fchrungsebenen, also die Chef:innen, auf simple Tricks herein?<\/strong><\/p>\n\n\n\n

Man findet auf allen Ebenen Einfallstore und ich glaube, man kann nicht sagen, dass die F\u00fchrungsebene da weniger Angriffsfl\u00e4che bietet oder dort weniger Risiko vorhanden ist.<\/p>\n\n\n\n

Wen sehen Sie denn bei der Pr\u00e4vention in der Pflicht auf Unternehmensseite? Sind das die Arbeitnehmer:innen, die sich mehr mit dem Thema auseinandersetzen m\u00fcssen? Oder sind es die Arbeitgeber:innen, die ihre Mitarbeitenden schulen sollten?<\/strong><\/p>\n\n\n\n

Ich sage es nahezu jeden Tag, wenn ich die Gelegenheit habe oder mit Unternehmen sprechen kann beziehungsweise mit Multiplikatoren: Wir m\u00fcssen die Verantwortlichen sensibilisieren. Der Gesch\u00e4ftsf\u00fchrer, der Inhaber oder der CEO muss f\u00fcr das Thema empf\u00e4nglich sein und die ersten Ma\u00dfnahmen einleiten. Das hei\u00dft im ersten Schritt, die Hilfestellungen nutzen, die von staatlicher Seite kostenfrei zur Verf\u00fcgung gestellt werden. <\/p>\n\n\n\n\n\n

Nun wissen ja viele Menschen auch eigentlich, dass man etwas tun soll. Sie wissen, worauf es ankommt. Gute Passw\u00f6rter zum Beispiel. Warum halten sich denn viele trotzdem nicht an so ganz simple Vorsichtsma\u00dfnahmen?<\/strong><\/p>\n\n\n\n

Solange nicht etwas Gravierendes dabei passiert, bin ich da vielleicht auch ein St\u00fcck weit faul als Nutzer:in. Das sind manchmal auch ganz pragmatische Gr\u00fcnde: Ich habe als Verbraucher:in m\u00f6glicherweise lieber \u00fcberall ein Passwort<\/a>, dann kann ich es nicht vergessen und dann komme ich immer \u00fcberall rein. Mehrere Passw\u00f6rter? Das ist mir zu umst\u00e4ndlich und zu l\u00e4stig. <\/p>\n\n\n\n

Und vielleicht m\u00fcssen aber auch die Systeme noch einfacher gestaltet werden, gerade f\u00fcr KMU. Gemeint sind beispielsweise konkrete Services und einfache Anleitungen, die an die Hand gegeben werden.<\/p>\n\n\n\n

Vielleicht haben die Menschen auch Hemmungen nachzufragen, um sich selbst nicht die Bl\u00f6\u00dfe zu geben?<\/strong><\/p>\n\n\n\n

So kann es durchaus in Unternehmen ablaufen. Dort gibt es vielleicht einen Mitarbeitenden, der sich um die IT k\u00fcmmert. Der sorgt aber daf\u00fcr, dass da die Rechner stehen, dass es vielleicht noch eine Cloud-L\u00f6sung<\/a> gibt. Aber man kann das dieser Person auch nicht anlasten, dass sie wirklich intensiv die IT-Sicherheit beobachtet. <\/p>\n\n\n\n

Im privaten Bereich ist es vor allem die Angst davor, bei Fragen als unwissend abgestempelt zu werden. Das m\u00f6chte man nat\u00fcrlich nicht.<\/p>\n\n\n\n

Aber wir haben gute spielerische Ans\u00e4tze – bei uns in unserer TISiM-App<\/a>, aber auch vom Bundesministerium f\u00fcr Wirtschaft und Klimaschutz, wie BAK Game<\/a> oder das Projekt Alarm<\/a>.<\/p>\n\n\n\n\n\n

Wenn ich meine eigenen Kenntnisse oder meine eigenen Abwehrkr\u00e4fte gegen Social Engineering auf den Pr\u00fcfstand stellen m\u00f6chte – was ist da aus Ihrer Sicht die beste erste Anlaufstelle f\u00fcr mich?<\/strong><\/p>\n\n\n\n

Ich w\u00fcrde sagen: Erst einmal zu TISiM kommen und den Sec-O-Mat <\/a>durchlaufen. Wir bei TISiM komprimieren und b\u00fcndeln viele Angebote, sodass man nicht an f\u00fcnf verschiedenen Punkten ansetzen muss. <\/p>\n\n\n\n

Au\u00dferdem ist der DiF\u00fc eine gute Anlaufstelle, gerade f\u00fcr den zivilen Bereich, f\u00fcr junge Menschen bis Senioren. Daneben findet man beim Bundesamt f\u00fcr Sicherheit und Informationstechnik (BSI)<\/a> viele Materialien zum Mitnehmen.<\/p>\n\n\n\n

Was sind aus Ihrer Sicht die drei wichtigsten Erkenntnisse aus unserem Gespr\u00e4ch?<\/strong><\/p>\n\n\n\n

Die drei wichtigsten Erkenntnisse sind: <\/p>\n\n\n\n

  1. Kompetenzen muss man haben, um mit dem Thema IT-Sicherheit und Social Engineering umzugehen. Es gibt wirklich viele Stellen und Wege, um sich diese Kompetenzen einfach und mit wenig Zeitaufwand anzueignen. <\/li>
  2. Mit Blick auf die Unternehmen m\u00fcssen es die Verantwortlichen in die Hand nehmen. Die m\u00fcssen das Thema voranbringen und ihren Mitarbeitenden sagen: Da wollen wir jetzt besser werden.<\/li>
  3. Nicht nur Kompetenz besitzen, sondern vorsichtig sein und einfach eine gewisse Sensibilit\u00e4t entwickeln. Wenn einem etwas verd\u00e4chtig vorkommt, nochmal pr\u00fcfen und im Zweifel nicht scheuen zu fragen. Denn wenn die sensiblen Daten abgegriffen sind und mein Konto ist gepl\u00fcndert, dann kann ich es unter Umst\u00e4nden nicht mehr r\u00fcckg\u00e4ngig machen.<\/li><\/ol>\n\n\n