Kundenservice vs. IT-Sicherheit

HACKER-GESCHICHTEN   ||   24.01.2025  ||   Episode #09

Kundenservice vs. IT-Sicherheit

Abonnieren

Listen on Apple
Listen on Spotify
Listen on Amazon Music
Watch on YouTube

Abonnieren

Listen on Apple
Listen on Spotify
Listen on Amazon Music
Watch on YouTube

Post von HackerFrei

Jede Woche ein neuer 5-Minuten-Tipp für die Sicherheit deines Unternehmens!

Shownotes

Freundlichkeit und guter Kundenservice sind das Aushängeschild vieler kleiner Unternehmen. Doch was passiert, wenn genau diese Hilfsbereitschaft ausgenutzt wird?

In dieser Episode tauchen wir ein in die Welt des Social Engineerings und zeigen, wie Hacker Vertrauen manipulieren, um sensible Informationen zu stehlen.

Checkliste downloaden

Hey, ich bin Frida

Ich freue mich, dass du hier bist und mir ein wenig deiner Zeit schenkst.

In diesem Podcast geht es um IT-Sicherheit. In jeder Folge erzähle ich dir eine Geschichte, einen Cyber-Krimi bei dem wir Internet-Betrügereien und Cyber-Angriffe mal genau beleuchten und Hackern über die Schulter schauen, um wirklich zu verstehen, welche Gefahren die Digitalisierung gerade für kleine Unternehmen mit sich bringt.

Mein Ziel ist es, dich zu unterhalten und dir gleichzeitig auf einfache und verständliche Art und Weise zu zeigen, welche Risiken im Internet lauern, aber vor allem wie du diese Gefahren sicher umgehen kannst. Ich möchte, dass du informiert bist, die Tricks der Hacker kennst und sie so erkennen kannst, bevor du zum Opfer wirst.

Tauche mit mir in die spannende Unterwelt des Internets ein und lerne, wie ein Hacker zu denken.

Transkript

Vor einigen Jahren hatte mein Vater alle Unterlagen zu seinem laufenden Handyvertrag verlegt. Sein Smartphone gab langsam den Geist auf und mein Vater wollte ein neues Handy bestellen.

Aber wir hatten keine Kundennummer, kein Passwort oder andere Informationen. Also rief ich die Telefongesellschaft (die wir alle kennen) an und erklärte der netten Dame an der Hotline das Problem.

Sie war sofort bereit, mir zu helfen.

Sie stellte mir ein paar Fragen:

  1. Name des Vertragspartners? – Ganz einfach!
  2. Adresse, auf die der Vertrag ausgestellt ist? – Hmm, schon schwieriger. Privatadresse oder Firmenadresse. Ich habe mich für die Firmenadresse entschieden, das macht mehr Sinn. Wenn man eine Unternehmen hat, läuft das Handy meistens über die Firma. Wieder richtig.
  3. Geburtsdatum? ok, Tag und Monat wusste ich sofort, Geburtsjahr… hätte ich vielleicht noch mal nachschauen sollen. Denn da war ich mir nicht sicher. Hand aufs Herz, weißt du auf Anhieb das Geburtsjahr deiner Eltern? Also wieder raten, ungefähr wusste ich es. Und die Antwort war falsch. Mist, es war das Geburtsjahr meiner Mutter. Beim dritten Versuch klappte es und die Dame war zufrieden.

Ich konnte tatsächlich ein neues Handy bestellen, die Kosten wurden vom angegebenen Konto abgebucht und alle Vertragsunterlagen sollten noch einmal an die Firmenadresse geschickt werden.

Ich änderte die Empfängeradresse des Handys auf meine Privatadresse, die nirgendwo bei der Telefongesellschaft hinterlegt war. Eine völlig neue, unbekannte Adresse. Und drei Tage später war das Handy da. Ich traf den Postboten im Flur, hinterließ eine unleserliche Unterschrift und verließ mit dem Handy das Haus, in dem ich damals wohnte.

Okay, warum erzähle ich das?

Was, wenn ich was Böses im Sinn gehabt hätte? Ich musste nur wenige persönliche Daten angeben und schon war ich im Besitz eines neuen iPhones.

Die nötigen Informationen hätte ich leicht von einer Social-Media-Seite bekommen können. Oder aus einer anderen Quelle im Internet. Denn diese Informationen sind sehr leicht über die meisten Menschen im Internet zu finden. Und ich musste nicht einmal das genaue Geburtsjahr wissen. Raten ging auch.

Ich hätte auch jemand völlig Fremdes sein können. Auf Social Media Informationen sammeln. Mein Glück mit der Geschichte der schussligen Eltern bei verschiedenen Hotlines versuchen, bis es funktioniert. Dann hätte ich irgendeine Adresse weit weg von zu Hause angegeben, ein Mehrfamilienhaus, in das man leicht hineinkommt. Am besten ein größeres, in dem man die Nachbarn nicht so gut kennt. Herausfinden, wann normalerweise die Post kommt, im Hausflur herumlungern, bis der Postbote erscheint, das Paket schnappen, abhauen… Tada, ein neues Handy!

Solche Angriffe nennt man Social-Engineering-Angriffe.

Sie kommen häufiger vor, als du denkst. Und sie sind ein wichtiger Teil deiner IT-Sicherheit. Denn Cyber-Attacken beginnen oft mit Social-Engineering-Angriffen.

Was ist Social Engineering?

Social Engineering ist eine Form von Manipulation. Ein Angreifer nutzt menschliche Verhaltensweisen aus, um dich so zu manipulieren, dass du z. B. private Informationen preisgibst oder Zugang zu einem Computersystem oder Wertgegenständen gewährst.

In der Cybersicherheit zielt Social Engineering darauf ab, Menschen dazu zu bringen, Sicherheitsmaßnahmen zu umgehen oder sensible Daten preiszugeben. Diese Methoden werden gerne von Hackern eingesetzt. Warum ein System kompliziert hacken, wenn man einfach fragen kann?

Angreifer nutzen verschiedene psychologische Tricks und Taktiken, um ihre Opfer zu täuschen und zu manipulieren.

Es wird eine Dringlichkeit erzeugt, die das Opfer zu einer schnellen und vielleicht unüberlegten Handlung veranlasst. Vielleicht erinnerst du dich an meinen Podcast über die Buchhändlerin, die auf eine Phishing-Mail hereingefallen ist. Auch hier wurde mit Dringlichkeit gespielt und so ein Druck aufgebaut, der dazu führte, dass sie Informationen preisgab, die sie bei längerem Nachdenken wahrscheinlich nicht preisgegeben hätte.

Aber auch der Aufbau von Vertrauen oder das Vortäuschen einer vertrauenswürdigen Person, sei es ein IT-Mitarbeiter, ein Kollege oder ein Kunde, kann Teil eines solchen Social Engineering-Angriffs sein.

Manchmal schüren die Angreifer auch Angst. Angst vor Datenverlust, vor dem Verlust des Arbeitsplatzes oder vor anderen negativen Konsequenzen, wenn nicht sofort gehandelt wird.

Die Möglichkeiten der Manipulation sind vielfältig und die Angreifer sind oft sehr gut darin, menschliche Schwächen auszunutzen und wissen genau, wann sie welche Knöpfe drücken müssen.

Das macht Social Engineering so gefährlich. Menschen sind von Natur aus hilfsbereit, vertrauensselig und können unter Druck Fehler machen.

Um wen geht’s heute?

Und um Social Engineering geht es in unserer heutigen Geschichte.

Es geht um Carolin. Sie arbeitet seit 7 Jahren in der Steuerkanzlei von Lena.

Lena hat sich vor über 10 Jahren mit ihrer eigenen Kanzlei selbstständig gemacht.

Mittlerweile beschäftigt sie 7 Mitarbeiter und ist in ihrer Region sehr beliebt. Lena legt großen Wert auf Freundlichkeit und Hilfsbereitschaft und erinnert ihre Mitarbeiter regelmäßig daran.

Schließlich hört sie immer wieder von Mandanten, dass gerade diese Bereitschaft, auch unbürokratisch und schnell zu helfen, das Hauptargument war, sich für Lenas Kanzlei zu entscheiden.

Anfragen werden oft einfach und unkompliziert am Telefon geklärt. Eigentlich ein ganz normaler Geschäftsablauf, wie ihn Tausende von Unternehmen täglich praktizieren.

Es ist Mai und Lena hat Urlaub. Seit Monaten hat sie sich darauf gefreut. Die letzte Zeit war stressig, wie jedes Jahr um diese Zeit, und so gönnt sie sich im Mai immer eine kleine Auszeit. Ihre Mitarbeiter haben die Kanzlei gut im Griff und wissen, dass sie Lena nur im Notfall stören.

Lena selbst macht sich keine Sorgen. Sie hat volles Vertrauen in ihre Mitarbeiter.

Angriff Opfer-Sicht

Ein verhängnisvoller Anruf

In der Kanzlei geht alles seinen gewohnten Gang. Carolin Schmidt, die seit sieben Jahren für Lena arbeitet, hat heute Telefondienst. Es ist ein ruhiger Tag, und sie ist gut gelaunt.

Als sie gerade ein paar Daten in Datev überprüft, klingelt das Telefon. Carolin hebt ab. Eine junge Frau stellt sich als Swantje Silas vor und erklärt, sie sei die Tochter eines Mandanten der Kanzlei, Herrn Silas.

Sie erklärt den Grund ihres Anrufs: Ihr Vater sei im Urlaub und sie wolle die Gehälter seiner Mitarbeiter überweisen. Leider habe sie keine Zugangsdaten für das Steuerprogramm, in dem die Lohnabrechnungen hinterlegt sind. Ihr Vater sei zudem nicht erreichbar.

Carolin erkennt, um welchen Kunden es geht. Herr Silas wird normalerweise von Lena betreut, aber Carolin hat ihn schon öfter getroffen. Sie fragt die Anruferin, ob ihr Vater im Urlaub gar nicht erreichbar sei. “Nein, da, wo er ist, ist der Empfang schlecht. Und er hat das Handy mit der Authentifizierungs-App mitgenommen. Und die Löhne müssen heute noch raus!”

Carolin merkt, dass die Frau am Telefon gestresst ist, und hat Mitleid. Gleichzeitig weiß sie nicht, was sie tun soll. Mit dem Zugang des Vaters kommt die Tochter nicht weiter, und ein neuer Zugang müsste erst eingerichtet werden. Darf sie das überhaupt?

Carolin beschließt, sich Rat bei einer Kollegin zu holen. Eigentlich würde sie gerne Lena anrufen, doch sie zögert, weil Lena im wohlverdienten Urlaub ist. Die Kollegin erinnert sich, dass Herr Silas tatsächlich eine Tochter erwähnt hat, die bei ihm arbeitet. Die Frau am Telefon klingt außerdem nett und glaubwürdig.

Carolin ist hin- und hergerissen. Soll sie der Tochter Zugang gewähren? Ihre Kollegin meint, es könne nicht viel passieren, schließlich seien solche Daten für Außenstehende kaum interessant. Aber ganz sicher ist sie sich auch nicht.

Der Stresspegel steigt.

Während sie mit der Kollegin spricht, klingelt erneut das Telefon. Wieder ist es die Tochter von Herrn Silas. Im Hintergrund hört Carolin Babygeschrei. Swantje entschuldigt sich und erklärt, dass sie unter Zeitdruck steht. Bald müsse sie ihre Kinder vom Kindergarten und der Schule abholen.

Die junge Frau klingt überfordert. Sie erzählt, dass ihr Vater normalerweise selbst alles regelt, auch im Urlaub. Doch diesmal habe er sich einen großen Traum erfüllt und sei nach Afrika geflogen. Sie habe ihm versprochen, sich um alles zu kümmern, aber nun sitze sie in der Klemme.

Carolin spürt den Druck. Swantje wirkt verzweifelt und betont, wie wichtig es sei, dass die Löhne heute noch überwiesen werden. Doch Carolin zögert. Sie kennt die Frau nicht persönlich. Einfach so Zugang zu sensiblen Daten zu gewähren, fühlt sich falsch an.

Swantje schildert weiter ihre Situation: Drei kleine Kinder, darunter ein 18 Monate altes Baby, das ständig weint. Sie liebe ihre Kinder, aber sie habe kaum Zeit, sich um die Gehälter zu kümmern. Ihr Vater sei nicht der Jüngste und die Arbeit mache ihm zu schaffen. Deshalb wolle sie ihm helfen, damit er im nächsten Urlaub wirklich abschalten könne.

Carolin fühlt sich hin- und hergerissen. Sie möchte helfen, aber das Risiko, jemandem Fremden Zugang zu sensiblen Daten zu geben, ist hoch. Swantje wirkt zwar ehrlich, doch Carolin spürt ein ungutes Gefühl.

Während Carolin versucht, sich einen klaren Kopf zu verschaffen, wird das Babygeschrei am Telefon immer lauter. Swantje bittet eindringlich um Hilfe. “Mein Vater wird sich sofort bei Ihnen melden, wenn er zurück ist”, versichert sie.

“Ich werde sehen, was ich tun kann, und mich noch vor Mittag bei Ihnen melden”, verspricht Carolin schließlich. Sie möchte der Frau helfen, braucht aber noch Zeit, um die Situation genau zu durchdenken.

Die Lösung

Carolin ist sich immer noch unsicher. Sie hat Zugriff auf die Programmregistrierung des Kunden und könnte der Tochter des Mandanten die Registrierungsnummer schicken, damit sie sich einen Zugang einrichten kann. Doch sie zögert.

Gerade klopft ihr Kollege Stefan an die Tür. “Hey Caro, kommst du heute Mittag mit uns essen?” “Oh ja, unbedingt! Ich freu mich schon die ganze Woche auf den Italiener.” Bevor er geht, hält Carolin ihn zurück und erzählt ihm von Swantje Silas und ihrem Anliegen. “Was soll ich machen?” Stefan überlegt kurz. “Das klingt heikel. Ich würde Lena anrufen. Klar, sie ist im Urlaub, aber in diesem Fall musst du sie fragen.”

Carolin greift zum Telefon und ruft ihre Chefin an. Lena meldet sich sofort: “Hallo Caro, alles okay?” Carolin erzählt von den Telefonaten mit Frau Silas. Lena hört aufmerksam zu und sagt: “Herr Silas hat tatsächlich eine Tochter namens Swantje. Und er ist gerade in Afrika – davon hat er immer geschwärmt.”

Carolin berichtet von der gestressten Frau mit den Kindern. Lena fragt nach deren Namen, und als Carolin antwortet, bestätigt sie: “Das stimmt alles. Herr Silas redet oft von seiner Familie. Woher sollte sie das alles wissen, wenn sie nicht seine Tochter ist? Ich bin sicher, es ist in Ordnung.” Sie fügt hinzu: “Ich hab jetzt einen Massagetermin und bin spät dran. Falls es ein Problem gibt, klären wir es mit Herrn Silas, wenn er zurück ist.”

Erleichtert richtet Carolin den Zugang ein und ruft Frau Silas an. Nach einer halben Stunde ist alles erledigt. Swantje ist überglücklich und bedankt sich mehrmals: “Ich hoffe, wir lernen uns bald persönlich kennen.”

Carolin legt auf und fühlt sich gut. Es war schön, helfen zu können.

HackerFrei Newsletter

Schütze dein Unternehmen
- 5 Minuten pro Woche!

Digitale Sicherheit hört sich kompliziert an? Das muss sie aber nicht sein!

Jede Woche bekommst du:

  • einen einfachen 5-Minuten-Tipp, der sofort umgesetzt werden kann
  • Schritt-für-Schritt-Anleitungen, die dich an die Hand nehmen
  • Tipps rund um IT-Sicherheit, den Schutz deiner WordPress-Seite und sichere Social Media Nutzung
  • Kein Fachchinesisch - alles leicht verständlich und auf den Punkt gebracht

Melde dich jetzt an und mach dein Unternehmen HackerFrei - eine Woche, ein Tipp, 5 Minuten.

Mit der Anmeldung zu meinem Newsletter erhältst du regelmäßig wertvolle Tipps sowie gelegentlich Informationen zu aktuellen Aktionen und Angeboten. Deine E-Mail-Adresse wird ausschließlich für den Versand des Newsletters verwendet. Du kannst dich jederzeit mit einem Klick über den Abmeldelink in jeder E-Mail abmelden oder mir eine formlose Nachricht senden. Für den Versand nutze ich die Plattform Brevo, an die deine angegebenen Daten zur Verarbeitung gemäß deren Datenschutzerklärung übermittelt werden. Weitere Informationen zur Datenverarbeitung findest du in meiner Datenschutzerklärung.

Angriff Hacker-Sicht

Warum Social Engineering?

Die meisten denken bei Hackern an Menschen, die vor Bildschirmen sitzen und ihre Tastaturen bearbeiten. Doch Social Engineering ist eine andere Art des Hackens, die es schon immer gab – das gezielte Täuschen und Manipulieren.

Betrüger wie sogenannte „Con-Artists“ oder „Scammer“ nutzen psychologische Tricks, um sich Vorteile zu verschaffen. Ob durch romantische Täuschungen wie beim „Romance-Scamming“ oder durch technische Anrufe wie beim „Microsoft-Scamming“ – immer steht die Manipulation im Vordergrund. Videos auf YouTube zeigen, wie viel Geld Opfer verlieren. Es ist erschreckend, wie geschickt Betrüger die Hilfsbereitschaft ihrer Opfer ausnutzen können.

Freundlichkeit

Und Freundlichkeit wurde schon immer gerne ausgenutzt.

Wie laufen die meisten Trickdiebstähle ab? Das Opfer wird nach dem Weg oder der Uhrzeit gefragt und so abgelenkt, dass es nicht merkt, dass es bestohlen wird. Und die Menschen helfen gerne. Selbst wenn sie den Weg nicht kennen, bleiben sie kurz stehen und erklären es. Sie wollen ja nicht unhöflich sein.

Ein anderes Beispiel: Wie komme ich am besten in ein eigentlich verschlossenes Gebäude, für das ich normalerweise eine Zugangskarte bräuchte? Ich packe mir die Arme voll und frage freundlich an der Tür, ob mir jemand aufmachen kann. Meistens klappt es.

Genauso ist es, wenn ich eine Hotline anrufe. Selbst wenn ich alle nötigen Informationen wie Kundennummer, richtige E-Mail-Adresse oder Passwort habe, probiere ich erst einmal aus, wie weit ich ohne diese Daten komme. Und das ist meistens ziemlich weit.

Wir wollen helfen! Das liegt in unserer Natur. Und gerade wenn es um Kunden geht, ist diese Freundlichkeit, diese Hilfsbereitschaft besonders wichtig.

Aber sie kann auch ein wahnsinniges Risiko sein, wenn sie ausgenutzt wird.

Viele Informationen im Internet

Wie ist das in unserer Geschichte passiert?

Die Hackerin in unserer Geschichte ist sehr gut darin, Informationen im Internet zu finden. Und zwar nicht die verbotenen, die irgendwo sind, wo sie eigentlich nicht hin darf.

Nein, sie nutzt nur die Informationen, die im Internet frei verfügbar sind. Das nennt man OSINT – Open Source Intelligence. Damit sind alle Daten gemeint, die im normalen, frei zugänglichen Internet zu finden sind.

Suchmaschinen, Webseiten und vor allem Social Media sind eine Goldgrube an Informationen. Informationen, die wir meist selbst und freiwillig ins Netz stellen.

Und genau das hat unsere Hackerin getan. Sie hat Informationen über Herrn Silas und seine Firma gesammelt.

Auch dafür gibt es übrigens Programme, die das Netz nach Stichworten durchforsten und diese Informationen wie in einer Mindmap zusammenstellen.

Unsere Hackerin wurde fündig. Auf der Website von Herrn Silas waren viele Informationen über ihn und seine Firma zu finden.

Aber seine Social-Media-Seiten gaben den Ausschlag. Dort teilte er viele private Dinge mit. So erfuhr die Hackerin, dass er sich einen lang gehegten Traum erfüllte und eine vierwöchige Reise durch Afrika plante. Er kündigte bereits an, dass der Handyempfang sehr schlecht sein wird und dass sich seine Freunde und Kunden bei Problemen direkt an die Firma wenden sollen.

Vor einem Jahr postete er ein Foto von sich und Lena beim Sommerfest der Kanzlei und schwärmte von der besten Steuerberaterin, die er je hatte.

Auch seine Tochter Swantje und ihre drei Kinder erwähnte er regelmäßig.

In einem Datev-Forum, in dem er sich mit seinem richtigen Namen angemeldet hatte, stellte er einige Fragen zur Einbindung seiner Bankkonten in sein Steuerprogramm. Dort erfuhr unsere Hackerin, dass er für seine Gehaltszahlungen eine Funktion nutzt, die sie ausnutzen könnte.

Er erstellt die Überweisungen in seinem Steuerprogramm und sendet sie elektronisch an seine Bank. Anschließend schickt er eine von ihm unterschriebene Begleitbestätigung in Papierform, die dann die Überweisungen auslöst. Das klingt vielversprechend.

Zumal er auf seiner ‘Über mich’-Seite seine Unterschrift als Grafik am Ende der Seite eingebunden hat.

Der perfekte Plan

Die Hackerin wartet, bis Herr Silas im Urlaub ist. Sie kontaktiert Carolin in der Kanzlei und nutzt einen weiteren Vorteil: Lenas Abwesenheit.

Die Telefonmasche ist bis ins kleinste Detail durchdacht. Sie baut Vertrauen auf, sie erzeugt Mitleid. Und sie betont immer wieder die Dringlichkeit der Angelegenheit und erzeugt damit Druck auf Carolin. Hintergrundgeräusche wie Babygeschrei aus einem YouTube-Video untermalen dabei ihre Geschichte.

Mithilfe einer gefälschten Telefonnummer, die die Vorwahl der Stadt von Herrn Silas anzeigt, wirkt sie noch glaubwürdiger.

Ja, unsere Hackerin ist ein echter Profi, wenn es um Social Engineering und solche Anrufe geht.

Kein Wunder, dass sie ihr Ziel in weniger als zwei Stunden erreicht hat. Carolin richtet einen Zugang zum Steuerprogramm ein und die Hackerin kann auf alles zugreifen.

Sie macht sich direkt an die Arbeit!

Sie lädt sensible Daten herunter – Kundendaten, Finanzberichte, Steuerunterlagen. Diese Informationen haben enormen Wert, nicht nur für Identitätsdiebstahl, sondern auch für eine mögliche Erpressung. Herr Silas und seine Kunden hätten große Probleme, wenn diese Daten publik würden.

Mit wenigen Klicks ändert die Hackerin Kontodaten und leitet Geldüberweisungen in Höhe von knapp 40.000€ auf eigene Konten um. Von dort aus transferiert sie die Beträge schnell weiter, investiert in Kryptowährungen und macht das Geld so schwer auffindbar.

An diesem Abend lehnt sie sich lächelnd zurück. Für sie war es ein erfolgreicher Tag!

Ausgang der Geschichte

Einige Tage nach dem Telefonat mit der angeblichen Swantje Silas ruft Herr Silas sehr aufgeregt in der Kanzlei an. Er befinde sich noch im Urlaub in Afrika, habe aber von seiner Firma die Nachricht erhalten, dass von seinem Konto 40.000 € auf fremde Auslandskonten überwiesen worden seien.

Seine Mitarbeiter können sich das nicht erklären.

Da die Überweisungen aber anscheinend aus der Steuersoftware heraus getätigt wurden, möchte er nun wissen, ob es sich um ein Missverständnis handeln kann.

Schließlich hat außer ihm und seinen beiden besten Mitarbeitern niemand Zugriff auf das Programm. Und für die legt er seine Hand ins Feuer.

Carolins Kollegin, die den Anruf entgegennimmt, erinnert sich an Carolins Gespräch mit der vermeintlichen Tochter. Ihr rutscht das Herz in die Hose. Haben sie einen Fehler gemacht?

Bevor sie etwas Falsches sagt, sagt sie erst einmal gar nichts. Erst mit Carolin sprechen und am besten auch mit Lena. Sie erklärt Herrn Silas, dass sie seinen Fall nicht kennt. Sie wird aber sofort ihre Kollegin informieren, die sich dann so schnell wie möglich bei ihm melden wird.

Aufgeregt rennt sie in Carolins Büro und erzählt ihr von dem Anruf. Carolin wird ganz blass. “Oh mein Gott, kann das mit dem neuen Zugang zu tun haben, den ich angelegt habe?”

Gemeinsam beschließen sie, Lena anzurufen. Nachdem sie Lena alles erzählt haben, herrscht erst einmal Stille. Lena ist schockiert, versucht aber Carolin zu beruhigen. “Es ist nicht deine Schuld. Ich habe dir doch gesagt, dass du den neuen Zugang legen sollst. Es hat einfach alles gepasst.”

Lena muss erst einmal überlegen, was sie jetzt macht. Sie verspricht, sich wieder zu melden und legt auf.

Carolin und die anderen Kolleginnen und Kollegen versuchen weiter zu arbeiten, aber die Stimmung im Büro ist sehr gedrückt.

Am Nachmittag ruft Lena noch einmal an. Sie hat ihren Urlaub abgebrochen und ist auf dem Weg nach Hause. Sie hat bereits mit Herrn Silas gesprochen und ihm die Situation erklärt.

Er war sehr geschockt! Er konnte ausschließen, dass seine Tochter am Telefon war.

“Aber woher hat jemand all diese Informationen? Das verstehe ich nicht. Die Anruferin kannte unsere Namen, wusste, dass ich im Urlaub und schwer zu erreichen bin. Und warum ich? Woher wusste sie, dass sie Geld aus dem Programm überweisen kann?”

Er ist mehr als verwirrt und will der Sache nachgehen und auch seine Mitarbeiter darauf ansetzen. Auch Lena verspricht, morgen im Büro weiter nach Informationen zu suchen.

Ein paar Informationen zu viel.

Zwei Wochen später treffen sich Herr Silas und Lena in ihrer Kanzlei. Er hat einen IT-Sicherheitsexperten mitgebracht, der herausfinden soll, wie es zu dem Angriff kommen konnte.

Und der wird fündig. Er hat mehrere Screenshots mit den Informationen, die Herr Silas gepostet hat.

Herr Silas hat die Konsequenzen gezogen und sein privates Social Media Profil so eingestellt, dass nur noch seine Freunde seine Posts lesen können. Und dann hat er seine Freundesliste aufgeräumt und alle rausgeschmissen, die er nicht kannte. Und das waren einige.

Er wird nie wieder so offen Informationen im Internet teilen.

Auch Lena hat sich mit ihren Kollegen zusammengesetzt und überlegt, wie sie solche Angriffe in Zukunft verhindern können.

Nächste Woche haben sie erst einmal ein gemeinsames Seminar zu diesem Thema und hoffen, dort noch ein paar gute Tipps zu bekommen.

Außerdem hat Lena Herrn Silas angeboten, ihm einen Teil des Geldes zurückzugeben. Das hat er aber abgelehnt. Er ist sich bewusst, dass sie beide Opfer eines Betrugs geworden sind und dass er einen Fehler gemacht hat, als er leichtfertig private Informationen preisgegeben hat.

Learnings

Du als Mensch wirst immer eines der schwächsten Glieder in deiner IT-Sicherheitskette sein. Manchmal bist du gestresst und unaufmerksam, manchmal bist du dir der Gefahr gar nicht bewusst oder vielleicht wirst du auch Opfer einer ganz gemeinen Manipulation. Dasselbe gilt für deine Mitarbeiterinnen und Mitarbeiter.

Social Engineering spielt oft mit ganz typischen menschlichen, psychologischen Reaktionen. Es wird Angst gemacht, Druck ausgeübt oder, wie in diesem Beispiel, auf Vertrautheit gesetzt. In solchen Situationen richtig zu reagieren, kann sehr schwierig sein, besonders wenn man wie hier zwischen den Stühlen Kundenservice und Sicherheit sitzt.

Wenn du, wie in diesem Beispiel, Zugang zu persönlichen Informationen gewährst, läufst du Gefahr, einem Angreifer auf den Leim zu gehen und in große Schwierigkeiten zu geraten. Wenn du es nicht tust, verlierst du vielleicht einen Kunden und gerätst in den Ruf, unflexibel zu sein, nicht zu helfen und deine Kunden in der Not im Stich zu lassen.

Ein echtes Dilemma. Deshalb ist es wichtig, solche Situationen im Voraus zu bedenken.

Unter Druck

Gerade bei einem Telefonanruf muss man sehr schnell reagieren. Das macht die Situation noch schwieriger. Denn du hast keine Zeit, nachzudenken und alle Möglichkeiten durchzuspielen oder Sicherheitsvorkehrungen für solche Situationen zu finden. Du stehst unter Druck! Und gerade wenn man sich noch nie mit solchen Szenarien beschäftigt hat, ist es so schwer, hier die richtigen Entscheidungen zu treffen.

Bewusstsein

Das ist es, was wir in der IT-Sicherheit “Awareness” nennen. “Aufmerksamkeit” oder “Bewusstsein”. Also ein Bewusstsein für die Dinge, die passieren können. Am besten mit den richtigen Strategien, wie man in einer solchen Situation reagiert. Aber um diese Strategien anwenden zu können, muss man sich erst einmal der Gefahren bewusst sein, die da draußen lauern.

Social Engineering hat viele Formen.

Social Engineering kommt in vielen Varianten und Formen vor. Von Phishing-E-Mails über Telefonanrufe bis hin zu persönlichen Treffen. Die Angreifer lassen sich immer etwas Neues einfallen, um zu bekommen, was sie wollen.

Stell dir vor, ich rufe dich an und erkläre dir, dass ich von der IT-Abteilung deines Buchhaltungsprogramms bin. Ich erkläre dir, dass es ein ernsthaftes Problem mit deinem Konto gibt. Es besteht die Gefahr, dass du deine Umsatzsteuererklärung nicht einreichen kannst. Im schlimmsten Fall verlierst du alle in deinem Programm gespeicherten Daten. Aber ich kann dir helfen, ich brauche nur deine Zugangsdaten und dann können wir das Problem gemeinsam am Telefon lösen. Wozu brauche ich diese Zugangsdaten? Viele Unternehmer haben ihr Bankkonto mit diesen Programmen verknüpft. Das würde mir vielleicht helfen, andere schlimme Dinge zu tun. Es ist nämlich sehr wahrscheinlich, dass das Passwort für dieses wichtige Programm dasselbe ist wie für andere Anwendungen, z. B. dein E-Mail-Konto oder dein Online-Banking. Wenn dein Passwort dasselbe ist wie für dein E-Mail-Konto (oder auch nur sehr ähnlich), kann ich dein E-Mail-Konto knacken und dich theoretisch von all deinen anderen Konten ausschließen und sie übernehmen. Oder deine Webseite übernehmen, oder, oder, oder… Es gibt viele Möglichkeiten!

IT-Sicherheit besteht nicht nur aus technisch komplizierten Angriffen. Manchmal sind es auch nur kleine Betrügereien, um ein bisschen Geld zu machen. Oder diese Social-Engineering-Angriffe sind nur der Anfang, um an Zugangsdaten oder andere wichtige Informationen zu kommen, um einen Angriff gegen dich oder jemand anderen zu starten. Dabei musst du nicht einmal das eigentliche Ziel sein, sondern vielleicht deine Kunden oder sogar die Firma, die mit dir einen Webserver bei deinem Hosting-Provider teilt. Ja, auch das ist schon vorgekommen.

Aber was kann man tun?

Schauen wir uns den aktuellen Fall an. Eine Lösung wäre natürlich, so etwas nicht zu tun und überhaupt nichts per Telefon oder E-Mail herauszugeben. Aber das ist nicht wirklich realistisch. Denn selbst wenn man die Regel herausgibt und den Ärger der Kunden und Kundinnen für mehr Sicherheit in Kauf nimmt: Wer sagt, dass nicht die eine super nette Mitarbeiterin, die immer das Gute im Menschen sieht, bei einer guten Geschichte umkippt und Informationen verschickt oder einen Zugang einrichtet? Man könnte auch über eine technische Lösung nachdenken. Aber das ist für kleine Unternehmen einfach zu teuer und zu aufwändig.

Wie wäre es aber, wenn das Steuerbüro für solche Fälle vorgesorgt und mit jedem Kunden ein individuelles Passwort vereinbart hätte? So etwas Einfaches wie Blume oder Ferrari. Dann hätte Herr Silas als Kunde das natürlich gewusst und vielleicht schon seiner Tochter das Passwort verraten. Oder Carolin hätte am Telefon eine gute Ausrede gehabt, um keinen Zugang einzurichten. Das ist natürlich keine 100%ige Sicherheit, aber wie bei der 2FA ein zusätzlicher Schutz, der Social Engineering Angriffe etwas erschwert.

Ein Anruf bei der Firma von Herrn Silas hätte auch Klarheit gebracht. Als Kunde wäre ich in einer solchen Situation dankbar, dass man sich so um meine Sicherheit kümmert.

Sei vorbereitet!

Es gibt viele Informationen zum Thema Social Engineering. Ich habe dir auf meiner Website ein kleines PDF mit den wichtigsten Informationen zu diesen Angriffen zusammengestellt. Das kannst du dir neben den Bildschirm legen, um im Ernstfall vorbereitet zu sein. Das PDF kannst du ganz einfach auf der Seite zur heutigen Folge kostenlos herunterladen.

Ja, es ist wichtig, sich mit dem Thema zu beschäftigen. Aber wie gesagt, die wirklichen Angriffe sind oft anders als in den Beispielen und in der jeweiligen Situation muss man oft schnell reagieren. Und unter Druck reagieren wir oft anders, als wenn wir uns die Zeit genommen hätten, darüber nachzudenken.

Lege dir also Strategien zurecht, die du immer dann anwenden kannst, wenn du dir nicht sicher bist, was du tun sollst.

1) Zeit gewinnen

Du weißt nicht mehr weiter, wirst vielleicht am Telefon unter Druck gesetzt, hast aber ein ungutes Gefühl? Verlasse die Situation!

Sag, du bist nicht im Büro. Oder du hast gerade einen Kunden zu Besuch. Oder lass ein anderes Telefon klingeln und simuliere einen wichtigen Anruf deines Kindes oder eines Kollegen.

Lass dir etwas einfallen, warum du gerade nicht handeln kannst. Am besten denkst du dir vorher ein paar Ausreden aus, um sie im Notfall parat zu haben.

Das gibt dir die Möglichkeit, die Situation mit etwas Abstand zu betrachten und zu bewerten, wenn du nicht emotional mittendrin bist.

Du kannst auch ein bisschen recherchieren. Ruf direkt bei dem betreffenden Unternehmen an und erkundige dich nach dem angeblichen Mitarbeiter oder Familienmitglied. Google die Situation und finde heraus, ob andere ähnliche Erfahrungen gemacht haben.

2) Oberste Grundregel: Nicht aus der Hüfte schießen.

Wenn du etwas aus diesem Podcast mitnehmen kannst, dann, dass du über Social Engineering und Situationen wie diese nachdenken solltest. Welche wichtigen Daten hast du – deine eigenen und die deiner Kunden? Wie könnte man dich und dein Unternehmen betrügen? Wie würdest du in einer solchen Situation reagieren, cool und gelassen oder eher nervös und unsicher? Sich solche Fragen zu stellen, hilft dir, im Ernstfall nicht völlig unvorbereitet zu sein. Wenn du ein paar Ausreden parat hast und dir schon einmal Gedanken über einen solchen betrügerischen Anruf gemacht hast, wirst du in einer solchen Situation viel überlegter reagieren. Es fehlt der Überraschungseffekt, auf den die Betrüger setzen.

Lass dich nicht unter Druck setzen. Kein Account wird innerhalb einer Stunde gelöscht und keine Daten werden einfach so gelöscht. Und auch wenn es dir leid tut: Wenn ein Unternehmer vergessen hat, Vorkehrungen zu treffen, zum Beispiel Löhne zu überweisen, ist das erst einmal nicht dein Problem. So hart das klingt.

3) Lass dich nicht einwickeln.

Es gibt immer wieder Situationen, in denen einem der andere richtig leid tut und man am liebsten sofort helfen möchte. Und ich sage ganz ehrlich: Ich würde auch lieber in einer Welt leben, in der man das bedenkenlos tun kann.

Aber leider gibt es immer Menschen, die das ausnutzen. Deshalb muss man zumindest ein bisschen misstrauisch sein und vor allem die Situation aus der eigenen Perspektive betrachten.

Könnte ich Probleme bekommen, wenn ich das jetzt mache? Dann schiebe es notfalls auf etwas anderes: Du würdest wirklich gerne helfen, aber das geht jetzt nicht so schnell, weil… x, y, z.

Und seien wir ehrlich: Jemand, der wirklich dringend deine Hilfe braucht, wird kein Problem damit haben, wenn du vorher noch einmal nachfragst oder etwas abklärst.

Mitarbeiter schulen

Wenn du Mitarbeiter hast, schule sie in diesem Bereich.

Deine Mitarbeiter sind sozusagen die Firewall deines Unternehmens. Die Sicherheit steht und fällt oft mit ihnen.

Zögere nicht, Regeln aufzustellen: Am Telefon dürfen bestimmte Daten nie ohne deine Zustimmung weitergegeben werden. Oder Anhänge von E-Mails fremder Absender dürfen nie geöffnet werden, ohne dass sie von einem Virenschutzprogramm geprüft wurden.

So haben deine Mitarbeiterinnen und Mitarbeiter klare Vorgaben, müssen nichts spontan selbst entscheiden und können es notfalls auf den Chef schieben. Und du weißt, dass du in schwierigen Situationen einbezogen wirst und mitentscheiden kannst.

Jeder Betrieb ist anders und hat andere Anforderungen, sensible Daten und Arbeitsweisen. Überlege dir, was für deinen Betrieb wichtig ist. Welche Daten sind besonders schützenswert? Welche Risiken sind in deinem Bereich, in deiner Branche besonders hoch?

Und dann passe deine Arbeitsabläufe und die Arbeitsweise deiner Mitarbeiterinnen und Mitarbeiter daran an.

Was sagen die Kunden?

Meine Erfahrung ist, dass sie oft nicht viel über die Gefahren wissen, die auf sie lauern.

Mein Rat: Kläre sie auf.

Erkläre ihnen genau, warum du jetzt Passwörter für telefonische Anfragen einführst. Oder warum du in Zukunft bestimmte Anfragen vorher kurz abklären musst und eventuell noch einmal beim Chef anrufst, wenn eine neue Mitarbeiterin eine Auskunft haben möchte.

Die meisten Kundinnen und Kunden von sind von einem solchen Vorgehen eher positiv überrascht. Denn sie erfahren von dir, dass dir ihre Sicherheit wichtig ist und du dir im Vorfeld Gedanken darüber gemacht hast, dass keine Kundeninformationen in falsche Hände geraten.

Fazit

Letztendlich ist es natürlich immer eine Gratwanderung zwischen gutem Kundenservice und der Sicherheit aller Beteiligten.

Es ist also eine Nutzen-Risiko-Abwägung, die du für die verschiedenen Bereiche deines Unternehmens treffen musst.
Nicht zu viel, um die Arbeitsabläufe völlig außer Kontrolle geraten zu lassen, aber genug, um zumindest die meisten Angriffe oder Betrügereien abzuwehren.

Wenn du mehr über Social Engineering erfahren möchtest, habe ich dir oben eine Checkliste zusammengestellt. Eine Übersicht über die wichtigsten Punkte und eine Notfallliste, die du am besten neben deinen Computer legst.

Lade sie jetzt herunter.

Und wenn du Fragen hast, schreibe mir eine Nachricht oder eine DM auf Instagram.

In diesem Sinne wünsche ich dir einen schönen Tag und hoffe, wir sehen uns nächste Woche wieder.

Alles Liebe, Frida

Abonnieren

Listen on Apple
Listen on Spotify
Listen on Amazon Music
Watch on YouTube

Abonnieren

Listen on Apple
Listen on Spotify
Listen on Amazon Music
Watch on YouTube
Frida von HackerFrei

Hey, ich bin Frida, dein Podcast-Host bei den Hacker-Geschichten.

Wenn du Fragen oder Anregungen hast, schreibe mir gerne eine Nachricht!

Zum Schluss noch eine kleine Bitte: Wenn dir der Podcast gefallen hat, abonniere ihn und hinterlasse mir eine Bewertung. Und teile ihn gerne mit deinen Freunden.

IT-Sicherheit ist leider immer noch ein Thema, vor dem die meisten Menschen Berührungsängste haben und es deshalb meiden. Es ist ihnen zu abstrakt. Doch solange sie nicht wissen, worauf sie beim Surfen, Online-Shopping oder bei der Nutzung von Online-Diensten und Apps achten müssen, haben Hacker und Betrüger leichtes Spiel.

Hilf mit, das Internet ein Stück sicherer zu machen und dich und dein Unternehmen besser zu schützen.

Music

Everything will be fine – Onoychenkomusic

Background Accoustic Calm​ – Onoychenkomusic