Täuschung und Datenklau
, Social Engineering: So schützen Sie sich vor Manipulation

Beim Social Engineering gelangen Kriminelle mit perfiden Tricks und Täuschungen an Ihre sensiblen Daten. So schützen Sie sich vor der Betrugsmasche.

Social Engineering
, Das Wichtigste in Kürze

  • Beim Social Engineering versuchen Kriminelle, durch gezielte zwischenmenschliche Manipulation an vertrauliche Informationen zu gelangen.
  • Um sich zu schützen, sollten Sie grundsätzlich keine sensiblen Daten wie Passwörter oder TANs weitergeben und bei ungewöhnlichen Anfragen vorsichtig sein.
  • Sind Sie Opfer von Cyber-Betrug geworden, sollten Sie sofort alle betroffenen Zugänge sperren, die entsprechenden Institutionen wie z.B. die Bank informieren und den Vorfall bei der Polizei anzeigen.

Definition
, Was ist Social Engineering?

Social Engineering bezeichnet eine Form von Betrug, bei der Kriminelle gezielt ihre Opfer manipulieren, um Zugang zu vertraulichen Informationen und damit zu Systemen zu bekommen. Statt technische Schwachstellen auszunutzen, setzen Angreifer auf zwischenmenschliche Beeinflussung – etwa durch das Ausnutzen von Hilfsbereitschaft, Vertrauen, Angst oder dem Respekt vor Autorität.

Ziel ist es, die betroffene Person dazu zu bringen, bestimmte Handlungen auszuführen. Beispielsweise werden sie gebeten, sensible Daten preiszugeben, um Sicherheitsmechanismen zu umgehen. Teilweise werden sie auch dazu gebracht, Überweisungen zu tätigen oder Schadsoftware auf ihrem privaten oder beruflichen Computer zu installieren.

Warum sind Social Engineering Angriffe so gefährlich?

Social Engineering zählt zu den größten Bedrohungen für die Cybersicherheit. Laut Studien ist die Mehrheit aller erfolgreichen Cyberangriffe auf Social-Engineering-Methoden zurückzuführen. Die Betrugsmasche ist zum einen so gefährlich, weil sie das menschliche Miteinander ausnutzt – für viele ist ein Angriff deshalb nur sehr schwer zu erkennen. Zum anderen kann Social Engineering enormen finanziellen Schaden anrichten, etwa wenn Kriminelle Zugriff auf Konten erhalten oder wenn eine Schadsoftware die Unternehmens-IT lahmlegt.

Über welche Kanäle erfolgen Social Engineering Angriffe?

Social Engineering ist kein neues Phänomen – die Betrugsmasche gibt es seit jeher. Heute stehen den Tätern jedoch eine Vielzahl an Kommunikationswegen zur Verfügung: Neben digitalen Kanälen wie E-Mail, Textnachrichten oder sozialen Netzwerken kommen auch klassische Kommunikationswege zum Einsatz, etwa das Telefon oder sogar der persönliche Kontakt an der Haustür.

Besonders bekannt ist der sogenannte Enkeltrick: Dabei geben sich Betrüger per Anruf oder Messenger-Dienst als nahe Angehörige in einer Notlage aus und fordern unter einem dringenden Vorwand Geld.

Welche Schäden können durch Social Engineering entstehen?

Social Engineering Angriffe können sowohl für Privatpersonen als auch für Unternehmen gravierende wirtschaftliche Folgen haben, unter anderem:

  • Finanzielle Verluste, wenn erlangte Kontoinformationen missbraucht werden, um Geld zu stehlen. Oder die Opfer werden dahingehend manipuliert, das Geld selbst an die Betrüger zu überweisen – in dem Glauben, das „Richtige“ zu tun.
  • Schäden an IT-Systemen, durch unbemerktes Einschleusen von Schadsoftware, die Daten verschlüsselt, stiehlt und missbraucht oder den Betrieb manipuliert.
  • Reputationsschäden bei Ihren Kunden durch gestohlene Kundendaten oder Vertrauensverlust nach Betrugsfällen.

Warnzeichen
, Was sind typische Social Engineering Angriffe?

Social Engineering ist ein Sammelbegriff für eine Vielzahl von Betrugsmaschen, bei denen Kriminelle gezielt menschliches Verhalten und Vertrauen ausnutzen. Die Methoden unterscheiden sich zwar im Detail, das Ziel bleibt jedoch immer gleich: Durch Täuschung und Manipulation bringen Täter ihre Opfer dazu, im guten Glauben vertrauliche Informationen preiszugeben oder bestimmte Handlungen auszuführen. Besonders häufig kommen dabei folgende Betrugsformen zum Einsatz:

Phishing

Phishing (von engl. „fishing” – „angeln”) ist die bekannteste und häufigste Form von Social Engineering. Dabei erhalten Opfer E-Mails oder SMS (dann auch Smishing genannt), die auf den ersten Blick vertrauenswürdig erscheinen. Die Nachrichten enthalten jedoch Links zu gefälschten Webseiten, auf denen Nutzer ihre Anmelde- oder Kontodaten eingeben sollen. Cyberkriminelle können diese Daten dann abgreifen und für illegale Aktivitäten verwenden.

Als Absender imitieren Cyberkriminelle meist bekannte Institutionen oder Banken, aber auch Ihnen vertraute Kunden oder Dienstleister. Viele Nutzer schöpfen zunächst keinen Verdacht, weil die Absenderadressen bis auf minimale Unterschiede genau so aussehen wie die bekannten Adressen der echten Unternehmen.

Anlagebetrug (Boiler-Room-Fraud)

Beim Anlagebetrug geben sich Kriminelle als seriöse Finanzberater oder Investmentexperten aus. In den meisten Fällen treten Täter über geschaltete Werbeanzeigen oder sogar direkt per Telefon mit ihren Opfern in Kontakt. Dabei wirken sie sehr professionell und überzeugend. Sie überreden die Opfer, in vermeintlich lukrative Finanzprodukte wie Wertpapiere oder Kryptowährungen zu investieren. Diese Produkte existieren jedoch in der Realität nicht oder sind völlig wertlos.

Um Vertrauen zu schaffen, nutzen die Betrüger täuschend echt wirkende Websites und Handelsplattformen, auf denen die Opfer scheinbare Gewinne einsehen können.

Wichtiger Hinweis: Die Commerzbank oder andere Banken erfragen niemals sensible Daten wie Online-Zugänge oder Karten-PINs per SMS oder Anruf von Ihnen.

Anruferbetrug

Beim Anruferbetrug erfinden Angreifer einen Vorwand und geben sich als jemand anderes aus, um an Informationen zu gelangen. So geben sich Betrüger am Telefon beispielsweise als angebliche Bankmitarbeiter aus, um sensible Daten wie PINs oder TANs zu erfragen – beispielsweise unter dem Vorwand einer erneuten Legitimation oder Aktualisierung der Kontodaten.

Es sind auch Fälle bekannt, in denen sich Kriminelle am Telefon als Polizisten oder Mitarbeitende einer Behörde ausgeben. Seien Sie auch bei Anrufen eines vermeintlichen Microsoft-Supports, der eine Sicherheitslücke schließen möchte, vorsichtig.

Baiting

Beim Baiting erfolgt der Angriff über eine externe Datenquelle, also zum Beispiel einen USB-Stick oder eine externe Festplatte. Personen erhalten sie zum Beispiel als Werbegeschenke und verbinden sie nichts ahnend mit ihrem Computer. Der Computer wird dadurch mit schädlicher Software (sogenannte „Malware”) infiziert.

Man spricht auch vom Pretexting (von engl. „pretext“ – „Vorwand“), wenn Angreifer eine falsche Identität annehmen oder einen erfundenen Grund vorgeben, um an Informationen zu kommen.

Love-Scam

In Online-Dating-Plattformen erschleichen sich Betrüger mit vorgetäuschter Liebe das Vertrauen der Opfer. Nach einiger Zeit bitten sie um Geld und in der Folge meist um immer mehr und höhere Geldsummen, etwa um die Familie zu unterstützen oder um eine Notsituation zu überbrücken. Mitarbeiter der Buchhaltung mit Berechtigungen für den Zahlungsverkehr könnten von Tätern gezielt ausspioniert werden, um sie dazu zu bringen, auch Unternehmensgelder an Betrüger zu überweisen.

Business E-Mail-Compromise (BEC) oder CEO-Fraud

Eine weitere Form von Social Engineering sind sogenannte BEC-Angriffe, bei denen Cyberkriminelle gezielt die geschäftliche E-Mail-Kommunikation manipulieren. Dabei geben sich die Täter per E-Mail häufig als Führungskraft („CEO-Fraud“) oder Lieferant aus, um Mitarbeitende – insbesondere in Buchhaltung oder Zahlungsabwicklung – dazu zu bringen, Überweisungen auf betrügerische Konten vorzunehmen oder vertrauliche Informationen preiszugeben.

Prävention
, 8 Tipps, wie Sie sich vor Social Engineering Attacken schützen

Mit Aufmerksamkeit und dem richtigen Wissen lassen sich Social Engineering Angriffe oft frühzeitig erkennen und abwehren. Die folgenden Tipps helfen Ihnen dabei, Ihr Risiko deutlich zu reduzieren:

Angriffsflächen minimieren durch Datensparsamkeit

Jeder kann Ziel eines Social Engineering Angriffs werden. Überlegen Sie, welche persönlichen Informationen über Sie online – auch über die Unternehmens-Webseiten – zugänglich sind und wie Angreifende dieses Wissen gegen Sie einsetzen könnten.

Niemals Zugangsdaten teilen

Geben Sie Passwörter, Zugangsdaten, Kontoinformationen oder ihre photoTAN-Grafik niemals per Telefon, E-Mail oder andere Messenger-Dienste weiter. Banken und seriöse Unternehmen fordern sensible Daten niemals auf diesen Wegen an.

Neue Kontakte hinterfragen

Seien Sie insbesondere in sozialen Netzwerken grundsätzlich skeptisch bei neuen Kontaktanfragen. Geben Sie dort keine sensiblen Informationen preis und prüfen Sie die Vertrauenswürdigkeit des Kontakts mithilfe öffentlich zugänglicher Informationen.

Unbekannte Absender prüfen

E-Mails oder Nachrichten von unbekannten – und selbst von bekannten – Absendern können gefährlich sein. Hinterfragen Sie immer den Inhalt, die Absicht und die Dringlichkeit einer unerwarteten E-Mail-Anfrage.

Privatsphäre-Einstellungen kontrollieren

Überprüfen Sie regelmäßig Ihre Privatsphäre-Einstellungen in sozialen Netzwerken. Achten Sie genau darauf, wer welche Informationen über Sie sehen kann, und beschränken Sie sensible Inhalte auf enge Kontakte.

Vorsicht bei zu guten Angeboten

Seien Sie misstrauisch gegenüber Angeboten, die zu gut klingen, um wahr zu sein. Oft steckt dahinter eine Masche, um an Ihre Daten zu kommen – etwa durch gefälschte Gewinnspiele oder besonders gute Anlageangebote.

Manipulation und Zeitdruck erkennen

Betrüger setzen beim Social Engineering häufig auf emotionale Erpressung oder behaupten, sofortiges Handeln sei nötig. Lassen Sie sich weder zeitlich noch emotional unter Druck setzen – weder von Privatpersonen noch von vermeintlich bekannten Unternehmen oder Behörden.

Wachsam bleiben

Hinterfragen Sie ungewöhnliche, überraschende oder dringende Anfragen – auch wenn sie vertrauenswürdig erscheinen. Vertrauen Sie im Zweifel Ihrem Bauchgefühl und handeln Sie nicht übereilt. Informieren Sie sich außerdem regelmäßig über aktuelle Betrugsmaschen zum Beispiel auf der Seite der Verbraucherzentrale.

Maßnahmen für Betroffene
, Social Engineering: So verhalten Sie sich im Ernstfall richtig

Wenn Sie glauben, Opfer eines Social Engineering Angriffs geworden zu sein, sollten Sie sofort handeln:

Bank kontaktieren: Je nachdem, welche Konten, Daten oder Zugänge betroffen sind, sollten Sie umgehend alle relevanten Institutionen kontaktieren und den Vorfall melden. Wenn beispielsweise Ihre Bankdaten betroffen sind, wenden Sie sich direkt an Ihre Bank.

Wenn Sie im Berufsalltag mit Social Engineering konfrontiert werden, wenden Sie sich direkt an die IT-Abteilung Ihres Arbeitgebers oder an einen Experten für Cybersicherheit.

Zugänge sperren: Wenn Sie bereits auf einen Phishing-Link in der Mail geklickt und Ihre Zugangsdaten zum Firmenkunden-Portal eingegeben haben, sperren Sie Ihren Onlinezugang:

Zugang zum Firmenkundenportal (Digital Banking) sperren
Melden Sie sich an und klicken Sie auf den Reiter „Meine Daten“ und dort auf „Zugang sperren“.

Am Telefon: Kontaktieren Sie Ihren Firmenkundenbetreuer bzw. rufen Sie unsere Firmenkunden-Hotline +49 69 1362 6360 (Montag – Freitag 8:00 – 18.00 Uhr) an.

Oder rufen Sie unsere Sperrhotline unter +49 69 5050 2786 an. Sie erreichen uns rund um die Uhr: 24 Stunden – 7 Tage – weltweit. Ihre Sperrung wird durch einen Mitarbeiter ausgeführt.

Corporate Card sperren

Girocard sperren

photoTAN sperren: Sie können Ihre photoTAN in unserem Digital Banking eigenständig sperren. Die Sperrung ist umgehend wirksam. Wir empfehlen Ihnen aus Sicherheitsgründen Ihr photoTAN-Verfahren in folgenden Fällen zu sperren: Wenn Sie Ihr Smartphone verloren oder verkauft haben oder Verdacht auf missbräuchliche Nutzung besteht.

Im Digital Banking:

  1. Melden Sie sich an, um zu Ihren TAN-Einstellungen zu gelangen.
  2. Klicken Sie auf den Reiter „Meine Daten“ und dort auf „photoTAN verwalten“.
  3. Klicken Sie dann auf „photoTAN sperren“ und dort auf den Button "Zugang sperren"

Hinweis: Sollten Sie mehrere Teilnehmernummern nutzen, führen Sie den Prozess separat für jede Teilnehmernummer wie oben beschrieben durch.

Am Telefon: Kontaktieren Sie Ihren Firmenkundenbetreuer bzw. rufen Sie unsere Firmenkunden-Hotline +49 69 1362 6360 (Montag – Freitag 8:00 – 18.00 Uhr) an.

Oder rufen Sie unsere Sperrhotline unter +49 69 5050 2786 an. Sie erreichen uns rund um die Uhr: 24 Stunden – 7 Tage – weltweit. Die Sperrung Ihrer photoTAN wird durch einen Mitarbeiter ausgeführt.

Anzeige erstatten:
Wenn Ihnen ein Schaden durch einen Social Engineering Angriff entstanden ist, sollten Sie Anzeige erstatten. Das geht entweder persönlich bei Ihrer örtlichen Polizeidienststelle oder bequem im Internet über die Online-Wache.

Die Commerzbank an Ihrer Seite
, Was tun wir für Ihre Sicherheit im Firmenkundenportal?

Höchste Sicherheitsstandards

Das Firmenkundenportal mit seinen verschiedenen Anwendungen wird regelmäßig von Sicherheitsteams getestet und in der Entwicklung geprüft bzw. weiterentwickelt.

Deaktivierung von betrügerischen Phishing-Seiten

Wir können nicht verhindern, dass eine Phishing-Mail in Ihrem Postfach landet. Wir sorgen jedoch für die Abschaltung der darin verlinkten gefälschten Webseiten ‒ meistens gelingt dies umgehend.

2-Faktor-Authentifizierung

Die Anmeldung im Online Portal wird mit Hilfe der 2-Faktor-Authentifizierung (2-FA) als zusätzliche Sicherheitsmaßnahme durchgeführt. Auch wenn Phishing damit nicht vollständig verhindert werden kann, dient es dem besseren Schutz Ihres Kontos.

Persönliche Beratung

Bei Fragen oder Sicherheitsbedenken wenden Sie sich bitte direkt an Ihren Firmenkundenbetreuer.

Weiterführende Informationen

Das könnte Sie auch interessieren

Zurück zu Cybersecurity für Unternehmen