ein Mann mit graumeliertem Bart und kurzem Haar und weissem Hemd sitzt vor einer Glaswand mit gelbem Vorhang

Social Engineering | Soziale Manipulation

Kennst du Franco Sicuro? Diese Frage stellt Marc-Etienne Cortesi, Chief Information Security Officer der Baloise, regelmässig uns Mitarbeitenden. Die Allermeisten sagen: Nein. “Das ist leider die bittere Wahrheit”, gibt Marc-Etienne zu. Franco Sicuro ist eine Kunstfigur, die in internen Erklärvideos über Cyberrisiken, z.B. über Social Engineering, informiert. “Ich würde mir wünschen, mehr Mitarbeitende würden das Thema ernst nehmen, nachlesen worum es geht und verstehen, dass wir alle potentielle Opfer sind. Es würde die Gefahren für jeden Einzelnen und letztlich für das Unternehmen minimieren.”

Social Engineering | Was ist das?

Final geht es um Angriffe auf technische Systeme, aber der Weg dorthin führt über uns Menschen. Wir sind die soziale Komponente und die Schwachstelle, die beim Social Engineering ausgenutzt wird. “Social Engineering ist ein entstehendes Berufsbild”, erklärt Marc-Etienne. “Der Job solcher Betrüger ist es z.B., Menschen anzurufen, sie über einen Vorwand in Gespräche zu verwickeln. Sie geben vor, Hilfe zu suchen und sprechen damit unsere Hilfsbereitschaft an. Sie setzen uns sozial unter Druck, bombardieren uns mit Fragen und versuchen so, an Informationen zu gelangen, die für den weiteren (technischen) Angriff genutzt werden können.” Im privaten Umfeld geht es darum, Passwörter abzufragen oder Kreditkarteninformationen zu erhalten. Im beruflichen Kontext geht es um wichtige Firmendaten. Damit lässt sich viel Geld machen.

Social Engineering | Beispiel

In einem der Cyber Security Erklärvideos der Baloise sehen wir einen Mitarbeitenden am Empfang. Ein vermeintlicher Besucher kommt auf ihn zu, gibt einen USB-Stick ab und sagt, den müsse wohl ein Mitarbeitender verloren haben. Der Kollege am Welcome Desk bedankt sich, steckt den Stick in seinen Rechner, um herauszufinden, wem er wohl gehört und lädt sich allein durch diesen Schritt einen Virus auf seinen Computer. Zu spät.

Auch Phishing Mails müssen in diesem Zusammenhang besprochen werden. Emails, die bspw. so aussehen, als würden sie von Freunden oder offiziellen Institutionen kommen, jedoch Fake sind. Emails, die einen vorangegangenen Austausch suggerieren zu spezifischen Transaktionen, den es nie gegeben hat. Öffnet man deren Links bzw. Attachments, wird das Firmennetzwerk mit „Malicious Software“ (jede Art störender oder schädlicher Software, die insgeheim bzw. ohne das Wissen des Benutzers auf ein Gerät zugreifen soll) infiziert oder mit s.g. Cryptolockern verschlüsselt und unbrauchbar gemacht.

Beim leisesten Verdacht: Help Desk informieren

“Wenn Mitarbeitende derartige Anrufe oder Emails erhalten bzw. Kontakte haben, wie in dem Video beschrieben, sollten sie sofort unseren Helpdesk kontaktieren. Die IT-Kollegen/Innen wissen, was in so einem Fall zu tun ist.” Marc-Etiennes Ton wird dringlicher. Korrektes Verhalten in Fällen von Social Engineering ist wichtig. “Wir möchten den Mitarbeitenden die Angst nehmen und sie bestärken, sich trotzdem zu melden, auch wenn sie einen Fehler gemacht haben. Fehler sind menschlich, aber rasch zu reagieren, ist im Fall von Cyberkriminalität umso entscheidender.” Stellen wir uns vor, einem Social Engineer ist es gelungen, wichtige Firmendaten abzugreifen oder ganze Server zu verschlüsseln. Damit machen sich Unternehmen erpressbar. Wieviel sind sie bereit, zu zahlen, um ihr Datenleck wieder zu schliessen bzw. ihre Rechner benutzen zu können? Das kriminelle Geschäft boomt.

Social Engineering | Wie verhalte ich mich richtig?

In seinen Videos gibt uns Franco Sicuro konkrete Verhaltensweisen mit auf den Weg für den Fall, dass uns eine Cyberattacke treffen sollte. Nehmen wir den Anruf. Da gilt es, ruhig zu bleiben, sich nicht unter Druck setzen zu lassen. Idealerweise unterbricht man die Fragenkette am anderen Ende der Leitung mit Gegenfragen. Kann ich eine Rückrufnummer haben? Wer sind Sie? Natürlich ist es auch immer möglich, kommentarlos aufzulegen. “Ich sage in so einem Fall z.B., dass ich kurz noch etwas erledigen muss”, grinst Marc-Etienne, “und lege den Hörer beiseite. Nach einer halben Stunde frage ich mal nach, ob derjenige noch dran ist.”

Cyberkriminalität | Aufmerksamkeit schaffen

“Es ist erstaunlich wie viele Menschen sich noch immer nicht der bestehenden Cyberrisiken bewusst sind. Wie oft wir Betrügern in die Falle tappen. Ich kann gar nicht genug mit meinen Themen hausieren gehen.” Regelmässig veranstalten Marc-Etienne und sein Team Cyber Security Tage und informieren über die Gefahren. “Das kommt sehr gut an bei den Mitarbeitenden und ist für viele ein absolutes Aha-Erlebnis. Wir öffnen ihnen die Augen und erfahren viel Dankbarkeit.” Grosse Unterstützung erhalten sie von den Digitalen Pfadfindern der Baloise. Mitarbeitende mit Affinität zu technischen Themen, die ebenfalls ihr Wissen weitergeben und aufklären. “Ohne ihre Hilfe könnten wir unsere Veranstaltungen gar nicht stattfinden lassen. Ein riesen Dankeschön.”

Baloise stellt sich den steigenden Risiken

Um den steigenden Risiken zu begegnen, investiert die Baloise zurzeit einiges. Neben zahlreichen Projekten zur Verbesserung des technischen Schutzes, wird auch Personal aufgebaut. “Gerade suchen wir einen Information Security Manager, der Ansprechpartner für sämtliche Sicherheitsfragen sein soll. Er unterstützt in Datenschutzbelangen und berät Projektteams bzw. Software-Entwickler rund um Risikothemen. Ein unheimliches spannendes Berufsbild, wie ich finde.”

Abschliessend: Es ist unangenehm, so schonungslos zu erfahren, wie vielen Bedrohungen jeder von uns permanent ausgesetzt ist, aber es beruhigt, zu wissen, dass die Baloise das Thema präsent hat, sich kümmert und Aufklärung betreibt.


Mehr Unternehmensgeschichten. Lies weiter!

Wir haben noch mehr spannende Jobs quer durch die Firma!