Social Engineering. 
Wenn der Mensch zur Schwachstelle wird.

Durch die zunehmende Vernetzung der Wirtschaft sind Unternehmen vermehrt anfällig für Cyberattacken. Die Methoden der Cyberkriminellen werden dabei immer perfider und zielen verstärkt auf das Vertrauen von Mitarbeitenden – Stichwort Social Engineering. Mit der neuen Cyber Crime-Zusatzdeckung der Allianz Suisse können sich KMU gegen Risiken, die in Zusammenhang mit Identitätsmissbrauch stehen, absichern.

Die Welt wird immer vernetzter: Bis zum Jahr 2020 werden 50 Milliarden Geräte mit dem «Internet of Things» vernetzt sein. Vom Kühlschrank über Radio und Fernsehen bis hin zum Auto. Das sind riesige Chancen.

Wo Chancen sind, sind jedoch meistens auch Risiken nicht weit. Cyberattacken, Datendiebstähle, Datenbetrug und Systemausfälle sind nur einige Beispiele für reale Bedrohungen durch die Digitalisierung, von denen Unternehmen und Privatpersonen immer stärker betroffen sind. So betragen die Kosten für Schäden, die weltweit durch Cyberattacken entstehen, nach Schätzungen von Experten bereits mehr als 500 Milliarden Dollar. Offenbar ein lukratives Geschäft für die Internetkriminellen, deren Methoden immer perfider werden.

Unternehmen fokussieren sich meistens auf den Schutz vor spezifischen Hacker-Angriffen, die auf das Firmennetzwerk zielen wie etwa Viren, Trojaner oder DDOS-Attacken. Eine Schwachstelle, die als Einfallstor häufig unterschätzt wird: Social Engineering, das von den Kriminellen überall dort eingesetzt wird, wo Menschen beeinflusst werden können. Ein begehrtes Ziel sind Mitarbeitende von Unternehmen, die gezielt getäuscht, manipuliert oder beeinflusst werden, um Zugriff auf sensible Daten oder sogar das gesamte IT-System zu erhalten.

Die Social Engineering-Attacken haben so wohlklingende Namen wie CEO Fraud, Payment Diversion Fraud oder Fake Identity Fraud. Das tönt auf den ersten Blick fast harmlos, kann aber teure finanzielle Folgen für das Unternehmen haben, wie diese realen Beispiele zeigen: 

• CEO Fraud: Erst im Frühling hat der Fall einer Thurgauer Firma Schlagzeilen gemacht. Ein unbekannter Täter gab sich per Mail als Geschäftsführer aus und forderte eine Sekretärin auf, einen Geldbetrag auf ein ausländisches Konto zu überweisen. Die Mitarbeiterin kam der täuschend echten Aufforderung nach und überwies rund 80 000 Euro für den Kauf von Maschinen. Anschliessend stellte sich heraus, dass es sich um ein gefälschtes Mail handelte und sie einem falschen CEO auf den Leim gegangen war.
  
• Umleitung von Zahlungsströmen: Cyberkriminelle geben – nachdem sie sich in die Server gehackt haben – als Geschäftspartner oder Lieferant eines Unternehmens aus. Mit einem gefälschten Schreiben teilen sie dem Unternehmen mit, dass sich die bisher vereinbarte Bankverbindung geändert hat und der Zahlungsverkehr nun über die neue Bankverbindung erfolgen soll. Die Kontaktnummer im Mail wurde natürlich gefälscht und ein Anruf landet direkt bei den Betrügern, sollte ein Mitarbeiter der Buchhaltung argwöhnisch werden. Das überwiesene Geld oder die Waren sind dann schnell auf Nimmerwiedersehen verschwunden.
  
• Falsche Identität: Bei einer mittelständischen Firma meldet sich ein Einkaufsleiter eines renommierten Unternehmens aus dem Ausland, der Ware beziehen möchte. Die Firma verschickt ein entsprechendes Angebot, auf das der vermeintliche Interessent eingeht und eine Zahlung per Rechnung vereinbart. Die bestellte Ware wird am vereinbarten Ort im Ausland fristgerecht abgeladen – auf die Zahlung wartet die Firma aber vergeblich. Es stellt sich heraus, dass die Mails gefälscht waren, das ausländische Unternehmen wusste nichts von einer Warenbestellung. Die Ware war weg, der Schaden blieb.

«Social Engineering ist eine perfide, aber aus Sicht der Angreifer sehr erfolgreiche Methode, um die IT-Sicherheitsstandards eines Unternehmens auszuhebeln und sensible Informationen zu stehlen», skizziert Gregor Huber, Leiter Unternehmensversicherungen der Allianz Suisse, das Gefahrenpotenzial.

«Unternehmen können nicht auf die gängigen Abwehrmechanismen von Anti-Viren-Programmen oder Software setzen, um derartige Attacken abwehren zu können, denn die Hacker machen sich vor allem eines zunutze – die menschliche Schwäche.» Umso wichtiger ist es also, sich gegen die neuen Risiken zu schützen.

Mit der Cyber Risk Versicherung hat die Allianz Suisse eine der führenden Versicherungslösungen im Markt. Diese ist speziell auf die Bedürfnisse von kleinen und mittleren Unternehmen (KMU) zugeschnitten. Die Deckung umfasst unter anderem die Bausteine Haftpflichtversicherung gegen Ansprüche von Dritten, Eigenschäden, Betriebsunterbrechung und Rechtsschutz. Und neu auch die Zusatzdeckung «Cyber Crime und Social Engineering», welche Schäden durch Betrug gefälschter Anweisungen und Rechnungen umfasst. Eine sinnvolle Deckung - denn wer kann sich schon sicher sein, dass ein Mitarbeiter nicht auch einem Betrüger auf den Leim gehen würde?