Social Engineering könnte auch Ihre Praxis treffen!

23. April 2018

Von Cyberkriminellen und Cyberangriffen ist immer öfter die Rede. Ziel solcher Angriffe sind meistens sensible Daten sowie die Erpressung von Geldbeträgen von Unternehmen. Trotzdem können auch Privatpersonen oder sogar Arztpraxen betroffen sein.

Ein elektronischer Angriff nutzt in der Regel eine technische Schwachstelle des Opfers aus. Technische Schwachstellen entstehen häufig aufgrund fehlender Updates des Betriebssystems oder der Anwendungen. Sind diese technischen Schwachstellen nicht vorhanden, ist es für den Cyberkriminellen schwierig und teuer, auf technischem Weg in ein System einzudringen.
Es bleibt aber noch ein weiterer Weg. Dieser ist häufig sehr einfach und man braucht deutlich weniger Ressourcen und Know-how auf Angreiferseite, um erfolgreich zu sein. Die Rede ist von „Social Engineering“ und ist im Prinzip so alt wie die Menschheit. Ziel eines Social Engineers ist es grundsätzlich immer, jemanden durch Manipulation dazu zu bringen, etwas zu tun, was er sonst nie tun würde. Zum Beispiel einem völlig Fremden Millionenbeträge zu überweisen. So spart er sich die Notwendigkeit, Daten zu verschlüsseln oder zu stehlen und die Geldbeträge im Anschluss zu erpressen.

»Der Mensch ist gutgläubig und konfliktscheu«
Und genau das macht ihn manipulierbar. Diese Aussage ist ein Zitat aus „Who am I – Kein System ist sicher“, einem deutschen Cyberthriller von 2014. Und sie trifft den Nagel auf den Kopf: Genau so funktioniert Social Engineering, also die Manipulation durch soziale Interaktion. Es gibt verschiedene soziale Mechanismen, die sich ein Social Engineer zunutze macht:

Sympathie
Mit Abstand am besten funktioniert die Manipulation über Sympathie. Wenn mich jemand mag, dann tut er mehr für mich als für andere. Dafür gibt es viele Beispiele. Jeder von uns hat das schon am eigenen Leib erfahren, wenn es um das Verhalten gegenüber dem/der Partner/in geht.
Es gibt dazu einen interessanten Fall aus Belgien, wo ein Bankkunde über ein Jahr lang mehrmals pro Woche die Bank aufsuchte. Er war gut gekleidet, höflich und brachte den Angestellten gelegentlich Schokolade oder andere Kleinigkeiten mit. So bekam er schließlich den VIP-Zugang zum Tresorraum. Er verließ daraufhin die Bank mit Rohdiamanten im Wert von 28 Millionen US-Dollar. Den Schlüssel bekam er, weil er dieses Ziel von langer Hand vorbereitete. Mit Schokoladengeschenken und Sympathie.

Vorurteile
Menschen nehmen ihre Umwelt immer mit Vorurteilen wahr. Diese Eigenschaft nutzt ein Social Engineer aus. Ein Beispiel dafür ist die Einschätzung von Expertenmeinungen. Wenn der Meister und Leiter einer Kfz-Werkstatt Ihnen nahelegt, dass Sie dringend neue Reifen brauchen, kaufen Sie eher neue Reifen, als wenn das Ihre Tochter oder Ihr Sohn Ihnen sagen würden.
Entscheidungen auf Basis von Vorurteilen helfen uns durch den Alltag und haben sich bewährt. Ein Social Engineer weiß das! Und wenn er Ihnen neue Reifen verkaufen möchte, dann macht er das in der Rolle des Werkstattleiters und nicht als Grundschullehrer.

Eine Hand wäscht die andere
Wer kennt nicht den Stand im Supermarkt mit dem exklusiven Käse aus Holland oder der Kaminwurzen aus Südtirol? Die Idee dahinter ist simpel: Wenn Sie den Käsewürfel probieren und er Ihnen schmeckt, werden Sie sehr wahrscheinlich diesen Käse kaufen und nicht einen anderen, günstigeren – schließlich hat man Ihnen diesen ja bereits „geschenkt“.

Erfüllung von Erwartungshaltung
Man erwartet von einem Menschen in Sanitäteruniform, dass er bei Unfällen hilft. Man erwartet von Menschen in teuren Anzügen, dass sie vermögend und eventuell auch kompetent sind. Ein gutes Beispiel dafür ist der Hochstapler und Social Engineer Frank Abagnale, bekannt auch aus der Verfilmung seines Lebens mit Leonardo DiCaprio in „Catch me if you can“. Allein durch das Tragen einer Pilotenuniform erschlich er sich auf diesem Weg zig Flüge. Hier nähern wir uns neben der Gutgläubigkeit auch der Konfliktscheuheit.

Alle machen das so
Der berühmte Gruppenzwang: Man verhält sich so, wie es alle tun. Das ist bequem und einfach. Experimente und Studien dazu gibt es viele. Diesen Gruppenzwang nutzen auch Social Engineers. Manchmal wird der Gruppenzwang sogar nur vorgetäuscht: Bei Frau Meyer und Herrn Schulze war das nie ein Problem, die haben, das schon immer so getan. Und das wird nicht hinterfragt.

Obrigkeit
Wenn Anweisungen „von oben“ kommen, werden sie weniger infrage gestellt. Aktuell wird das vor allem beim sogenannten „CEO-Fraud“ oder der „Fake-President-Masche“ umgesetzt. Bei diesem Social-Engineering-Angriff gibt sich der Angreifer als Mitglied der Geschäftsleitung aus und fordert uneingeschränkte Mitarbeit ein.
Sollten Mitarbeiter die, meist per E-Mail verfassten, Anweisungen hinterfragen, wird der Ton schnell rauer. Diese Situation mögen die meisten Menschen nicht und versuchen sich der unangenehmen Lage zu entziehen.
Götz Weinmann

Menschen werden immer für Social Engineering anfällig sein. Wer von sich behauptet „mich haut keiner übers Ohr“, liegt falsch. Diese Schritte helfen Praxen, sich vor Social-Engineering-Angriffen zu schützen:

  • Fördern und fordern Sie eine offene Unternehmenskultur in Ihrer Praxis.
  • Stellen Sie klare Regeln für kritische Prozesse auf. Autorisieren Sie zum Beispiel Überweisungen ab einer bestimmten Höhe nur durch höchstens zwei bestimmte Personen.
  • Informieren Sie Ihr Praxisteam regelmäßig über bekannte Betrugsmaschen.
  • Schulen Sie Ihr Personal bezüglich E-Mail-Sicherheit: Klicken Sie keine Links von unbekannten Absendern! Das gilt auch für das Öffnen von Dateianhängen.
  • Achten Sie darauf, wer Ihre Praxis betritt – auch in Stoßzeiten.
  • Schützen Sie Ihre Patientendaten schon mit einfachen Maßnahmen, wie regelmäßigen Programm-Updates auf Ihren Praxis-PCs.
  • Sichern Sie den Internetzugang Ihrer Praxis mit einem Passwort.
  • Wechseln Sie regelmäßig die Passwörter Ihrer PCs sowie Ihrer Datenbanken! Damit Sie sich diese nicht ständig neu merken müssen, können Sie die Passwörter in Passwort-Management-Programmen abspeichern.
  • Die Länge macht’s! Nutzen Sie Passwörter mit mehr als 10 Zeichen.
  • Erstellen Sie regelmäßige Backups und lagern Sie diese aus.

Social Media

Folgen Sie uns auf unseren Plattformen.

Aktuelle MEDI-Times

MEDI-Newsletter

Mit dem kostenfreien MEDI-Newsletter informieren wir Sie regelmäßig über aktuelle Themen und die neuesten Angebote. Bleiben Sie mit uns auf dem Laufenden!

Die Datenschutzerklärung habe ich zur Kenntnis genommen und bin damit einverstanden.*

Auf Facebook kommentieren!

Noch keine Daten vorhanden.

MEDI kritisiert Ergebnisse zur Honorarverhandlung: „Der wirkliche Bedarf wird nicht berücksichtigt“

Der fachübergreifende Ärzteverband MEDI Baden-Württemberg e. V. kritisiert die Ergebnisse der Verhandlungsgespräche zum Orientierungswert (OW) für 2024 von Kassenärztlicher Bundesvereinigung (KBV) und GKV-Spitzenverband am vergangenen Mittwoch. Die Steigerung von 3,85 Prozent könne „bestenfalls ein Anfang sein“ und berücksichtige nicht den wirklichen Bedarf moniert der MEDI-Vorsitzende Dr. Norbert Smetak.

Auf der Suche nach der perfekten Weiterbildungspraxis?

Auf der Suche nach der perfekten Weiterbildungspraxis?

Fällt Ihnen beim Stichwort „Weiterbildung im ambulanten Bereich“ nur eine der vielen Landarztpraxen ein? Schade! Wie die Realität aussieht, wissen die Mitglieder der Arbeitsgruppe Young-MEDI. Zum Glück geben sie Tipps weiter.

Handschuhe aus Nitril oder Latex – zum Vorteilspreis

Im September bekommen MEDI-Mitglieder Handschuhe aus Nitril oder Latex zum Vorteilspreis.
Außerdem sind Baktolin® pure Waschlotion und B.Braun Trixo®-lind Pflegelotion in verschiedenen Größen zu interessanten Angebotspreisen bei uns bestellbar.