Social Engineering könnte auch Ihre Praxis treffen!

Von Cyberkriminellen und Cyberangriffen ist immer öfter die Rede. Ziel solcher Angriffe sind meistens sensible Daten sowie die Erpressung von Geldbeträgen von Unternehmen. Trotzdem können auch Privatpersonen oder sogar Arztpraxen betroffen sein.

Ein elektronischer Angriff nutzt in der Regel eine technische Schwachstelle des Opfers aus. Technische Schwachstellen entstehen häufig aufgrund fehlender Updates des Betriebssystems oder der Anwendungen. Sind diese technischen Schwachstellen nicht vorhanden, ist es für den Cyberkriminellen schwierig und teuer, auf technischem Weg in ein System einzudringen.
Es bleibt aber noch ein weiterer Weg. Dieser ist häufig sehr einfach und man braucht deutlich weniger Ressourcen und Know-how auf Angreiferseite, um erfolgreich zu sein. Die Rede ist von „Social Engineering“ und ist im Prinzip so alt wie die Menschheit. Ziel eines Social Engineers ist es grundsätzlich immer, jemanden durch Manipulation dazu zu bringen, etwas zu tun, was er sonst nie tun würde. Zum Beispiel einem völlig Fremden Millionenbeträge zu überweisen. So spart er sich die Notwendigkeit, Daten zu verschlüsseln oder zu stehlen und die Geldbeträge im Anschluss zu erpressen.

»Der Mensch ist gutgläubig und konfliktscheu«
Und genau das macht ihn manipulierbar. Diese Aussage ist ein Zitat aus „Who am I – Kein System ist sicher“, einem deutschen Cyberthriller von 2014. Und sie trifft den Nagel auf den Kopf: Genau so funktioniert Social Engineering, also die Manipulation durch soziale Interaktion. Es gibt verschiedene soziale Mechanismen, die sich ein Social Engineer zunutze macht:

Sympathie
Mit Abstand am besten funktioniert die Manipulation über Sympathie. Wenn mich jemand mag, dann tut er mehr für mich als für andere. Dafür gibt es viele Beispiele. Jeder von uns hat das schon am eigenen Leib erfahren, wenn es um das Verhalten gegenüber dem/der Partner/in geht.
Es gibt dazu einen interessanten Fall aus Belgien, wo ein Bankkunde über ein Jahr lang mehrmals pro Woche die Bank aufsuchte. Er war gut gekleidet, höflich und brachte den Angestellten gelegentlich Schokolade oder andere Kleinigkeiten mit. So bekam er schließlich den VIP-Zugang zum Tresorraum. Er verließ daraufhin die Bank mit Rohdiamanten im Wert von 28 Millionen US-Dollar. Den Schlüssel bekam er, weil er dieses Ziel von langer Hand vorbereitete. Mit Schokoladengeschenken und Sympathie.

Vorurteile
Menschen nehmen ihre Umwelt immer mit Vorurteilen wahr. Diese Eigenschaft nutzt ein Social Engineer aus. Ein Beispiel dafür ist die Einschätzung von Expertenmeinungen. Wenn der Meister und Leiter einer Kfz-Werkstatt Ihnen nahelegt, dass Sie dringend neue Reifen brauchen, kaufen Sie eher neue Reifen, als wenn das Ihre Tochter oder Ihr Sohn Ihnen sagen würden.
Entscheidungen auf Basis von Vorurteilen helfen uns durch den Alltag und haben sich bewährt. Ein Social Engineer weiß das! Und wenn er Ihnen neue Reifen verkaufen möchte, dann macht er das in der Rolle des Werkstattleiters und nicht als Grundschullehrer.

Eine Hand wäscht die andere
Wer kennt nicht den Stand im Supermarkt mit dem exklusiven Käse aus Holland oder der Kaminwurzen aus Südtirol? Die Idee dahinter ist simpel: Wenn Sie den Käsewürfel probieren und er Ihnen schmeckt, werden Sie sehr wahrscheinlich diesen Käse kaufen und nicht einen anderen, günstigeren – schließlich hat man Ihnen diesen ja bereits „geschenkt“.

Erfüllung von Erwartungshaltung
Man erwartet von einem Menschen in Sanitäteruniform, dass er bei Unfällen hilft. Man erwartet von Menschen in teuren Anzügen, dass sie vermögend und eventuell auch kompetent sind. Ein gutes Beispiel dafür ist der Hochstapler und Social Engineer Frank Abagnale, bekannt auch aus der Verfilmung seines Lebens mit Leonardo DiCaprio in „Catch me if you can“. Allein durch das Tragen einer Pilotenuniform erschlich er sich auf diesem Weg zig Flüge. Hier nähern wir uns neben der Gutgläubigkeit auch der Konfliktscheuheit.

Alle machen das so
Der berühmte Gruppenzwang: Man verhält sich so, wie es alle tun. Das ist bequem und einfach. Experimente und Studien dazu gibt es viele. Diesen Gruppenzwang nutzen auch Social Engineers. Manchmal wird der Gruppenzwang sogar nur vorgetäuscht: Bei Frau Meyer und Herrn Schulze war das nie ein Problem, die haben, das schon immer so getan. Und das wird nicht hinterfragt.

Obrigkeit
Wenn Anweisungen „von oben“ kommen, werden sie weniger infrage gestellt. Aktuell wird das vor allem beim sogenannten „CEO-Fraud“ oder der „Fake-President-Masche“ umgesetzt. Bei diesem Social-Engineering-Angriff gibt sich der Angreifer als Mitglied der Geschäftsleitung aus und fordert uneingeschränkte Mitarbeit ein.
Sollten Mitarbeiter die, meist per E-Mail verfassten, Anweisungen hinterfragen, wird der Ton schnell rauer. Diese Situation mögen die meisten Menschen nicht und versuchen sich der unangenehmen Lage zu entziehen.
Götz Weinmann

Menschen werden immer für Social Engineering anfällig sein. Wer von sich behauptet „mich haut keiner übers Ohr“, liegt falsch. Diese Schritte helfen Praxen, sich vor Social-Engineering-Angriffen zu schützen:

  • Fördern und fordern Sie eine offene Unternehmenskultur in Ihrer Praxis.
  • Stellen Sie klare Regeln für kritische Prozesse auf. Autorisieren Sie zum Beispiel Überweisungen ab einer bestimmten Höhe nur durch höchstens zwei bestimmte Personen.
  • Informieren Sie Ihr Praxisteam regelmäßig über bekannte Betrugsmaschen.
  • Schulen Sie Ihr Personal bezüglich E-Mail-Sicherheit: Klicken Sie keine Links von unbekannten Absendern! Das gilt auch für das Öffnen von Dateianhängen.
  • Achten Sie darauf, wer Ihre Praxis betritt – auch in Stoßzeiten.
  • Schützen Sie Ihre Patientendaten schon mit einfachen Maßnahmen, wie regelmäßigen Programm-Updates auf Ihren Praxis-PCs.
  • Sichern Sie den Internetzugang Ihrer Praxis mit einem Passwort.
  • Wechseln Sie regelmäßig die Passwörter Ihrer PCs sowie Ihrer Datenbanken! Damit Sie sich diese nicht ständig neu merken müssen, können Sie die Passwörter in Passwort-Management-Programmen abspeichern.
  • Die Länge macht’s! Nutzen Sie Passwörter mit mehr als 10 Zeichen.
  • Erstellen Sie regelmäßige Backups und lagern Sie diese aus.

Social Media

Folgen Sie uns auf unseren Plattformen.

Messenger-Service

Erhalten Sie Neuigkeiten von MEDI direkt per App „Notify“ auf Ihr Smartphone.

Aktuelle MEDI-Times

MEDI-Newsletter

Mit dem kostenfreien MEDI-Newsletter informieren wir Sie regelmäßig über aktuelle Themen und die neuesten Angebote. Bleiben Sie mit uns auf dem Laufenden!

Die Datenschutzerklärung habe ich zur Kenntnis genommen und bin damit einverstanden.*

Auf Facebook kommentieren!

0 Kommentare

Einen Kommentar zum Thema schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht.

Polizei am Praxisempfang: Durchsuchung!

Mitten in der Sprechstunde werden Sie an den Empfang gerufen, weil mehrere Polizisten die Praxis durchsuchen wollen. Diesen Super-GAU können Sie nur beherrschen, wenn Sie darauf vorbereitet sind – und...

Polizei am Praxisempfang: Durchsuchung!

Polizei am Praxisempfang: Durchsuchung!

Mitten in der Sprechstunde werden Sie an den Empfang gerufen, weil mehrere Polizisten die Praxis durchsuchen wollen. Diesen Super-GAU können Sie nur beherrschen, wenn Sie darauf vorbereitet sind – und Ihre Rechte kennen. Was tun? Tipps von Strafverteidiger Matthias Klein, der sich als Fachanwalt für Strafrecht und Medizinrecht auf den Gesundheitssektor spezialisiert ist.

Digitale Psychotherapie: „Künstliche Situation“

Digitale Psychotherapie: „Künstliche Situation“

Seit der Pandemie leben wir alle in einem ständigen Remote-Zustand. Digitale Veranstaltungen sind das neue Normal. Auch die Videosprechstunde ist aus dem Praxisalltag nicht mehr wegzudenken und mittlerweile fester Bestandteil der Selektivverträge. Was viele Vorteile und Nutzen hat, ist aber auch in manchen Bereichen sehr behutsam einzusetzen – wie beispielsweise in der Psychotherapie, weiß Dr. Michael Ruland, Hausarzt, Psychotherapeut und stellvertretender MEDI-Vorstandsvorsitzender.

Investorengetragene MVZ sind Gefahr für ärztliche Freiberuflichkeit

Investorengetragene MVZ sind Gefahr für ärztliche Freiberuflichkeit

Investoren kaufen in Deutschland immer mehr Arztsitze auf und überführen sie in investorengetragene MVZ (iMVZ). Die Folgen: Ärztinnen und Ärzte geraten zunehmend unter Kommerzialisierungsdruck, die ärztliche Qualität leidet und das Patientenwohl ist in Gefahr. MEDI Baden-Württemberg e.V. fordert deshalb sinnvolle Gegenmaßnahmen.