Ihr Empfang ist mehr als eine Visitenkarte – er ist das primäre Ziel für Social Engineers. Die gute Nachricht: Echte Sicherheit entsteht nicht durch Misstrauen, sondern durch trainierte Kompetenz und eine positive Fehlerkultur.
- Angreifer nutzen gezielt psychologische Hebel wie Hilfsbereitschaft, Autoritätsdruck und Höflichkeit, um an Informationen zu gelangen.
- Statt starrer Regeln benötigen Mitarbeiter praxiserprobte Verhaltensmuster, um Anfragen serviceorientiert und gleichzeitig sicher zu handhaben.
Empfehlung: Etablieren Sie eine Kultur, in der ein Rückruf zur Verifizierung oder das höfliche Abweisen einer ungewöhnlichen Bitte als Zeichen von höchster Professionalität gilt, nicht als Misstrauen.
Als Teamleiter am Empfang oder im Service-Center kennen Sie den Balanceakt: Einerseits sollen Ihre Mitarbeiter einen exzellenten, zuvorkommenden Service bieten, andererseits bilden sie die erste Verteidigungslinie Ihres Unternehmens gegen externe Bedrohungen. Das Telefon klingelt, ein angeblicher Vorgesetzter verlangt dringend eine Überweisung. Ein Lieferant ohne Ausweis bittet darum, schnell hinter die Sicherheitsschleuse gelassen zu werden. In diesen Momenten treffen Serviceorientierung und Sicherheitsanforderungen frontal aufeinander.
Die üblichen Ratschläge lauten oft: „Seien Sie misstrauisch“ oder „Befolgen Sie die Vorschriften“. Doch diese Anweisungen versagen oft unter Druck. Misstrauen vergiftet die Servicekultur, und starre Regeln können von geschickten Angreifern leicht umgangen werden. Das Problem ist, dass Social Engineering keine rein technische, sondern eine zutiefst menschliche Angriffsmethode ist. Sie zielt nicht auf Firewalls, sondern auf die Psyche Ihrer Mitarbeiter ab. Die Angreifer wissen genau, welche Knöpfe sie drücken müssen: Hilfsbereitschaft, Respekt vor Autorität oder die Angst, unhöflich zu erscheinen.
Doch was wäre, wenn der Schlüssel zur Sicherheit nicht eine noch längere Liste von Verboten, sondern eine völlig neue Denkweise wäre? Was, wenn Sie Ihr Team nicht zu Regelbefolgern, sondern zu kompetenten „Menschenlesern“ ausbilden könnten? Dieser Leitfaden bricht mit dem traditionellen Ansatz. Er zeigt Ihnen als Verhaltenstrainer für Ihr Team, wie Sie die psychologischen Mechanismen hinter den Angriffen verstehen und konkrete, praxistaugliche Verhaltensmuster etablieren. Ziel ist es, eine Kultur der „serviceorientierten Sicherheit“ zu schaffen, in der Ihr Team Angreifer souverän enttarnt – nicht weil sie misstrauisch sind, sondern weil sie professionell und kompetent handeln.
Wir werden gemeinsam die psychologischen Fallen aufdecken, die Angreifer stellen, und Ihnen die Werkzeuge an die Hand geben, um Ihr Team zu befähigen. Dieser Artikel liefert Ihnen sofort umsetzbare Strategien, um Ihre erste Verteidigungslinie zur stärksten zu machen.
Inhaltsverzeichnis: Vom menschlichen Faktor zur menschlichen Firewall
- Warum wir alle darauf programmiert sind, „hilfsbereit“ zu sein und wie Angreifer das nutzen?
- Wie überprüfen Sie die Identität eines Anrufers, ohne unfreundlich zu wirken?
- Chef-Masche oder Zeitdruck: Wie bleiben Sie ruhig, wenn der Anrufer droht?
- Die Gefahr des Post-its am Monitor: Warum Passwörter nicht an den Bildschirm gehören
- Wie inzentivieren Sie das Melden von verdächtigen E-Mails positiv?
- Die Gefahr, wenn Mitarbeiter aus Gewohnheit jede Push-Benachrichtigung auf dem Handy bestätigen
- Das Problem der „Höflichkeit“: Wenn Mitarbeiter dem Unbekannten die Tür aufhalten
- Wie schützen Sie Ihre Firma vor Spionageangriffen, die nicht digital, sondern per Telefon oder vor Ort erfolgen?
Warum wir alle darauf programmiert sind, „hilfsbereit“ zu sein und wie Angreifer das nutzen?
Der menschliche Wunsch, hilfsbereit zu sein, ist tief in unserer sozialen Natur verankert. In einem serviceorientierten Umfeld wie dem Empfang wird diese Eigenschaft zur Kernkompetenz. Wir werden dafür geschätzt, Probleme zu lösen und Anfragen zu erfüllen. Genau diesen Impuls machen sich Social Engineers zunutze. Sie inszenieren Situationen, in denen Hilfe dringend oder moralisch geboten scheint, und umgehen so rationale Sicherheitsüberlegungen. Der Anruf des „verzweifelten“ Kollegen aus einer anderen Abteilung, der sein Passwort vergessen hat, appelliert direkt an unser Bedürfnis, einem Teammitglied aus der Patsche zu helfen. Dies ist kein Zufall, sondern Kalkül.
Die Initiative „eBanking – aber sicher!“ fasst diesen Mechanismus präzise zusammen:
Social Engineering ist eine Methode, die von Angreifern verwendet wird, um sensible Informationen zu erhalten oder eine bestimmte Reaktion bei Menschen auszulösen, indem sie psychologische Tricks zur Manipulation anwenden. Um vertrauliche Informationen zu erhalten, missbrauchen Kriminelle oft das Wohlwollen, die Hilfsbereitschaft oder die Unsicherheit ihrer Opfer.
– eBanking – aber sicher! Initiative, Schweizerische Sicherheitsinitiative für Online-Banking
Diese psychologischen Hebel sind extrem effektiv. Der Angreifer schafft einen Kontext, in dem ein „Nein“ als unkooperativ oder unhöflich erscheint. Die Herausforderung für Ihre Mitarbeiter ist es, zu erkennen, wann ihre ureigene Hilfsbereitschaft gegen sie verwendet wird. Es geht nicht darum, diesen positiven Impuls abzuschalten, sondern darum, ihn mit einem geschulten, professionellen Filter zu versehen. Die hohe Zahl an Cybercrime-Vorfällen in der Schweiz, wie die 637 gemeldeten Vorfälle in der letzten Woche des Jahres 2024 zeigen, macht deutlich, dass diese Angriffe alltäglich und nicht die Ausnahme sind. Das Bewusstsein für diese Taktik ist der erste Schritt zur Verteidigung.
Wie überprüfen Sie die Identität eines Anrufers, ohne unfreundlich zu wirken?
Die grösste Hürde bei der Identitätsprüfung ist die Angst, den Anrufer vor den Kopf zu stossen – insbesondere, wenn dieser sich als wichtige Person ausgibt. Hier liegt der Schlüssel in der Etablierung eines standardisierten, professionellen Prozesses, der als Qualitätsmerkmal des Services und nicht als persönliches Misstrauen kommuniziert wird. Anstatt zu improvisieren, geben Sie Ihrem Team klare, höfliche Formulierungen an die Hand, die sie souverän anwenden können. Der Wechsel von einer reaktiven Verunsicherung zu einem proaktiven, routinierten Vorgehen stärkt das Selbstvertrauen Ihrer Mitarbeiter enorm.
Die effektivste Methode ist das Rückrufverfahren. Es ist unpersönlich, unanfechtbar und signalisiert höchste Professionalität. Statt zu sagen „Ich glaube Ihnen nicht“, sagt der Mitarbeiter: „Zu Ihrer und unserer Sicherheit folge ich unserem Standardprotokoll.“ Bereiten Sie Ihr Team mit festen Antwortmustern vor, um in Stresssituationen nicht argumentieren zu müssen. Diese Techniken sind Teil einer serviceorientierten Sicherheitskultur.
Einige konkrete Schritte, die Sie etablieren können:
- Standardantwort vorbereiten: Schulen Sie eine klare Formulierung wie: „Sehr gerne helfe ich Ihnen. Gemäss unseren Sicherheitsrichtlinien rufe ich Sie zur Bestätigung umgehend auf der bei uns hinterlegten, offiziellen Nummer zurück.“
- Vier-Augen-Prinzip: Bei besonders heiklen Anfragen (z.B. Finanztransaktionen) muss immer eine zweite Person hinzugezogen und informiert werden.
- Niemals sensible Daten preisgeben: Machen Sie unmissverständlich klar, dass Passwörter, PINs oder andere Zugangsdaten niemals am Telefon oder per E-Mail bestätigt werden. Kein seriöser interner oder externer Partner fragt danach.
- Seien Sie aufmerksam bei Druck: Ein Angreifer wird oft versuchen, das Protokoll mit Dringlichkeit oder Drohungen zu umgehen. Genau das ist das Signal, am Protokoll festzuhalten.
Indem Sie die Verifizierung als festen, nicht verhandelbaren Teil Ihres exzellenten Services definieren, entkräften Sie jeden Manipulationsversuch. Es wird zur Routine, nicht zur Konfrontation.
Chef-Masche oder Zeitdruck: Wie bleiben Sie ruhig, wenn der Anrufer droht?
Die „Chef-Masche“, auch als CEO-Fraud bekannt, ist eine der psychologisch wirksamsten Taktiken. Sie kombiniert zwei starke Hebel: Autorität und Dringlichkeit. Der Anrufer gibt sich als Vorgesetzter oder ein anderes hochrangiges Mitglied der Geschäftsleitung aus und verlangt unter einem Vorwand (geheime Übernahme, dringende Rechnung) eine sofortige Handlung, meist eine Finanztransaktion. Der psychologische Druck ist immens, denn wer widerspricht schon gerne dem Chef? Genau diese Zögerlichkeit ist das Ziel des Angriffs.
Die Bedrohung ist real und wächst. Wie der aktuelle Halbjahresbericht des Nationalen Zentrums für Cybersicherheit (NCSC) zeigt, gab es einen besorgniserregenden Anstieg auf 719 CEO-Fraud Fälle im Jahr 2024, verglichen mit 487 im Vorjahr. Die Angriffe werden zudem immer raffinierter.
Fallbeispiel: KI-gestützter CEO-Fraud in Hongkong
Im Februar 2024 erbeuteten Kriminelle in Hongkong 22 Millionen Franken, indem sie die Stimme und das Aussehen eines CEOs mittels künstlicher Intelligenz fälschten und in einer Videokonferenz auftraten. Dieser Fall zeigt, dass selbst visuelle Überprüfungen an ihre Grenzen stossen können und die Notwendigkeit robuster, prozessbasierter Verteidigungen unterstreichen, wie zum Beispiel ein obligatorisches Rückrufverfahren.
Um in solchen Momenten ruhig zu bleiben, braucht Ihr Team einen einstudierten Notfallplan. Der wichtigste Schritt ist, Zeit zu gewinnen. Anstatt sofort zu handeln, muss die automatische Reaktion lauten: „Ich kümmere mich sofort darum und bestätige den Vorgang gemäss Protokoll.“ Das schafft eine Denkpause und ermöglicht die Anwendung der Sicherheitsverfahren, wie den Rückruf auf der bekannten Nummer oder das Vier-Augen-Prinzip. Schulen Sie Ihr Team darauf, dass Druck und Drohungen die stärksten Alarmsignale sind. Ein echtes, dringendes Anliegen überlebt eine professionelle Verifizierung von wenigen Minuten – ein Betrugsversuch nicht.
Ein stiller Alarm oder ein diskretes Codewort, um einen Kollegen zu informieren, kann ebenfalls Teil des Plans sein. Das Ziel ist es, den Mitarbeiter aus der Isolation des Gesprächs zu holen und ihm die Sicherheit des eingespielten Prozesses zu geben.
Die Gefahr des Post-its am Monitor: Warum Passwörter nicht an den Bildschirm gehören
Das am Monitor klebende Post-it mit dem Passwort ist ein Klischee der IT-Sicherheit – und dennoch traurige Realität in vielen Büros. Es ist selten ein Zeichen von Nachlässigkeit, sondern vielmehr ein Symptom für ein tieferliegendes Problem: eine Überforderung durch zu viele komplexe Passwörter und ein Mangel an praktikablen Alternativen. Mitarbeiter greifen auf diese unsichere Methode zurück, weil sie bequem ist. Ein Angreifer, der sich physisch Zugang zum Büro verschafft hat (zum Beispiel durch Tailgating), hat damit leichtes Spiel. Er muss keine einzige Zeile Code knacken, sondern nur lesen können.
Die Lösung liegt nicht darin, Mitarbeiter zu ermahnen, sondern ihnen eine bessere, sicherere und ebenso bequeme Lösung anzubieten. Hier kommen Passwort-Manager ins Spiel. Diese Tools speichern alle Passwörter verschlüsselt an einem zentralen Ort, geschützt durch ein einziges, starkes Master-Passwort. Mitarbeiter müssen sich nur noch dieses eine Passwort merken und können für jeden Dienst hochkomplexe, einzigartige Passwörter generieren lassen. Dies eliminiert die Notwendigkeit von Notizzetteln und erhöht die Sicherheit dramatisch.
Für Schweizer Unternehmen ist die Wahl des richtigen Anbieters besonders wichtig, insbesondere im Hinblick auf das neue Datenschutzgesetz (nDSG) und den Speicherort der Daten.
| Lösung | Schweizer Hosting | ISO 27001 | Preis/Monat |
|---|---|---|---|
| SecureSafe | Ja | Ja | Ab CHF 4 |
| Bitwarden | Self-Host möglich | Ja | Ab CHF 3 |
| 1Password | Nein | Ja | Ab CHF 8 |
Die Einführung eines Passwort-Managers sollte Teil einer umfassenderen „Clean Desk Policy“ sein. Diese Richtlinie stellt sicher, dass am Ende des Arbeitstages keine sensiblen Dokumente, Notizen oder eben Passwörter offen auf dem Schreibtisch liegen bleiben. Dies minimiert das Risiko von Datendiebstahl sowohl durch externe Angreifer als auch durch unbefugte interne Personen.
Wie inzentivieren Sie das Melden von verdächtigen E-Mails positiv?
Mitarbeiter sind oft die erste Instanz, die eine Phishing-Mail oder einen verdächtigen Anhang bemerkt. Doch viele zögern, dies zu melden – aus Angst, etwas Falsches zu tun, als übervorsichtig zu gelten oder die IT-Abteilung unnötig zu belästigen. Um dieses Zögern zu überwinden, müssen Sie eine positive Fehler- und Meldekultur schaffen. Das Melden eines Verdachts darf kein „Petzen“ sein, sondern muss als wertvoller Beitrag zur Unternehmenssicherheit anerkannt und belohnt werden. Jede Meldung ist ein Erfolg, selbst wenn sie sich als harmlos herausstellt.
Die schiere Menge an Bedrohungen macht deutlich, wie wichtig diese menschliche Firewall ist. So verzeichnete die Plattform antiphishing.ch, betrieben vom NCSC, im Jahr 2024 allein über 975’000 Meldungen, die zur Identifizierung von mehr als 20’000 Phishing-Seiten führten. Jede dieser Meldungen hat potenziell grossen Schaden verhindert. Ihr Ziel als Teamleiter ist es, die Hemmschwelle für das Melden auf null zu senken. Anstatt Mitarbeiter zu bestrafen, die versehentlich auf einen Link klicken, sollten Sie diejenigen feiern, die einen Verdacht äussern.
Gamification ist eine hervorragende Methode, um das Meldeverhalten positiv zu verstärken. Anstatt trockener Schulungen schaffen Sie einen spielerischen Anreiz, wachsam zu sein.
Ihr Aktionsplan: Eine positive Meldekultur etablieren
- Belohnungssystem schaffen: Etablieren Sie kleine, aber greifbare Belohnungen für erfolgreiche Meldungen oder das Erkennen von simulierten Phishing-Mails. Schweizer Unternehmen können hierfür beispielsweise REKA-Checks oder Gutscheine von lokalen Geschäften nutzen.
- Erfolge sichtbar machen: Veröffentlichen Sie monatlich anonymisierte Erfolgsquoten. Zeigen Sie auf, wie viele Angriffe dank der Aufmerksamkeit des Teams verhindert wurden.
- Virtuelle Auszeichnungen: Führen Sie ein System mit virtuellen Abzeichen oder „Security Champion of the Month“-Titeln ein, um Engagement öffentlich wertzuschätzen.
- Regelmässige Simulationen: Führen Sie quartalsweise Phishing-Simulationen durch. Wichtig: Mitarbeiter, die den Test erkennen und melden, sollten sofort ein positives, automatisiertes Feedback erhalten („Gut gemacht! Sie haben den Test erkannt.“).
- Simuliertes Social Engineering: Um das Verhalten realistisch zu testen, sind simulierte Angriffe eine der effektivsten Methoden, um Schwachstellen aufzudecken und das Bewusstsein zu schärfen.
Durch diese Massnahmen verwandeln Sie eine passive Sicherheitsanforderung in eine aktive, gemeinschaftliche Aufgabe, die Spass machen kann und den Teamgeist stärkt.
Die Gefahr, wenn Mitarbeiter aus Gewohnheit jede Push-Benachrichtigung auf dem Handy bestätigen
Die Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) ist ein Eckpfeiler moderner Sicherheit. Doch Angreifer haben bereits eine Methode entwickelt, um auch diese Hürde zu überwinden: die „MFA-Fatigue“ oder das „Push-Bombing“. Die Taktik ist simpel, aber effektiv. Nachdem ein Angreifer an das Passwort eines Mitarbeiters gelangt ist (z.B. durch ein Datenleck), löst er wiederholt Anmeldeversuche aus. Das Resultat: Der Mitarbeiter wird mit einer Flut von Push-Benachrichtigungen auf seinem Smartphone bombardiert, die zur Bestätigung der Anmeldung auffordern.
Inmitten eines stressigen Arbeitstages, genervt vom ständigen Vibrieren des Handys, ist die Wahrscheinlichkeit hoch, dass der Mitarbeiter irgendwann entnervt auf „Bestätigen“ tippt, nur um die Benachrichtigungen zu stoppen – und dem Angreifer damit Tür und Tor öffnet. Dies ist eine Form des „Human Hacking“, wie IBM Security es beschreibt:
Social Engineering-Angriffe manipulieren Menschen dazu, Informationen preiszugeben, die sie nicht teilen sollten. Da Social Engineering psychologische Manipulation nutzt und menschliche Fehler oder Schwächen ausnutzt, anstatt technische oder digitale Systemschwachstellen, wird es manchmal als ‚Human Hacking‘ bezeichnet.
– IBM Security, IBM Think – What is Social Engineering?
Um dieser Gefahr zu begegnen, muss eine goldene Regel im Team verankert werden: „Bestätige niemals eine Push-Anfrage, die du nicht selbst aktiv ausgelöst hast.“ Eine unerwartete MFA-Anfrage ist kein Ärgernis, sondern ein hochkritisches Alarmsignal, das auf einen kompromittierten Account hindeutet. Es muss eine sofortige Meldepflicht an den IT-Helpdesk und eine unmittelbare Änderung des betroffenen Passworts nach sich ziehen. Moderne MFA-Methoden wie „Number Matching“, bei denen der Nutzer eine auf dem Bildschirm angezeigte Zahl auf dem Handy bestätigen muss, erhöhen die Sicherheit zusätzlich, da ein versehentliches „OK“ klicken nicht mehr ausreicht.
Das Problem der „Höflichkeit“: Wenn Mitarbeiter dem Unbekannten die Tür aufhalten
In der Schweizer Kultur sind Höflichkeit und Zuvorkommenheit hochgeschätzte Werte. Jemandem die Tür aufzuhalten, der die Hände voll hat, ist eine selbstverständliche Geste. Doch genau diese tief verwurzelte Höflichkeit wird von Angreifern beim sogenannten „Tailgating“ (oder „Piggybacking“) ausgenutzt. Der Angreifer wartet an einer gesicherten Tür und folgt einfach einem berechtigten Mitarbeiter, der ihm freundlicherweise die Tür offenhält. Ohne eigene Zugangsberechtigung gelangt der Angreifer so in geschützte Bereiche.
Eine weitere Variante ist das „Pretexting“, bei dem sich der Angreifer eine plausible Legende zulegt. Er gibt sich als Techniker, Kurier oder neuer Mitarbeiter aus, um Vertrauen zu erwecken und zum Eintritt aufgefordert zu werden. Die psychologische Hürde, einer solchen Person den Zutritt höflich, aber bestimmt zu verwehren, ist enorm hoch. Niemand möchte als unhöflich oder paranoid dastehen.
Die Lösung besteht darin, die Verantwortung vom Einzelnen zu nehmen und sie in einen klaren, serviceorientierten Prozess zu überführen. Anstatt zu erwarten, dass ein Mitarbeiter eine Konfrontation eingeht, geben Sie ihm ein Skript an die Hand, das sowohl sicher als auch extrem serviceorientiert ist. Eine Formulierung wie: „Einen Moment bitte, ich begleite Sie selbstverständlich gerne zum Empfang. Dort wird man sich um Ihr Anliegen kümmern und Ihnen den richtigen Zugang geben“ ist perfekt. Sie ist nicht abweisend, sondern proaktiv hilfsbereit und leitet die unbekannte Person genau dorthin, wo sie hingehört: zur offiziellen Anlaufstelle.
Es ist entscheidend, dass im Unternehmen ein Klima herrscht, in dem eine solche Vorgehensweise als normal und professionell angesehen wird. Wenn Mitarbeiter keine Angst haben müssen, für ihr sicherheitsbewusstes Handeln kritisiert zu werden, sind sie viel eher bereit, das Richtige zu tun. Das Problem ist also nicht die Höflichkeit an sich, sondern das Fehlen einer sicheren und gleichzeitig höflichen Handlungsalternative.
Das Wichtigste in Kürze
- Sicherheit ist Kompetenz, kein Misstrauen: Stärken Sie Ihre Mitarbeiter durch Verhaltensmuster, nicht durch starre Regeln, um Angriffe souverän und serviceorientiert abzuwehren.
- Psychologie schlägt Technik: Social Engineers nutzen menschliche Impulse wie Hilfsbereitschaft und Autoritätsrespekt. Das Erkennen dieser Muster ist die beste Verteidigung.
- Eine positive Meldekultur ist entscheidend: Belohnen Sie das Melden von Verdachtsfällen, um eine proaktive Sicherheitskultur zu schaffen, in der Fehler als Lernchance gesehen werden.
Wie schützen Sie Ihre Firma vor Spionageangriffen, die nicht digital, sondern per Telefon oder vor Ort erfolgen?
Während die Aufmerksamkeit oft auf digitale Bedrohungen gerichtet ist, bleibt der physische und telefonische Angriffsweg ein zentrales Risiko, insbesondere bei Wirtschaftsspionage. Ein Angreifer, der sich als Journalist, Bewerber oder Kunde ausgibt, kann in einem unbedachten Gespräch wertvolle Informationen über Projekte, Technologien oder interne Prozesse entlocken. Die Polizeiliche Kriminalstatistik 2024 zeigt eine dramatische Zunahme digitaler Straftaten, doch dies darf nicht dazu führen, die analogen Einfallstore zu vernachlässigen. Gerade der Empfang ist hier die kritische Schnittstelle.
Ein umfassender Schutz erfordert daher einen klaren Plan, der über die Abwehr von Phishing-Mails hinausgeht. Ihr Team muss wissen, was zu tun ist, wenn ein Verdacht auf einen physischen oder telefonischen Spionageversuch besteht. Wer ist die erste Ansprechperson? Welche Informationen müssen sofort dokumentiert werden? Seit dem 1. April 2025 sind Betreiber kritischer Infrastrukturen in der Schweiz sogar gesetzlich verpflichtet, Cyberangriffe innerhalb von 24 Stunden an das NCSC zu melden. Auch wenn nicht jeder Spionageversuch unter diese Meldepflicht fällt, unterstreicht dies die Notwendigkeit eines schnellen und strukturierten Vorgehens.
Der folgende Plan gibt Ihrem Empfangsteam eine klare Handlungsanweisung für den Ernstfall. Er sollte sichtbar und regelmässig geschult werden.
Ihr Plan zur Reaktion auf physische Vorfälle
- Erste Ansprechperson definieren: Bestimmen Sie eine klare Anlaufstelle (z.B. Sicherheitsverantwortlicher, Vorgesetzter) und schulen Sie das Empfangsteam, diese Person bei jedem Verdacht sofort zu informieren.
- Sofortige Dokumentation: Halten Sie alle relevanten Details schriftlich fest: Uhrzeit des Vorfalls, genauer Wortlaut der Anfrage, eine detaillierte Beschreibung der Person (Aussehen, Kleidung, Dialekt) und welche Informationen konkret gefordert wurden.
- Meldung an NCSC: Für Vorfallsmeldungen, insbesondere im Bereich kritischer Infrastrukturen (Energie, Gesundheit, Verkehr etc.), nutzen Sie die offizielle Adresse: report@ncsc.ch.
- Einschaltung der Polizei: Bei begründetem Verdacht auf gezielte Wirtschaftsspionage oder wenn eine unmittelbare Bedrohungslage entsteht, ist umgehend die zuständige kantonale Polizei zu kontaktieren.
- Interne Kommunikation: Informieren Sie nach Rücksprache mit der Ansprechperson relevante interne Stellen, um das Bewusstsein für den aktuellen Angriffsversuch zu schärfen.
Ein gut vorbereitetes Team ist ein ruhiges Team. Indem Sie diese Schritte etablieren, geben Sie Ihren Mitarbeitern die Sicherheit, auch in aussergewöhnlichen Situationen professionell und richtig zu handeln.
Häufig gestellte Fragen zu Social Engineering am Empfang
Wie kann ich höflich bleiben und trotzdem die Sicherheit gewährleisten?
Der Schlüssel liegt in einem positiven Betriebsklima und Teamzusammenarbeit. Mitarbeiter, die keine Angst haben, Fehler zuzugeben oder Entscheidungen zu hinterfragen, sind schwieriger auszutricksen. Etablieren Sie Sicherheitsprozesse (wie den Rückruf) als Standard-Serviceleistung. So ist es keine persönliche Entscheidung mehr, sondern professionelle Routine.
Was sage ich zu einem Fremden, der mir folgen will?
Eine serviceorientierte und gleichzeitig sichere Antwort ist: „Ich begleite Sie gerne zum Empfang, dort wird man Ihnen umgehend weiterhelfen.“ Diese Formulierung ist proaktiv hilfsbereit, stellt keine Konfrontation dar und führt die Person an den dafür vorgesehenen Kontrollpunkt.
Wie schaffe ich ein sicherheitsbewusstes Betriebsklima?
Ein gutes Betriebsklima fördert die offene Kommunikation. Wenn Mitarbeiter sich untereinander austauschen und keine Scheu haben, seltsame Vorfälle oder Bitten zu besprechen, kann ein Social-Engineering-Angriff viel schneller aufgedeckt werden. Fördern Sie den Austausch und etablieren Sie eine „Keine-dummen-Fragen“-Kultur.