ABin irgendwie auch der Meinung, dass die Firma, die sich da hat hacken lassen (bzw. um sensible Daten bringen lassen) durchaus mal etwas Geld in IT Sicherheit stecken sollte. Was natürlich den Schuld-Ball nicht komplett zu denen schiebt.
Vor so etwas ist einfach niemand sicher, weil jeder mal so erwischt werden kann.
Oft gab es kein vorhergehendes Hacking oder so, da reichen schon Informationen aus normaler öffentlicher Kommunikation. Wenn in einer Stellenanzeige ein Passus steht wie "ihre Ansprechpartnerin ist Frau Bettina Schulze", kann man damit schon was anfangen. Dann schreibt man die Personalabteilung an, fragt was vollkommen harmloses und bekommt eine Antwortmail, aus deren Mail-Signatur sich noch mehr Informationen ziehen lassen. So hangeln sich die Angreifer dann schrittweise durch, bis sie ein Opfer gefunden haben.
Firmen die scharf auf Zertifizierungen sind, müssen regelmäßige Trainings ihrer Mitarbeiter nachweisen. Da gibt es wirklich sehr gute Online-Trainings, die auch auf die Themen Social Hacking, Scamming und so weiter eingehen. Ich kenne keine genauen Preise, aber alle Angestellten einmal jährlich ein zweistündiges Training machen zu lassen ist definitiv günstiger, als einmal einen großen Schadensfall zu erleben. Leider sehen viele Firmen bei sowas nur die Kosten und nicht den Nutzen.