Social Engineering Security: Die Schwachstelle Mensch

Klar: Heutzutage gibt es unter anderem Virenscanner, Firewalls und Co.. Diese dienen dazu, etwaige Angriffe abzuwehren. Noch dazu sind die Lösungen, die sich hinter ihnen verbergen, immer vielseitiger und individueller geworden. Das bedeutet, dass es – ohne den „Umweg“ über den Menschen – immer schwerer wird, sich Zutritt zu verschaffen.

Aber wie kann dieser „Umweg“ eigentlich aussehen? Und was macht ihn so gefährlich? Fest steht, dass Cyberkriminelle ihre Herangehensweise in der Vergangenheit immer wieder ändern und an die Möglichkeiten moderner Abwehr-Programme anpassen mussten. Somit verwundert es nicht, dass das Social Engineering mehr in den Fokus gerückt ist. Die folgenden Abschnitte gehen etwas genauer auf Social Engineering ein und zeigen, welche Methoden Unbefugte nutzen und liefern hilfreiche Tipps, die dabei helfen können, Ihr Unternehmen vor Social Engineering zu schützen.   

Was ist Social Engineering?

Das Ziel von Social Engineering ist es, vertrauliche Informationen zu erhalten. Letztere sind im Zeitalter der Digitalisierung in der Regel in Computersystemen gespeichert. Und genau an dieser Stelle setzt Social Engineering an.

Hier nutzen Kriminelle das Vertrauen von Menschen, die mit den entsprechenden Systemen arbeiten, aus, um:

• verschiedene Sicherheitsfunktionen zu deaktivieren
• Kenntnis über Passwörter zu erhalten
• Überweisungen und/oder Bestellungen auszuführen.

Im Gegensatz zu anderen Möglichkeiten, sich Zugang zu bestimmten Systemen zu verschaffen, liegt der Fokus hier klar auf der „Social“-Komponente. Es geht nicht darum, zum Beispiel nur mit einer bestimmten Software, Passwörter auszulesen oder sich auf andere Weise Zutritt zu verschaffen. Vielmehr hoffen die Kriminellen beim Social Engineering, die Informationen und Grundvoraussetzungen, die es braucht, um sich in ein System einloggen zu können, von den Usern selbst zu erhalten. Dieses Ziel erreichen sie erschreckenderweise oft einfacher als gedacht.

Social Engineering: Welche Methoden gibt es?

Vielleicht ist es dem Umstand geschuldet, dass Social Engineering für Kriminelle durchaus oft verlässliche Zugangsmöglichkeiten bietet, dass die betreffenden Personen im Laufe der Zeit deutlich „kreativer“ geworden sind. Die folgenden Punkte zeigen auf, welche Methoden im Zusammenhang mit Social Engineering heutzutage besonders häufig zum Einsatz kommen.

Phishing

Beim Phishing handelt es sich um einen absoluten Klassiker, wenn es darum geht, Daten von Internetnutzern zu sammeln. Die Kriminellen versenden Nachrichten, in denen sie sich als „Person XY“ ausgeben und um die Herausgabe von Bankdaten, Passwörtern oder Ähnlichem bitten. Häufig gelingt es den Absender*innen, ein hohes Maß an emotionalem Druck aufzubauen, indem sie mit Strafen und der Chance, diese „jetzt noch“ abwenden zu können, drohen. Als besonders gefährlich erweist sich der Umstand, dass das Integrieren von (vom Original nur schwer zu unterscheidenden) Logos den Mails einen noch offizielleren Charakter verleiht. Zahlreiche Adressaten sind derart eingeschüchtert, dass sie – auch teilweise hohe Summen – schnell zahlen, ohne das Ganze zu hinterfragen.

Eine spezielle Form des Phishings stellt das Spear Phishing dar. Hier versenden die Kriminellen ihre Mails nicht inflationär an möglichst viele Adressen, sondern ganz gezielt an ein einziges Unternehmen. Sie investieren nicht selten viel Zeit, wenn es darum geht, dieses im Vorfeld genau zu überwachen und zum Beispiel mit Mitarbeiter*innen zu sprechen. Ausgestattet mit den nötigen Informationen gelingt es ihnen dann oft, sich in das interne Netzwerk einzuloggen.

Baiting

Beim Baiting bauen die Kriminellen in der Regel keinen Druck auf. Stattdessen versuchen sie, die Daten, die sie stehlen möchten, über Geschenkeversprechen und Ähnliches zu bekommen. Sie stellen ein Online-Formular zur Verfügung, das ausgefüllt werden soll. Danach – so versprechen sie – erhalten die Personen, die die jeweiligen Informationen zur Verfügung gestellt haben, einen Gutschein, ein Geschenk oder eine andere Belohnung. Stattdessen werden die Daten, die an den entsprechenden Stellen eingetragen wurden, für Angriffe auf das Computersystem genutzt.

Pretexting

Die Grundlage für Pretexting-Angriffe bilden Maßnahmen, auf deren Basis das Vertrauen eines Mitarbeitenden (oder des Geschäftsführenden) erschlichen werden soll. Dementsprechend kalkulieren viele Kriminelle hier etwas mehr Zeit ein. Anstatt direkt – wie es beim Phishing oft der Fall ist – nach vertraulichen Informationen zu fragen, geht es beim Pretexting darum, zunächst ein wenig vorzufühlen und eine Beziehung aufzubauen. Zahlreiche Cyberkriminelle werden hier sehr kreativ, indem sie zum Beispiel Kontakte aus der Vergangenheit („Wir haben uns damals auf der Messe kennengelernt. Erinnern Sie sich nicht?“) erfinden oder sich als Finanzbeamte ausgeben, die Einblick in die letzten Bilanzen fordern. Häufig fällt es schwer, echte Anfragen und Kontaktaufnahmen von Pretexting zu unterscheiden. Immerhin dürften diejenigen, die angesprochen werden, jeglichen haltlosen Anschuldigungen, die mitunter vielversprechende Geschäftsbeziehungen zerstören, vorbeugen wollen. Und übrigens: Pretexting muss nicht immer ausschließlich in der digitalen Welt stattfinden. Stattdessen treffen Kriminelle und ihre Opfer häufig „im echten Leben“ aufeinander, wenn zum Beispiel „wichtige Geschäftstreffen“ fingiert werden.

Media Dropping

Hier spielen die Kriminellen mit der Not, aber auch mit der Neugierde ihrer Opfer. Das Prinzip, das sich hinter Media Dropping verbirgt, ist schnell erklärt. Hier legen diejenigen, die ein Unternehmen ausspionieren wollen, ein Speichermedium, meist einen USB-Stick, an einer Stelle im Gebäude ab, wo dieses früher oder später gefunden wird. Beschriftungen, wie „Passwörter“ oder „Umsatzliste“ sorgen häufig schnell dafür, dass sich mindestens ein Mitarbeitender findet, der sich nicht nur auf die Suche nach der Eigentümerin oder dem Eigentümer begibt, sondern den Datenträger öffnet. Wurde hier eine Malware installiert, kann diese das komplette System schädigen und/oder auslesen.   

Tailgating

Was sich in Teilen wie die Handlung eines Agentenfilms anhören mag, hat in vielen Unternehmen schon zu enormen Datenverlusten geführt. Beim Tailgating durchlaufen Kriminelle ein komplettes Bewerbungsgespräch, lassen sich einstellen und verfügen dann über die „perfekte“ Ausgangssituation, um sich die Informationen zu beschaffen, die sie brauchen.

CEO Fraud

Wer würde seiner Chefin oder seinem Chef nicht die Informationen geben, die dieser „jetzt sofort und ganz dringend“ benötigt? Beim CEO Fraud machen sich Kriminelle genau das zunutze. Sie geben sich als direkter Vorgesetzter – zum Beispiel am Telefon oder per Mail – aus und fragen Details zu Geschäftsbeziehungen und Co. ab. In einer Zeit, in der viele Menschen in großen Unternehmen arbeiten und ihren Abteilungsleiter vielleicht noch nie gesehen haben, ist dies oft problemlos möglich.

Scareware

Dass zahlreiche Personen Angst davor haben, dass ihre PC-Systeme von Kriminellen (oder deren Malware) ausgelesen werden könnten, ist nicht neu. Und genau das nutzen diejenigen, die sich Zutritt verschaffen möchten, aus. Sie sorgen dafür, dass – zum Beispiel beim Besuch einer Webseite – ein Pop-Up-Fenster erscheint, das vor einem akuten Virenbefall warnt. Die tatsächlichen Viren werden jedoch erst dann heruntergeladen, wenn die betreffende Person auf den Link in besagtem Pop-Up klickt, der auf „die schnellstmögliche Lösung des Problems“ verweist.

Honeypots

So gut wie jeder, der über eine aktive E-Mail-Adresse verfügt, dürfte in der Vergangenheit bereits mindestens eine sogenannte Honeypot-Mail bekommen haben. Während sich im privaten Bereich häufig ein Absender meldet, der das potenzielle Opfer über eine angebliche Erbschaft informieren möchte, sind es auf geschäftlicher Ebene oft besonders lukrative Aufträge, die in Aussicht gestellt werden. Basierend hierauf fragen die Kriminellen dann die Daten, für die sie sich interessieren, ab.

Social Engineering Attacken: Der Mensch als Schwachstelle

Die gute Nachricht zuerst: In einer Zeit, in der bereits viele Unternehmen (und Privatpersonen) unter den Folgen von Social Engineering leiden mussten, haben immer mehr Anbieter einschlägige Lösungen entwickelt. Diese dienen dazu, die Gefahr, die von Phishing und Co. ausgeht, möglichst im Keim zu ersticken.

Und genau aufgrund dieser Weiterentwicklung und wegen der Tatsache, dass es unter dem Einsatz von Virensoftware und anderen einschlägigen Lösungen für Kriminelle durchaus schwer geworden ist, sich vor Angriffen zu schützen, bleibt eine Schwachstelle: der Mensch.

Mittlerweile werden zahlreiche Daten geklaut, weil diejenigen, die durch Cyberkriminelle – entweder per Mail, per Pop-Up oder persönlich – angesprochen werden, hin und wieder zu leichtgläubig sind beziehungsweise zu schnell reagieren. Vor allem Emotionen, wie Angst, sorgen dafür, dass die Betreffenden nicht dazu in der Lage sind, die Situation korrekt einzuschätzen. Hieraus ergibt sich nicht selten ein großer Schaden, der eigentlich bei genauer Hinsicht vermeidbar gewesen wäre.

So schützen Sie Ihr Unternehmen vor Social Engineering

Unternehmen sind den potenziellen Social Engineering Angriffen von Cyber-Kriminellen nicht schutzlos ausgeliefert. Stattdessen gibt es einige Möglichkeiten, sich vor Social Engineering und seinen Folgen zu schützen. Einige Beispiele und Tipps finden Sie in den folgenden Abschnitten:

Eine umfassende Sicherheitsanalyse

Im ersten Schritt ist es wichtig, sich einen Überblick über den Ist-Zustand in Ihrem Unternehmen zu verschaffen. juunit hilft Ihnen dabei, herauszufinden, wie Sie aktuell gegen Attacken unterschiedlicher Art gewappnet sind und wo eventuell noch „Luft nach oben“ besteht. Die Experten überwachen aktuelle Bedrohungen und zeigen auf, welche maßgeschneiderten Lösungen sich am besten dazu eignen, um in Ihrem Unternehmen eingesetzt zu werden.

Komplexe Passwörter

In einer Zeit, in der jeden Tag aufs Neue etliche Netzwerke illegal ausgelesen werden, mag es ein wenig verwunderlich erscheinen. Aber: Es gibt immer noch etliche PCs, die mit Passwörtern, wie „12345“ „gesichert“ sind. Nutzen Sie am besten immer komplexe Kombinationen, die aus Ziffern, Buchstaben und Sonderzeichen bestehen.

Eine bedachte Einschätzung von Situationen

Es kommt Ihnen „irgendwie komisch“ vor, dass eine unternehmensfremde Person Sie nach einem Passwort fragt? Das sollte es auch. Versuchen Sie, sich und Ihre Mitarbeitenden entsprechend zu sensibilisieren. Bieten Sie zudem regelmäßige Schulungen an, die es Ihrem Team ermöglichen, Gegebenheiten rund um Passwort-Abfragen besser einschätzen.

Regelmäßige Updates

Damit Sie sich optimal vor Viren schützen können, müssen Ihre genutzten Sicherheitslösungen regelmäßig upgedated werden. Ansonsten schaffen Sie eine Angriffsfläche, die eigentlich vermeidbar wäre.

Die weitere Sensibilisierung der Mitarbeitenden

Um sicherzustellen, dass möglichst wenig Gefahr durch die „Schwachstelle Mensch“ droht, braucht es eine kontinuierliche Sensibilisierung der Mitarbeitenden. Wenn jeder einzelne weiß, wie er sich bei einem drohenden Datenklau zu verhalten hat, ist es oft möglich, das individuelle Risiko eines jeden Unternehmens zu senken.

FAQ: Social Engineering - Die häufigsten Fragen

<FAQ>

<FRAGE>

Was genau ist Social Engineering und warum ist es so gefährlich?
<ANTWORT>

Social Engineering ist eine Angriffsmethode, bei der Cyberkriminelle psychologische Manipulation nutzen, um an vertrauliche Informationen zu gelangen. Besonders gefährlich ist es, weil dabei nicht technische Schwachstellen, sondern der Mensch als „Sicherheitslücke" ausgenutzt wird. Auch das beste IT-Sicherheitssystem kann durch unvorsichtiges Mitarbeiterverhalten umgangen werden.

<FRAGE>

Wie erkenne ich typische Social Engineering Attacken im Geschäftsalltag?

<ANTWORT>

Achten Sie auf diese Warnsignale:

• Ungewöhnlich dringende Anfragen von vermeintlichen Vorgesetzten
• Aufforderungen zur Überweisung größerer Geldbeträge
• Unerwartete Anfragen nach vertraulichen Daten
• E-Mails mit zweifelhaften Absenderadressen
• Zu gut klingende Angebote oder Gewinnversprechen

<FRAGE>

Welche Sofortmaßnahmen sind bei einem vermuteten Social Engineering Angriff zu ergreifen?
<ANTWORT>

Folgende Schritte sind wichtig:

1. Nicht unter Druck setzen lassen
2. Verdächtige Anfragen über einen zweiten Kommunikationskanal verifizieren
3. Keine vertraulichen Daten oder Zugangsdaten herausgeben
4. IT-Support (in diesem Fall juunit) sofort informieren
5. Vorgesetzte über den Vorfall in Kenntnis setzen

<FRAGE>

Wie kann ich meine Mitarbeiter*innen vor Social Engineering schützen?
<ANTWORT>

Die besten Schutzmaßnahmen sind:

• Regelmäßige Schulungen und Sensibilisierungsmaßnahmen im Unternehmen
• Klare Kommunikationsrichtlinien im Unternehmen, insbesondere via E-Mail
• Etablierte Prozesse für die Freigabe sensibler Informationen
• Implementierung des Vier-Augen-Prinzips bei kritischen Aktionen
• Regelmäßige Sicherheitsupdates und -briefings

<FRAGE>

Welche Unterstützung bietet juunit beim Schutz vor Social Engineering?
<ANTWORT>

juunit bietet ein umfassendes Sicherheitspaket:

• Implementierung von Sicherheitsrichtlinien
• Technische Schutzmaßnahmen (E-Mail-Filter, Firewall etc.)
• 24/7-Support bei Sicherheitsvorfällen
• Regelmäßige Sicherheitsaudits und Schwachstellenanalysen

</FAQ>