Social Engineering: Risikofaktor Mensch
30.11.2022 | Seit Jahren steigt die Zahl der Cyberangriffe rasant an – kaum ein Unternehmen, dass sich noch nicht im Visier von Cyberkriminellen wiedergefunden hat. Die Bedrohung ist allgegenwärtig, die Angst, selbst Opfer zu werden, groß. Entsprechend ernst nehmen Unternehmen mittlerweile das Thema IT-Security und sichern ihre Systeme und Netzwerke umfassend gegen Angriffe ab.
Die Firewall steht, das Patchmanagement läuft automatisiert und das Backup-Konzept funktioniert – dann sollten Angreifer doch eigentlich keine Chance haben – oder etwa doch?!
Der Mensch als Einfallstor
IT-Sicherheit beschränkt sich nicht auf Computersysteme und Netzwerke. Wenn das Passwort auf einem Zettel am Monitor klebt, können selbst die ausgeklügeltsten Sicherheitsmaßnahmen nichts ausrichten.
Es gilt auch hier: Der Schutz ist nur so gut wie das schwächste Glied in der Kette, und das sind die Anwender. Das wissen auch die zahlreichen Angreifer, die es auf die Daten von Unternehmen abgesehen haben und richten ihre Angriffsstrategien entsprechend aus. Social Engineering als Angriffsmethode erfreut sich zunehmender Beliebtheit – auch deshalb, weil die Angreifer über keine besonderen technischen Kenntnisse verfügen müssen.
Besonders die großen, global agierenden Unternehmen stehen hierbei immer wieder im Fokus. Da ihre IT-Infrastrukturen in der Regel umfassend abgesichert sind, kommen die Angreifer nicht weit, weshalb sie versuchen, über die Mitarbeitenden an Informationen zu gelangen.
Was ist Social Engineering?
Beim Social Engineering setzen die Täter bei ihren Opfern auf die überaus menschliche Eigenschaft, anderen Menschen zu vertrauen. Social Engineering als Betrugsmasche ist nicht neu – im Gegenteil. Doch was früher als Trickbetrug an der Tür oder Enkel-Trick am Telefon stattfand, verlagert sich zunehmend in den digitalen Bereich. Hier eröffnen sich den Tätern deutlich effektivere und auch lukrativere Möglichkeiten, eine unbegrenzt große Anzahl potenzieller Opfer zu erreichen.
Ziel des Social Engineerings ist es, Menschen derart zu manipulieren, dass sie Sicherheitsfunktionen umgehen und vertrauliche Informationen wie etwa Passwörter oder Bankdaten preisgeben.
Die Vorgehensweisen sind dabei ganz unterschiedlich – mal wird an die Hilfsbereitschaft appelliert, dann wiederum die Wirkung von Autoritäten ausgenutzt oder das Opfer anderweitig subtil unter (Handlungs-)Druck gesetzt. Das kann eine Mail des Vorgesetzten sein, der eine Überweisung anordnet, ein Link in Social Media, hinter dem sich der Preis eines Gewinnspiels verbirgt oder eine SMS, in der mitgeteilt wird, dass der eigene Account gehackt wurde.
Es klingt weit hergeholt und insgeheim denkt man sich: „Darauf würde ich nicht reinfallen“, doch die Realität sieht leider anders aus: Die Angreifer bereiten sich teilweise hervorragend vor, nutzen gezielt öffentlich zugängliche Informationen, die sie z.B. in den sozialen Netzwerken finden, um ihre Opfer überzeugend zu täuschen.
Und am Ende genügt ein einziger unachtsamer Moment eines einzelnen Mitarbeiters, ein einziger falscher Klick, damit kriminelle Angreifer den sprichwörtlichen Fuß in die Tür des Unternehmensnetzwerkes bekommen.
Manipulation par excellence
Beim Social Engineering suchen Cyberkriminelle nach der einfachsten Stelle, um ins Netzwerk oder an Informationen zu gelangen, und das ist – besonders in großen Unternehmen und Konzernen – der Mensch.
Ein prominenter Fall war im September dieses Jahres der erfolgreiche Angriff auf den Fahrdienstvermittler Uber. Hierbei gab sich der Angreifer in einer Text-Nachricht an einen Uber-Mitarbeiter als Kollege aus der IT-Abteilung aus. Er lotste ihn auf eine gefälschte Webseite des Unternehmens, wo sich der vermeintlich hilfsbereite Mitarbeiter mit seinem Passwort einloggte und anschließend per Multifaktor-Authentifizierungs-App (MFA) im VPN von Uber authentifizierte. Einmal im Netzwerk, drang der Hacker tief in die internen Systeme ein und verschaffte sich u.a. administrativen Zugriff auf die Cloud-Dienste von Uber.
Kurz zuvor, im August, hatte es die Kommunikationsplattform Twilio auf ähnlich „simple“ Weise getroffen. Auch hier ging der Angriff von einfachen Textnachrichten aus, die im Namen von Twilio an die privaten Geräte von Mitarbeitenden gesendet wurden. In den SMS enthalten war ein Link, der auf eine Phishing-Webseite führte, auf der schließlich die Zugangsdaten und Codes zur Zwei-Faktor-Authentisierung ausgespäht wurden.
Die Liste ließe sich beliebig fortsetzen, immer wieder kommen neue Vorfälle hinzu. Was die beiden ausgewählten Beispiele jedoch deutlich aufzeigen, ist, wie gering der Aufwand für die Angreifer beim Social Engineering ist. Der Nutzen ist dagegen – vorausgesetzt, der Angriff verläuft erfolgreich – umso größer! Große Unternehmen wie Uber und Twilio sind für Cyberkriminelle besonders attraktive Ziele, da sie über enorme Mengen sensibler (Kunden-) Daten verfügen, die sich im Darknet zu Geld machen lassen.
Social Engineering erkennen und abwehren
Mit Hinblick auf die ausgeklügelten Methoden des Social Engineerings gilt grundsätzlich: Vorsicht ist besser als Nachsicht! Nehmen Sie deshalb immer eine Plausibilitätskontrolle vor.
Doch aufgepasst, der Teufel steckt im Detail: Eine Mail sieht ungewöhnlich aus? Der Text klingt so gar nicht nach dem Kollegen aus der IT? Der Link zur Sicherung des gehackten Accounts wirkt verdächtig? Dann sollten Sie sich besser absichern, ob dahinter tatsächlich der vermeintliche Absender steckt. Greifen Sie zum Telefon, oder nutzen Sie einen anderen Kanal, fragen Sie nach und gehen Sie lieber einmal zu viel auf Nummer sicher, als einmal zu wenig!
Achten Sie darauf, welche Informationen Sie über die sozialen Netzwerke preisgeben. Um Ihre Freude über den bevorstehenden Urlaub zu teilen, sollten Sie z.B. besser kein Foto vom Boarding Pass posten. Datendiebe könnten die Informationen, die im Barcode enthalten sind, auslesen und für kriminelle Zwecke missbrauchen. Achten Sie bei der Veröffentlichung von Bildern außerdem darauf, was im Hintergrund zu sehen ist.
Geben Sie niemals vertrauliche Informationen wie Passwörter, Zugangsdaten oder Kontodaten per Telefon oder E-Mail weiter. Kein seriöses Unternehmen wird Sie jemals dazu auffordern!
Wenn es um die Gefahren des Cybercrime geht, heißt es, wachsam bleiben, denn die Zahl der Attacken steigt seit Jahren drastisch an. Das gilt auch für Social-Engineering-Angriffe. 2021 waren Unternehmen im Durchschnitt 700 dieser Attacken ausgesetzt, wobei der Großteil der Angriffe auf Mitarbeitende außerhalb der Führungseben erfolgte.
Eine Frage des Bewusstseins
Um sich vor dieser wachsenden Bedrohung zu schützen, sollten Unternehmen dringend in die Sensibilisierung ihrer Mitarbeitenden investieren.
- Informieren Sie in Schulungen über die Funktionsweise von Social Engineering.
- Schaffen Sie ein Bewusstsein für die Gefahren.
- Sprechen Sie klare Verhaltensregeln für den Verdachtsfall aus.
- Schaffen Sie eine zentrale Anlaufstelle für Fragen rund um IT-Security.
Zudem können Sie mit regelmäßigen Phishing-Simulationen dazu beitragen, die Awareness unter Ihren Mitarbeitenden zu erhöhen und sie für den Ernstfall vorzubereiten.
Nur dann, wenn sich Ihre Mitarbeitenden der Bedrohung durch Social Engineering bewusst sind und wissen, wie sie sich im Zweifelsfall verhalten sollen, kann aus dem „Risikofaktor Mensch“ ein Sicherheitsfaktor werden, der aktiv zum Schutz Ihres Unternehmens beiträgt.
Sie haben Fragen rund um das Thema IT-Security in Ihrem Unternehmen oder möchten mehr darüber erfahren, wie Sie sich effektiv nach außen absichern? Dann sind wir gerne für Sie da! Sie erreichen uns telefonisch unter +49 (7805) 918-0 oder über das Kontaktformular.
Sie haben Fragen oder interessieren sich für das Thema Social Engineering? Dann füllen Sie einfach das Kontaktformular aus und wir melden uns bei Ihnen.
