Social Engineering

Der Mensch als Sicherheitsrisiko

05.07.2021 | Wenn es um Cybersicherheit geht, denken die meisten von uns an Schadsoftware oder Hackerangriffe auf Datennetze mit technologischen Mängeln. Kriminelle Täter:innen nutzen auch menschliche Schwächen aus, um Unternehmen und Netzwerke zu infiltrieren. Diese Taktik wird als Social Engineering bezeichnet: Menschen werden geschickt dazu verleitet, Informationen offenzulegen oder Zugang zu Datennetzen zu gewähren.

In Unternehmen können sich Angreifer:innen beispielsweise als IT-Support-Mitarbeiter:innen ausgeben und so Kennwörter und Benutzernamen erhalten. Viele Personen sind überraschenderweise bereit, Informationen bereitzustellen, insbesondere wenn das Individuum, mit dem Sie sprechen, echt zu sein scheint.

Was ist Social Engineering und woher kommt der Begriff?

Kurz gesagt: Beim Social Engineering werden Menschen dazu verleitet, Zugang zu gewähren oder Daten und Informationen offenzulegen.

Social Engineering ist somit der zwischenmenschliche Einfluss auf eine Person. Der Täter oder die Täterin versucht, das Vertrauen des Opfers zu gewinnen und beispielsweise zu überzeugen, vertrauliche Informationen preiszugeben oder Kreditkarteninformationen und Passwörter offenzulegen. Social Engineering wird nicht nur im Internet verwendet, sondern ist eine alte Betrugsmasche, die seit vielen Jahrzehnten eingesetzt wird. Eine der bekanntesten Betrugsmethoden ist der Enkel-Trick, bei dem Betrüger:innen einen Anruf nutzen, um ältere Menschen davon zu überzeugen, dass sie Verwandte sind und dringend Geld benötigen.

Eine frühe Form des Social Engineering wurde in den 1980er-Jahren durch Phreaking praktiziert. Phreaker riefen Telefongesellschaften an, gaben sich als Systemadministratoren aus und fragten nach neuen Passwörtern, mit denen sie schließlich kostenlose DFÜ-Verbindungen herstellten. Trotz der scheinbaren Banalität führt diese Methode immer wieder zu spektakulären Diebstählen von Zugangsdaten und anderen wichtigen Informationen.

Wie funktioniert Social Engineering?

Wie Social Engineering abläuft, kann leicht erklärt werden. Die Idee des Social Engineering scheint trivial, aber in der Praxis erweist sie sich als eine der effektivsten Methoden der Infiltration. Die Gründe dafür sind sowohl positive als auch negative Charaktereigenschaften, die fast jeder Mensch hat. In den meisten Kulturen wird es als sozial wünschenswert angesehen, gut und nützlich zu sein. Vielen Menschen fällt es schwer, im Notfall eine Anfrage abzulehnen. Andere zeigen Kooperationsbereitschaft und befürchten die falsche Reaktion in unbekannten Situationen.
Diese Manipulationsversuche konzentrieren sich jedoch nicht immer auf die guten Eigenschaften einer Person. Stolz auf die eigene Arbeit oder den Unternehmenserfolg können Mitarbeiter:innen dazu ermutigen, direkt vor dem Täter oder der Täterin mit vertraulichen Informationen zu prahlen. Dies kann beispielsweise in einem vorgetäuschten Interview mit Kund:innen oder während eines Vorstellungsgesprächs erfolgen. Der Wunsch, Konflikte zu vermeiden, führt häufig dazu, dass sicherheitskritische Maßnahmen mit Zugangsdaten in einem Netzwerk durchgeführt werden.

Auf der anderen Seite ist das Spielen der Angst bei Angestellten eine weitere Vorgehensweise für kriminelles Handeln. Wenn Angreifende mit relevanten Zugangsdaten versorgt werden wollen, schüchtern sie Mitarbeiter:innen mit wenig technologischem Verständnis oft ein. Social Hacker nutzen dafür ihre Angst vor dem Vorgesetzten, wobei ein gefälschter Zahlungsauftrag, der von einer Führungsposition per E-Mail an den Mitarbeiter oder die Mitarbeiterin gesendet wird, eine beliebte Betrugsmethode darstellt.

Um von ihren Opfer Zugangsdaten zu einem Netzwerk zu ergaunern, geben sich Betrüger oder Betrügerinnen beispielsweise als Kolleg:innen, vorgesetzte Person oder Arbeitssuchende aus. Darüber hinaus simulieren Angreifende des Öfteren die Rolle einer angestellten Person, der die Kundenzufriedenheit aufzeichnet oder im Auftrag einer Forschungseinrichtung eine Branchenumfrage durchführt.

Sogenannte Social Engineers beschränken sich nicht auf einmalige Kontakte oder eine Schadsoftware. Sie können das Opfer auch für einen bestimmten Zeitraum um harmlose Gefälligkeiten bitten oder es durch Small Talk unterstützen. In diesem Fall erfolgt der Hack mit einer Schadsoftware erst dann, wenn ein bestimmtes Vertrauensniveau erreicht ist. Einem solchen Angriff gehen umfangreiche Forschungen voraus. Neben der Website des Unternehmens stehen soziale Medien wie Facebook oder LinkedIn als Informationsquellen zur Verfügung. Dumpster Diving geht noch weiter: Kriminelle durchsuchen den Mülleimer des Opfers, um beiläufig weggeworfene Geschäftsdokumente zu stehlen.

Social Engineering ist per E-Mail oder Telefon weit verbreitet, da ein solcher Angriff mit geringem technischem Aufwand automatisiert werden kann. Das Risiko, versehentlich Unternehmensgeheimnisse preiszugeben oder auf Daten vom Netzwerk offenzulegen, besteht jedoch auch im publiken Verkehr sowie in Cafés, Bars oder Restaurants. Insbesondere Mitarbeiter:innen, die geschäftliche Anrufe auf ihren Mobiltelefonen entgegennehmen, diskutieren häufig öffentlich und ohne Rücksicht auf Abhörmaßnahmen die internen Angelegenheiten des Unternehmens.

Welche Methoden gibt es?

Kriminelle verwenden eine Vielzahl von Social-Engineering-Techniken. Um für mehr Sicherheit zu sorgen, müssen wir verstehen, was Social Engineering ist und wie es arbeitet. Sobald Sie die Logik verstanden haben, ist es viel einfacher, einen Angriff abzuwehren.

Köder

Mit dieser Methodik legt ein Angreifer oder eine Angreiferin beispielshalber in Form eines USB-Laufwerks mit vorinstallierter Schadsoftware einen Köder ab. Sobald jemand aus Neugier das USB-Flash-Laufwerk mit dem System verbindet, wird es gehackt. Heute gibt es sogar USB-Flash-Laufwerke, die Computer ernsthaft beschädigen oder vollständig zerstören können.

Phishing

Dieser Angriff sendet gefälschte Textnachrichten oder E-Mails im Namen vertrauenswürdiger Quellen und bittet die Empfänger um Informationen. Sehr oft imitieren Kriminelle seriöse Banken und bitten Kunden und Kundinnen, ihre Transaktionen zu bestätigen. Die Opfer werden auf eine gefälschte Website geleitet, auf der ihre Anmeldeinformationen aufgezeichnet werden.

Voice Phishing

Dieser Angriff ist beim Social Engineering eine Unterform von Phishing.

Beim Voice Phishing werden Sie telefonisch nach Informationen gefragt. Kriminelle geben häufig vor, Mitarbeiter:in zu sein, z. B. IT-Helpdesk-Mitarbeiter:in, die Ihre Anmeldeinformationen benötigen. Smishing funktioniert genauso, verwendet jedoch SMS.

Social Media

Mit dieser Methode zielen Angreifer und Angreiferinnen auf die Kontakte ihres Opfers und hacken sich in ihr E-Mail-Konto oder in Social Media-Konten. Sie geben dann vor, Kontaktopfer zu sein. Manchmal behaupten sie, ihre Brieftasche sei gestohlen worden oder sie wurden ausgeraubt. Sie fragen dann, ob ein Freund schnell Geld auf dieses oder jenes Konto überweisen könnte. Alternativ senden sie einen Link, den die betroffenen Personen ansehen sollten. In diesem Fall wird eine Schadsoftware oder ein Keylogger-Trojaner installiert.

Update

Manchmal werden die Opfer aufgefordert, als Gegenleistung für (Anmelde-) Informationen etwas zu erhalten. Zum Beispiel wird Computerbenutzer:innen ein Update angeboten, um ein gefährliches Sicherheitsproblem zu beheben. In Wahrheit ist das Programm selbst eine Schadsoftware.

Vorwand

Bei dieser Herangehensweise versuchen Angreifer und Angreiferinnen mittels einer Rechtfertigung, das Vertrauen ihres Opfers zu gewinnen und es zur Offenlegung von Informationen zu überreden.

Eine solche Maßnahme könnte beispielsweise eine Umfrage im Internet sein, die harmlos erscheint, dann aber nach Bankdaten fragt. Einige Hacker:innen sind mutig genug, sich als Systemprüfer eines Unternehmens auszugeben, um den Mitarbeiter:innen wertvolle Zugangsdaten zu entlocken.

Pharming

Die meisten der vorigen beschriebenen Herangehensweisen sind recht simpel und fallen unter die Jagdkategorie (Hunting): Kriminelle steigen ein, stehlen alle Informationen, die sie bekommen können und gehen. Bei einem Pharming Angriff dagegen bauen sie Beziehungen zum Opfer auf, um über einen längeren Zeitraum mehr Informationen zu erhalten. Diese Praxis ist für einen Angreifer oder eine Angreiferin viel riskanter, da sich die Wahrscheinlichkeit erhöht, dass sie enttarnt werden. Wenn es ihnen jedoch gelingt, zu infiltrieren, ist die Informationsmenge erheblich höher als bei anderen Methoden.

Wie kann ich mich schützen?

Schulung, Aufklärung und Prävention sind die einzigen Möglichkeiten, um Menschen auf die ständige Bedrohung durch Social Engineering aufmerksam zu machen und für mehr Sicherheit zu sorgen. Je höher das Bewusstsein für die Bedrohungssituation ist, desto wahrscheinlicher ist es, dass der Angriff auffliegt.

Implementierungstipps:

  • Senden Sie Benachrichtigungen über laufende Betrugsversuche
  • Bieten Sie Schulungen zu Social Engineering an
  • Legen Sie klare Sicherheitsregeln und -richtlinien für die spezifische Implementierung fest (z. B. 3-Sekunden-Sicherheitsüberprüfung für E-Mails)
  • Führen Sie nicht deklarierte Simulationen aus

IT-technische Sicherheitsmaßnahmen müssen mit einer Sensibilisierung der Mitarbeiter und Mitarbeiterinnen einhergehen:

  • Strikte Zugriffskontrolle für Anwendungen und Systeme
  • Das erforderliche Passwort ändert sich in regelmäßigen Abständen
  • Patch und Patch-Management
  • Protokolldaten überwachen
  • Segmentierung des Netzwerks
  • Eine Web Application Firewall (WAF) bietet zusätzliche Anwendungssicherheit und Schutz vor Social Engineering

Sie sind Opfer eines Cyberangriffs geworden?

Ist ein Cyberangriff erfolgt, muss der wirtschaftliche Schaden schnellstmöglich unter Kontrolle gebracht werden.
Die Security-Spezialisten der LEITWERK AG stehen Ihnen zur Seite:

Ein Beispiel aus der Praxis

Social Engineering wird immer wieder von Kriminellen eingesetzt, um sich finanziell zu bereichern. Stellen Sie sich einmal Folgendes vor: Sie arbeiten in einem großen Unternehmen, in dem Sie nicht alle Vorgesetzten persönlich kennen. Der Austausch erfolgt meist gar nicht mit den obersten Vorgesetzten. Dann bekommen Sie eine Mail von einem der Vorgesetzten mit einer dringlichen Bitte. Viele würden sicherlich die gewünschte Bitte schnellstmöglich bearbeiten wollen. So etwas ist bei dem Luftfahrt-Zulieferer FACC tatsächlich vorgefallen. Diese Fälle sind keine Einzelfälle, doch in diesem ging es um eine extrem hohe Summe. So wurde eine Mitarbeiterin von einem ihrer angeblichen Vorgesetzten in äußerster Dringlichkeit und Geheimhaltung aufgefordert 50 Millionen vom Firmenkonto auf ein externes Konto zu überweisen. Es ging um eine angebliche Firmenübernahme im Ausland, diese Übernahme sollte diskret ablaufen, daher wurde sie zu Geheimhaltung aufgefordert. Die Mitarbeiterin tat was von ihr verlangt wurde. Die Mail stammte nicht von ihrem Vorgesetzten, sondern von Betrügern und somit verlor die Firma 50 Millionen Euro.

Vorsicht ist besser als Nachsicht

Das Beispiel der Mitarbeiterin zeigt, dass Mitarbeiter:innen eines Unternehmens dringend sensibilisiert werden sollten für solche Gefahren. Aufklärung auf Unternehmensseite sorgt für geringere Chancen und Möglichkeiten für einen Betrug. Zudem sollte immer ein 4-Augen-Prinzip gelten, heißt ein Mitarbeiter oder eine Mitarbeiterin hat nur dann Zugriff auf ein kritisches System, wenn eine weitere befugte Person eine Freigabe erteilt. Eine Social Engineering Attacke hat bei einer Multi-Faktor-Authentifizierung deutlich weniger Erfolg. Zudem empfiehlt es sich, gerade in größeren Unternehmen, auf Managed Services zurückzugreifen, um die Sicherheit Ihrer sensiblen Daten, durch Überwachung und Authentifizierung zu gewährleisten.

Social Engineering ist gerade deshalb so gefährlich, weil Angreifer:innen Lücken bzw. mögliche Schwächen in einem Unternehmen für ihre eigenen betrügerischen Zwecke nutzen. Wenn Sie jedoch ihre Strategie klar verstehen und einige grundlegende Vorsichtsmaßnahmen befolgen, können Sie ihre Betrugschancen erheblich verringern.

IT-Security hat viele Gesichter

Schützen Sie Ihre Unternehmensdaten mit einer umfassenden IT-Security-Strategie. Die Experten von LEITWERK beraten Sie hierzu gerne und zeigen Ihnen Möglichkeiten für Ihr Unternehmen auf – angefangen bei präventiven Maßnahmen bis hin zum Notfallplan für den Worst Case.

Sprechen Sie uns an, gerne beantworten wir Ihre Fragen und kümmern uns um Ihr Anliegen unter +49 (7805) 918-0 oder über das Kontaktformular.

    Menü