Beim Social Engineering wird die IT-Schwachstelle Mensch angegriffen. © Adobe Stock/Pinkeyes
Wenn die Sicherheitslücke vor dem Computer sitzt: Beim Social Engineering täuschen Cyberkriminelle die Mitarbeiter, um Zugang zu IT-Systemen und Daten zu bekommen ...
... Ein Drittel aller Unternehmen weltweit ist betroffen.
Phishing, Whaling, CEO-Fraud – die Unternehmens-IT wird zunehmend mithilfe von Social-Engineering-Angriffen auf Mitarbeiter attackiert. Unternehmen können dabei nicht auf die gängigen Abwehrmechanismen in Form von Antivirenprogrammen setzen, denn die Hacker machen sich etwas viel Größeres zunutze: die menschliche Psyche. Während gefälschte Mails von Amazon oder PayPal, die in schlechtem Deutsch zur Passworteingabe auffordern, auf dem Rückzug sind, hat sich Social Engineering bei Cyberkriminellen zum Kassenschlager entwickelt. Trotz prominenter Beispiele für erfolgreiche Angriffe denken viele Mitarbeiter etwa bei einer E-Mail vom Geschäftsführer nicht gleich an einen möglichen Betrug.
Ziel: Zugang zu Daten, Systemen und Gebäuden
Doch worum genau handelt es sich bei dieser Form des Cyberangriffs? Social Engineering ist ein Oberbegriff für verschiedene Angriffstechniken, die primär nicht-technische Methoden einsetzen, um Zugang zu Gebäuden, Systemen oder Daten zu erhalten. Das erste Ziel dieser Angriffe ist dabei immer ein Mensch. Die Motivation dahinter ist meist finanzieller Natur, also eine klassische Spielform der Industriespionage. In seltenen Fällen können auch soziale Faktoren der Antrieb sein, um beispielsweise an Informationen über den Expartner oder Exmitarbeiter zu kommen. Die menschliche Psychologie auszunutzen, hat dabei Konjunktur: Laut der 9. „Cost of Cybercrime“-Studie, der Unternehmensberatung Accenture und dem Ponemon Institute hat sich die Zahl der Cyberangriffe allein im letzten Jahr um 18 Prozent gesteigert, 4 Prozent davon entfielen auf Ransomware-Angriffe – also Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln. Ransomware stellt in vielen Fällen die eigentliche Attacke dar, wenn das Social Engineering erfolgreich war. Der finanzielle Schaden der 40 befragten deutschen Unternehmen belief sich laut der Umfrage auf 13 Mio. US-Dollar. Der Gesamtschaden der deutschen Wirtschaft dürfte weit darüber liegen.
Phishing: Anbeißen am digitalen Köder
Es gibt zwei Haupttechniken, an persönliche und unternehmensspezifische Informationen von Mitarbeitern zu kommen: Phishing und Vishing (Voice-Phishing). Phishing (ein Wortspiel aus Password Hacking und Fishing) beschreibt eine Reihe von Techniken, die darauf ausgerichtet sind, sensible Daten über Unternehmen und Personen zu erbeuten oder Schadsoftware in Rechner einzuschleusen. Allen Phishing-Techniken ist eigen, dass sie ihrem Phishing-Opfer einen „Köder“ anbieten, der ein bestimmtes Bedürfnis anspricht und das Vertrauen der Zielperson ausnutzt. Als Plattform für das Auslegen der digitalen Köder nutzen Angreifer unter anderem (gefälschte) E-Mails, (gefälschte) Webseiten, Messenger und Social Media sowie in zunehmendem Maße auch Apps auf mobilen Endgeräten. Und während sich viele dieser Attacken in regelrechter Kampagnenform auf eine unbestimmte Menschenmenge und häufig auf private Daten richtet, gibt es darüber hinaus auch sehr gezielte Angriffe, die einzelne Personen zum Ziel haben. Man spricht dann von Spear Phishing oder Whaling (wenn das Ziel besonders hochkarätig ist). Diese beiden Formen des Phishings sind für Unternehmen besonders gefährlich, da sie in der Regel das eigentliche Ziel dieser Angriffe sind.
In der Praxis verläuft ein erfolgreicher Phishing-Angriff häufig so: Ein Mitarbeiter öffnet eine scheinbar harmlose E-Mail und klickt auf einen Link, der zu einer bösartigen Website führt, oder öffnet einen Anhang, der bösartigen Code enthält. Und schon ist Ihr System gefährdet. Dank Social Media und anderer Onlineressourcen sind persönliche Interessen und andere Informationen zu Mitarbeitern und Unternehmen zu großen Teilen frei verfügbar, wodurch immer persönlichere Ansprachen und täuschend echte Anschreiben möglich werden. All das erhöht die Wahrscheinlichkeit, dass die Mitarbeiter Mails öffnen und Links anklicken, die besser in Ruhe gelassen werden sollten.
Vishing: Daten per Anruf
Vishing geht einen Schritt weiter: Der Angreifer ruft jemanden (meist in einem Unternehmen) an, wie z. B. den IT-Helpdesk, und mit ein wenig Informationen über eine Person (z. B. Name und Geburtsdatum) erhält er entweder Zugangsdaten oder weitere Informationen über die Person, z. B. eine Personalnummer oder nicht-öffentliche E-Mail-Adresse. Und mit jedem Anruf findet der Angreifer eine weitere Information heraus, die er nutzen kann, um einen gezielten Angriff auf die Person auszuüben oder sich selbst als diese Person auszugeben, Stichwort „CEO-Fraud“.
Diskretion, Schulungen und Penetrationstests
Die Mitarbeiter sind vielleicht der größte kritische Faktor innerhalb der IT-Sicherheit. Fast zwei Drittel der Cybersicherheitsentscheider in Deutschland bewerten die eigenen Mitarbeiter als Schwachpunkt ihrer Sicherheitsstrategie. Dabei räumen sie eigene Versäumnisse ein: So hält ein Drittel die Belegschaft nicht ausreichend über aktuelle Cyberrisiken auf dem Laufenden. 42 Prozent verzichten zudem darauf, ihre Belegschaft konsequent für digitale Gefahren zu sensibilisieren. 31 Prozent sagen sogar, dass die Mitarbeiter bisher überhaupt keine Rolle in der Sicherheitsstrategie ihres Unternehmens spielen. Das sind Zahlen aus dem Command Control Cybersecurity-Index 2020. Es gilt daher, sie für Social-Engineering-Angriffe zu sensibilisieren und die sogenannte Security Awareness im gesamten Unternehmen zu steigern. Dazu zählen laut Münchner IT-Sicherheitsunternehmen Virtual Solution die folgenden zwei Maßnahmen:
• Unternehmen sollten den Wissensstand ihrer Mitarbeiter zur IT-Sicherheit und speziell zu Social Engineering erfassen. Im Fokus sollte das Verständnis stehen, warum die Diskretion jedes einzelnen von zentraler Bedeutung für die Sicherheit des Unternehmens ist. Ganz wichtig: Unternehmen sollten Mitarbeitern deutlich vermitteln, dass sie bei einem Verdacht Bescheid sagen, ohne Konsequenzen fürchten zu müssen.
• Neben Schulungen sind für eine kontinuierliche Verbesserung regelmäßige Tests unabdingbar. Die gängigste Methode sind Penetrationstests mit fingierten Phishing-E-Mails. Anhand der Auswertung der Klickraten können Erfolge und Mängel im Security-Awareness-Programm identifiziert und entsprechend angepasst werden. Zudem lassen sich gezielt qualitative Schwachstellen ausmachen.
Diese Maßnahmen sind vor allem deswegen relevant, da es immer selbstverständlicher geworden ist, die mobilen Endgeräte der Mitarbeiter in die Unternehmens-IT einzubinden. Gerade BYOD(Bring your own device)-Modelle haben einen großen Nachteil: Kaum jemand stellt an die private Gerätenutzung dieselben Sicherheitsanforderungen, wie sie für Unternehmen gelten. Unsichere Passwörter, die Installation von Apps aus unbekannten Quellen oder die Nutzung des Gerätes durch Dritte sind Sicherheitsrisiken, die durch die parallele Nutzung entstehen.
BYOD: Strikte Datentrennung als oberste Prämisse
„Der Mensch ist ein Gewohnheitstier: Während man im Büro meistens mehr Vorsicht walten lässt, werden selbst einfache Sicherheitsregeln bei der Nutzung von mobilen Devices aus Gewohnheit und Bequemlichkeit außer Acht gelassen. Viele machen sich beispielsweise nicht die Mühe, die Mail-Adresse des Absenders anzuklicken, um die vollständige Adresse angezeigt zu bekommen“, erklärt Sascha Wellershoff, Vorstand von Virtual Solution in München. „Endgeräte, die auf User Experience getrimmt sind und gegenüber Desktop-Systemen nur reduzierte Display-Darstellungsmöglichkeiten bieten, spielen den Angreifern somit in die Karten.“
Ein einfacher technischer Lösungsansatz, um die negativen Auswirkungen von Social-Engineering-Attacken zu minimieren, besteht in einer strikten Datentrennung auf dem mobilen Endgerät. Mit Container-Technologie, wie sie bei der Office-App SecurePIM eingesetzt wird, können Businessdaten von privaten Daten zu 100 Prozent DSGVO-konform getrennt gehalten werden. Zudem werden die Businessdaten im Container verschlüsselt gespeichert und versendet. Allein mit der gekaperten E-Mail-Adresse und dem Passwort ist ein Zugriff nicht möglich. „Mitarbeiter verursachen aus Unvorsichtigkeit oder Goodwill-Mentalität Sicherheitslücken und werden so zum Einfallstor für Social Engineering“, so Wellershoff weiter. „Schulungen allein lösen das Problem nicht. Unternehmen sollten auf keinen Fall die Devices ihrer Mitarbeiter vergessen, sondern sie in ihre Sicherheitslösung einbetten.“ (VM)
INFO-BOX
Gängige Methoden des Social Engineerings
• Vortäuschen von Insiderwissen
• Eine Menge an Fachvokabular wird bewusst verwendet
• Auf eine dritte Person, meist eine höhere
Stelle, wird als Rechtfertigung für den Anruf verwiesen
• Sehr oft geben sich Angreifer als „wichtige Person“ aus, z. B. ein Support-Mitarbeiter,
ein Bekannter vom Chef, ein Journalist, der dringend Informationen benötigt usw.
• Es wird aus „besonderen Gründen“ um
einen Gefallen gebeten
• Ausüben von Zeitdruck – alles muss sehr schnell gehen
• Sollte das Opfer Widerstand leisten, wird auf die Konsequenzen hingewiesen, bis hin zur Drohung
(Quelle: WKO)
BUCH-TIPP
Die Kunst der Täuschung. Risikofaktor Mensch
von Kevin D. Mitnick und William Simon
Der legendäre Hacker Kevin Mitnick enthüllt in diesem Buch, wie die größte Schwachstelle in jedem IT-Sicherheitssystem für Angriffe genutzt werden kann - der Mensch.
Kevin Mitnick, einst der meistgesuchte Verbrecher der USA, saß fünf Jahre im Gefängnis, weil er in zahlreiche Netzwerke großer Firmen eingebrochen war. Dabei bediente er sich häufig nicht nur seiner umfassenden technischen Hacker-Kenntnisse, sondern überlistete praktisch jedes Sicherheitssystem, indem er sich Passwörter erschlich, in Mülltonnen nach sicherheitsrelevanten Informationen suchte und falsche Identitäten vorgaukelte.
Mitnick führt den Leser in die Denk- und Handlungsweise des Social Engineering ein, beschreibt konkrete Betrugsszenarien und zeigt eindrucksvoll die dramatischen Konsequenzen, die sich daraus ergeben. Dabei nimmt Mitnick sowohl die Perspektive des Angreifers als auch des Opfers ein und erklärt damit sehr eindrucksvoll, wieso die Täuschung so erfolgreich war – und wie man sich effektiv dagegen schützen kann.