Ernstfall Social Engineering: Wie Hacker in Ihre Psyche eindringen

Zum Schutz von Informationen greifen Unternehmen auf eine grosse Bandbreite technischer Massnahmen zurück – optimalerweise sowohl detektiver, als auch präventiver Natur. Es werden Ressourcen in aktuelle Technologien gesteckt, die beispielsweise mit Hilfe von Machine Learning Data Breaches gezielt aufdecken oder durch Next-Gen Endpoint Protection Schadsoftware erkennen sollen. Doch was, wenn der Angriff gar nicht der Technologie gilt, sondern dem Menschen? Schlimmer noch: Wenn Ihre Mitarbeitenden die sensitiven Daten mehr oder weniger «freiwillig» dem Angreifer überlassen? Sie ahnen es. Hier steckt Social Engineering dahinter. Praxistipps und wie Sie sich erfolgreich schützen können, erfahren Sie von unseren Experten.

Gleich zu Beginn sei gesagt: Die Cloud bietet eine ganze Reihe von Vorteilen gegenüber herkömmlichen Lösungen. Sie ist dynamisch, agil, modern, als DevOps und On-Demand verfügbar. Letzteres nach Bedarf in den Dimensionen Skalierung, Verfügbarkeit, Zeit etc. – und zwar zu klar definierten Kosten. 

Der Mensch, das schwächste Glied in der Cyber Security-Kette

Aus dem Blickwinkel eines Angreifers betrachtet, wird stets der Weg des geringsten Widerstandes gewählt, um an sensitive Daten zu gelangen. Wenn man sich also nicht auf technische Schwachstellen innerhalb der Systeme verlassen kann, damit ein Angriff erfolgreich ist, so bleibt immer noch eine lohnenswerte Alternative: der Mensch. 

Genau dort knüpft Social Engineering an. Der Mensch und seine angeborenen «Schwächen» werden schonungslos ausgenutzt. Ein paar Beispiele gefällig, mit denen sich der Angreifer befasst und so gezielte Reaktionen auslösen will?

• Hilfsbereitschaft: Der Angreifer bietet Hilfe in einem von ihm erfundenen Problem an, welches das Opfer betrifft. Beispielsweise «hilft» der Angreifer bei der Installation der neusten Antivirus Software.
• Gutgläubigkeit: Der Angreifer gibt sich als Mitarbeitender von der HR-Abteilung aus, der eine Auskunft über persönliche Daten braucht.
• Schaffen von (finanziellen) Anreizen: Es werden hohe Rechnungen zugestellt, die das Opfer umgehend bezahlen soll. Oft wird auch mit Sanktionen gedroht.
• Emotionen: Hier können zum Beispiel Gewinnspiele, bei denen attraktive Preise winken, als Lockmittel dienen.
• Neugier: Dem Opfer werden interessante Daten zugestellt, beispielsweise Resultate einer Mitarbeiterbeurteilung oder Statistiken zum Surfverhalten.

Packen Sie die Gelegenheit ‒ aber handeln Sie schnell...

Noch ein Praxisbeispiel gefällig? Jerry Lässig erhält per E-Mail eine verlockend klingende Nachricht: «Gewinnen Sie einen Trip nach New York!», verspricht das vermeintliche HR-Team. Aber es gilt schnell zu sein, denn nur die ersten 100 Registrationen kommen in die Verlosung. Klingt doch toll! Wer will da nicht zu den Gewinnern zählen? Also nichts wie los! Es wäre ja schade, der 101ste zu sein. Wie gefordert, geben Sie auf der erwähnten Website die User-ID und das Passwort ein. Genau wie Jerry taten dies auch viele andere der rund 500 Empfänger…

Aber Sie alle hatten Glück im Unglück. Denn hierbei hat es sich nicht um einen echten Angriff gehandelt, sondern um einen Social Engineering Audit unserer Experten. Und doch: Die Angst bleibt. Sie sehen ‒ so schnell geraten Sie ins Fadenkreuz und werden selbst Opfer einer Attacke. 

Warum ist Social Engineering so erfolgreich?

Der unumstössliche Vorteil von Social Engineering-Angriffen ist die Unabhängigkeit von den meist heterogenen Systemlandschaften der Unternehmen. Ein Angreifer muss keine wertvolle Zeit in die Identifikation und Analyse der durch das Unternehmen verwendeten IT-Komponenten und potentiellen Schwachstellen investieren. Ist das Ziel des Angriffes definiert, kann es auch schon losgehen. Und: Der Mensch ist unglaublich hilfsbereit. Nicht selten vergisst er unter Zeitdruck die grundlegenden (Sicherheits-)Verhaltensweisen.

Mit Hilfe von nur wenigen, meist auf Firmenwebseiten öffentlich zugänglichen, Informationen wie E-Mail-Adressen oder Telefonnummern kann ein Angriff aufgegleist werden. Treue Freunde von Social Engineers sind auch die sozialen Netzwerke. Informationen über Unternehmen und deren Mitarbeitenden stehen dort ‒ teilweise auch aus völlig legitimen Gründen ‒ frei zur Verfügung.

So geht ein Social Engineer vor

Social Engineering kann sowohl in der Vorbereitung eines Angriffs stattfinden, als auch der eigentliche Angriff an sich sein. Dafür schauen wir vorgängig kurz die eigentlichen Phasen eines Angriffs an:

• Informationsbeschaffung (Information Gathering): Ein guter Social Engineer beginnt seine Attacke mit einem soliden Fundament an Informationen über sein potentielles Opfer. Nebst den bereits vorgängig erwähnten, öffentlich verfügbaren Informationen, kann es nicht schaden, weitere eventuell noch sensiblere Daten zu sammeln. Dies ist gleich der erste Anwendungsfall für Social Engineering: Das Aushorchen mittels telefonischer Anfragen oder gezielten E-Mails kann dem Angreifer dienen, interne Informationen wie Kontaktdaten oder organisatorische Strukturen zu sammeln, die er dann vorbereitend für die eigentliche Attacke, z.B. CEO Fraud (Angriff mit dem Ziel, das Opfer – meist auf Management-Ebene eines Unternehmens – zu einer Zahlung zu bewegen), verwenden kann.
• Vorbereitung des Angriffes (Preparation): In dieser Phase bereitet der Angreifer seine Hilfsmittel zur Durchführung des Angriffes vor. Abhängig vom gewählten Angriff benötigt er beispielsweise einen Mailserver zum Versenden von Mails oder einen Webserver zur Darstellung seiner aufbereiteten Webseite.
• Durchführung des Angriffes (Execution): Die tatsächliche Durchführung eines Angriffes erfolgt nach den vorbereitenden Phasen. Sobald die Informationen gesammelt sind und die Technik bereitsteht, steht dem Angriff nichts mehr im Weg. Auch hier kann Social Engineering zum Einsatz kommen, beispielsweise in seiner wohl bekanntesten Form ‒ dem E-Mail-Phishing. Aber auch ein «Besuch» im Unternehmen des Opfers ist aus unserer Erfahrung durchaus erfolgversprechend. Oftmals erhält man unter einem Vorwand, beispielsweise wenn sich jemand als Techniker ausgibt, der den Drucker reparieren muss, leicht Zugang ins Unternehmen.
• Infektion / Zugang (Access): Der erfolgreiche Abschluss des Angriffes ist der Zugang zum Netzwerk und schlussendlich zu den sensitiven Informationen des Opfers. Im Fall von Phishing kann dies durch das Verwenden der «gephishten» Zugangsdaten oder über den eingeschleusten Trojaner erfolgen. Diesen hat sich das Opfer beispielsweise durch das Öffnen der erhaltenen «Rechnung» im Anhang der Phishing-Mail eingefangen.
• Konklusion bzw. «Action on Objective»: Hier entsteht der effektive Nutzen für den Angreifer und gleichzeitig der fatale Schaden für das Unternehmen; beispielsweise durch das Auslesen oder Löschen von Daten.

Verdacht auf einen Social Engineering-Angriff? Das gilt es zu tun!

Der effektivste Schutz gegen Social Engineering führt über das Sicherheitsbewusstsein der Mitarbeitenden - Stichwort Security Awareness. Da der Mensch hier im Mittelpunkt steht, kann der Mensch durch korrektes Verhalten jegliche Gefahr im Keim ersticken.

Grundsätzlich sollten Sie sich bei Verdacht auf Social Engineering folgende Punkte vor Augen führen:

1. Einmal tief Luft holen – auch wenn man Sie zeitlich unter Druck gesetzt fühlt.
   
   
2. Fragen Sie sich: Werden meine menschlichen Schwächen angesprochen oder ein persönlicher Nutzen in Aussicht gestellt?
   
   
3. Kommuniziere ich wirklich mit der Person oder dem Unternehmen, mit dem ich glaube zu kommunizieren?
   
   
4. Sobald die zweite Frage mit JA beantwortet wird und/oder die dritte Frage mit NEIN: Trauen Sie sich, die Person direkt darauf hinzuweisen, dass Sie keine sensitiven Informationen herausgeben (dürfen).
   

Geben Sie Social Engeering keine Chance!

Noch mehr Tipps, um sich vor Social Engineering zu schützen, erfahren Sie in unserer kostenlosen Social Engineering-Checkliste. Jetzt downloaden!

Das Zauberwort heisst Security Awareness

Und vergessen Sie nicht: Social Engineering ist komplett unabhängig von den technischen Hilfsmitteln. Es spielt keine Rolle, ob das «Transportmedium» eine E-Mail, eine SMS oder ein Telefonanruf ist. Eine gesunde Portion Skepsis kann helfen, Social Engineering-Angriffe aufzudecken.

Wirkungsvoller Schutz kann nur durch die aktive Unterstützung der Mitarbeitenden ‒ und natürlich auch des Managements ‒ entstehen. Daher ist es wichtig, durch entsprechende Security Awareness-Massnahmen das erforderliche Grundwissen zu vermitteln, die Mitarbeitenden hinsichtlich möglicher Gefahren und Risiken zu informieren und entsprechend zu sensibilisieren. Nur so können Verhaltensweisen und Einstellungen nachhaltig verändert werden.

Wie exponiert sind Sie bzw. Ihr Unternehmen?

Sie möchten wissen, welche Informationen über Ihr Unternehmen im Internet verfügbar sind, die beispielsweise für einen Social Engineering-Angriff missbräuchlich verwendet werden könnten? Welche «digitale Spuren» Ihr Unternehmen hinterlässt und wie diese im Zusammenhang mit firmen- und branchenspezifischen Bedrohungen stehen?

Mit Hilfe unseres Cyber Threat Intelligence Reports bekommen Sie die komplette Sicht auf Ihre konkrete Internet-Bedrohungslage. Kontaktieren Sie uns ‒ und wir zeigen Ihnen die Sicht eines Angreifers auf Ihr Unternehmen! Sie werden staunen und sich fragen, warum Sie dies nicht schon früher in Angriff genommen haben. Einfach hier klicken und profitieren:

Haben Sie Fragen zum Artikel oder ein konkretes Problem? Dann hinterlassen Sie einen Kommentar oder kontaktieren Sie uns direkt. Wir freuen uns und stehen Ihnen in allen Belangen professionell zur Seite.