Das größte Sicherheitsrisiko in einem Unternehmen ist der Mensch. Social Engineering ist mittlerweile eine der größten Formen von Sicherheitsbedrohungen für alle Arten von Unternehmen geworden. Dieser Beitrag erklärt, was man unter Social Engineering versteht, gibt einen Überblick über die verschiedenen Angriffstechniken und zeigt Maßnahmen auf, um sich vor diesen zu schützen.
Der Inhalt im Überblick
Was ist Social Engineering?
Als Social Engineering werden alle Angriffe auf Informationssysteme bezeichnet, bei denen die Benutzer dieser Systeme durch psychologische Tricks manipuliert werden. Ziel dieser Angriffe ist es, den Mitarbeitern interne und mitunter sensible Informationen zu entlocken. Dabei ist der persönliche Kontakt zwischen Täter und Opfer nicht zwingend erforderlich, auch der Versand von z.B. Phishing-Mails zählt zu den gängigen Methoden des Social Engineering.
Wer ist Ziel solcher Angriffe?
Social Engineering ist mittlerweile eine der größten Formen von Sicherheitsbedrohungen für alle Arten von Unternehmen geworden, bei welcher gezielt die Menschlichkeit ausgenutzt wird. Die meisten Menschen wollen nett sein. Sie wollen in Notsituationen oder bei der Beseitigung von Störungen helfen. Manche können Bitten schlecht ablehnen, oder haben schlicht Angst, in einer für sie unbekannten Situation falsch zu reagieren. Alle diese Verhaltensweisen nutzen Täter aus, um an Informationen zu gelangen.
Opfer eines solchen Angriffs kann jeder werden, der die für den Täter interessanten Informationen liefern kann. Der Personenkreis ist dabei nicht auf die Mitarbeiter in IT-Abteilungen oder Sekretariate beschränkt. Nicht selten werden die sensiblen Daten, z.B. in einem fingierten Kundengespräch oder auf Messen, auch direkt bei der Firmenleitung in Erfahrung gebracht.
Arten des Social Engineering
Die Erscheinungsformen von Social Engineering sind sehr vielfältig. Der Erfolg der Sicherheitsbedrohungen basiert jedoch immer auf dem Ausnutzen der Menschlichkeit der ausgewählten Opfer.
Pretexting – Schaffen eines Vorwands
Bei dieser Form von Social Engineering konzentrieren sich die Angreifer darauf, einen guten Vorwand bzw. ein erfundenes Szenario zu schaffen, das sie nutzen können, um Zugang zu sensiblen Daten oder geschützten Systemen zu erlangen. Dieses Szenario besteht aus glaubwürdigen aber erfundenen Geschichten zur persönlichen oder geschäftlichen Verbindung zum Unternehmen. Beispielsweise gibt sich ein Angreifer als Mitarbeiter der IT-Abteilung aus, um sein Opfer z.B. dazu zu verleiten, Login-Daten preiszugeben.
Tailgating – der Angreifer direkt vor der Tür
Social-Engineering-Methoden umfassen nicht nur Angriffe mit technischen Hilfsmitteln, sondern finden auch in der realen Welt statt. Bei Tailgating liegt der Fokus des Angreifers darauf, physischen Zugang zu einem Firmengelände zu erhalten. Ein Beispiel für eine Tailgating Attacke wäre, wenn sich der Angreifer als Fahrer einer Lieferfirma ausgibt und darauf wartet, Zutritt zum Firmengelände zu erhalten, durch jemanden, der autorisiert ist. Auch können Angreifer vortäuschen, z.B. die Zugangskarte zum Gebäude vergessen zu haben.
Phishing-Angriffe – das betrügerische Angeln von sensiblen Daten
Beim Phishing geben sich die Angreifer als vertrauenswürdige Quelle aus und nehmen betrügerische Kommunikation mit ihrem Opfer auf, um es dazu zu verleiten, Malware zu installieren oder persönliche finanzielle oder geschäftliche Informationen herauszugeben. Häufig wird dazu in einer E-Mail ein Link verschickt, welcher scheinbar auf eine vertraute Webseite verweist. In Wirklichkeit führt dieser Link aber auf eine täuschend echte Webseite. Gibt der Nutzer dort z.B. seine Benutzerdaten ein, so „fischt“ der Angreifer die Daten ab. Typische Hinweise auf eine Phishing-Attacke sind meist eine unpersönliche Anrede, zeitlicher Druck oder das Abfragen vertraulicher Daten.
Spear-Phishing – das gezielte Angeln
Das Spear-Phishing ist eine Sonderform des Phishings und zielt auf einen individuellen Angriff eines spezifischen Unternehmens oder einer bestimmten Person ab. Die Empfänger werden hierbei sorgfältig ausgewählt und erhalten z.B. E-Mails, die persönlich auf sie zugeschnitten sind, um so Vertrauen zu gewinnen. Dadurch, dass die Angreifer personalisierte Informationen verwenden, ist die Wahrscheinlichkeit sehr hoch, dass die Opfer schnell Zugang zu Systemen gewähren oder sensible Informationen wie Finanzdaten oder Geschäftsgeheimnisse preisgeben.
CEO-Fraud – der Chef-Trick
Schon die Überschrift sagt aus, welche betrügerische Masche angewendet wird. Die Angreifer geben sich bspw. in einer gefälschten E-Mail oder in einem Telefonat als Geschäftsführer oder Vorstandsmitglied aus und fordern sofortige Mitteilung vertraulicher Daten. Hier wird besonders auf das typische Merkmal von Social Engineering gesetzt – „unter Druck setzen“. Diese Art von Angriff kann sehr schnell gelingen, da man zunächst keine Zweifel hegt – denn es ist ja der eigene Chef. Die Angreifer erkunden dabei schon lange im Vorfeld das Unternehmen und den Vorgesetzten aus, um täuschend echt zu wirken.
Baiting – der Köderangriff
Beim Baiting wird auf die Neugier oder Gier des Opfers gesetzt. Angreifer verwenden physische oder digitale Gegenstände, hinter denen sich zumeist Malware verbirgt. Solche Gegenstände sind beispielsweise Download-Links, die ein kostenloses Programm oder einen kostenlosen Musikdownload versprechen. Ein beliebter Köder ist z.B. auch ein USB-Stick mit scheinbar interessanten Daten.
Quid pro quo – ein Geben und Nehmen
Quid pro quo-Angriffe versprechen einen Vorteil gegen Informationen. Ein Beispiel für einen solchen Angriff ist z.B. die Teilnahme an einer „offiziellen Telefonumfrage“, wofür im Gegenzug ein Geschenk oder Preisgeld angeboten wird. Ein typisches Szenario im Unternehmen wäre die Imitierung eines Angreifers als ein IT-Servicemitarbeiter, der seine IT-Unterstützung anbietet und eine schnelle Lösung verspricht, wenn der Mitarbeiter z.B. das Antivirenprogramm deaktiviert, weil er davon ausgeht, es handle sich um ein Software-Update.
Präventive Maßnahmen gegen Social Engineering
Zunächst sollten sich alle Mitarbeiter eines Unternehmens darüber bewusstwerden, dass sie im Besitz von – mitunter auch vertraulichen – Informationen sind, und ihr Verhalten entsprechend anpassen. Die gute Nachricht ist: Bereits kleine Veränderungen in der täglichen Routine können erheblich zum Schutz unternehmensinterner Informationen beitragen.
Keine vertraulichen Gespräche an öffentlichen Orten
Wer regelmäßig mit öffentlichen Verkehrsmitteln unterwegs ist, kennt sie zur Genüge, die Vieltelefonierer. Mit lauter Stimme führen sie Gespräche, die ihr unmittelbares Umfeld wenig bis gar nicht interessieren. Dass sie dabei den Umstehenden auch – mitunter erstaunlich sensible – Informationen über ihr Unternehmen preisgeben, ist ihnen nicht bewusst.
Diese Informationen zu schützen ist sehr leicht: Öffentliche Orte, wie z.B. Busse oder Großraumwaggons, sollte man nicht für Telefongespräche mit vertraulichem Inhalt nutzen. Sollte sich ein solches Gespräch in der Öffentlichkeit einmal nicht vermeiden lassen, sollte der Handynutzer ein Abteil aufsuchen, oder sich zumindest außer Hörweite der Umstehenden begeben.
Vorsicht in sozialen Netzwerken
Nicht selten spähen Täter ihre Opfer vor der Social-Engineering-Attacke aus. Je mehr eine Person über sich im Internet preisgibt, desto gefährdeter ist sie. Auch hier ist der Schutz denkbar einfach: Informationen, die den Arbeitgeber betreffen, sollten Mitarbeiter nur in Absprache mit der Geschäftsleitung im Internet veröffentlichen. Bei der Veröffentlichung von privaten Informationen sollte der Nutzer die Privatsphäre-Einstellungen der Social-Media-Portale nutzen und nur ihm tatsächlich bekannten Personen den Zugriff auf persönliche Informationen erlauben.
Vorsicht bei E-Mails und Dateianhängen
Links in E-Mails mit kryptischen Betreffzeilen, die vielleicht zudem von unbekannten Personen stammen, sollten Mitarbeiter nicht öffnen. Gleiches gilt für Dateianhänge, deren Ursprung nicht genau ersichtlich ist. Nicht selten enthalten solche verlinkten Webseiten und Dateianhänge Schadsoftware, die z.B. Fremden den Zugriff auf unternehmensinterne Ressourcen ermöglichen.
Gesundes Misstrauen gegenüber Fremden
Gerade in Großunternehmen, in denen nicht mehr jeder Mitarbeiter jeden Kollegen persönlich kennt, kommt es vor, dass sich Betriebsfremde als neue Mitarbeiter oder Dienstleister ausgeben und auf diese Weise im Unternehmen Informationen ausspähen. Hier gilt: Gegenüber fremden Personen sollte man ein gesundes Misstrauen pflegen. Bevor man an sie vertrauliche Informationen herausgibt, sollte man die Identität der Person prüfen.
Lieber einmal zu viel nachfragen als zu wenig
Gleiches gilt bei Telefonanrufen von Personen, die nicht eindeutig zugeordnet werden können. Im Zweifel hilft es, einen Rückruf zu vereinbaren und in der Zwischenzeit zunächst Informationen über den Anrufer (z.B. durch Rückverfolgung der Rufnummer) einzuholen.
Bewusstsein für mögliche Attacken schaffen
Social Engineering ist mittlerweile eine der größten Formen von Sicherheitsbedrohungen für alle Arten von Unternehmen geworden. Leider kann man nicht alle Attacken im Wege des Social Engineering auf diese Weise verhindern oder abwehren. Mitarbeiter, die den Begriff Social Engineering schon einmal gehört haben, werden aber in der Regel im Fall des Falles aufmerksamer reagieren.
Daher gilt: Die Mitarbeiter eines Unternehmens sollten regelmäßig zu diesen Themen geschult werden, um ihr Bewusstsein für die aus dem Social Engineering resultierenden Gefahren zu schärfen.
Social Engineering kommt durch den Staat es geht um politische Interessen