CyberInsights
Der Blog rund um
Ihre Datensicherheit

Social Engineering – Sicherheitsrisiko Mensch

Social Engineering – Sicherheitsrisiko Mensch

Risiken aus dem Netz sind oftmals schwer einzuschätzen – doch Fakt ist, dass 2020 neun von zehn Unternehmen Opfer eines Cyberangriffes wurden. In unserer Beitragsserie über interne und externe Cyberrisiken klären wir auf: Diesmal geht es um Social Engineering und die Frage, wie Unternehmen auf die während der Pandemie brisanter werdende Manipulation ihrer Mitarbeitenden reagieren sollten. Denn Cyberkriminelle haben den Menschen längst als vermeintlich schwächstes Glied der IT-Sicherheit identifiziert.

Was versteht man unter Social Engineering?

Der Begriff Social Engineering umschreibt eine Betrugsmasche von Cyberkriminellen, um Mitarbeitenden in Unternehmen oder auch Privatpersonen vertrauliche Daten zu entlocken oder sie unbemerkt zum Installieren von Schadprogrammen zu bewegen. Meist geht es den Hackern darum, Löse-, Schutz-, oder Schweigegeld zu erpressen und sich damit selbst zu bereichern. Dafür nutzen sie menschliche Verhaltensweisen wie Vertrauen, Neugier, Angst oder Respekt vor Autorität aus – ähnlich wie bei einem Trickbetrug an der Haustür.

Da Social Engineering auf die psychologische Manipulation von Menschen abzielt, ist in diesem Kontext auch von Human Hacking oder Social Hacking die Rede. „Amateure hacken Systeme, Profis hacken Menschen“, sagt der renommierte Experte für Computersicherheit Bruce Schneier. Denn der Faktor Mensch bietet Cyberkriminellen immer wieder neue Anlässe für kriminelle Aktivitäten. Neun von zehn Sicherheitsvorfällen lassen sich auf menschliches Fehlverhalten zurückführen, wodurch jährlich immense wirtschaftliche Schäden entstehen. Für Unternehmen ist es daher erfolgskritisch, relevante Angriffstechniken im Bereich des Social Engineerings zu kennen und die eigene Belegschaft mit entsprechendem Wissen auszustatten. Damit verdächtigen Ereignissen künftig mit dem nötigen Misstrauen begegnet werden kann.

Social Engineering: Diese 7 Methoden sollten Sie kennen

Social Engineering wird zunehmend raffinierter und zielgerichteter, was sich für Unternehmen und ihre Mitarbeitenden als großes Sicherheitsrisiko erweist. Wer aktuelle Angriffstechniken kennt, kann strategisch darauf reagieren. Nicht selten kombinieren Hacker verschiedene Methoden, um den Cyberangriff perfekt zu tarnen:

1. Phishing & Spear Phishing

Phishing ist die wohl bekannteste Form des Social Engineerings: Mitarbeitende in Unternehmen oder Privatpersonen sollen durch gefälschte E-Mails, SMS oder Social Media-Nachrichten dazu gebracht werden, auf einen verseuchten Link zu klicken und auf einer fingierten Website persönliche Anmeldedaten einzugeben. Diese Informationen werden zum Datenmissbrauch genutzt.

Früher waren Phishing-Nachrichten aufgrund von Grammatikfehlern, fehlender Anrede oder Übersetzungsfehlern relativ leicht zu erkennen. Heute wird es zunehmend schwerer, sie zu identifizieren. Ein Beispiel dafür ist das Spear Phishing (deutsch: Speerfischen): Anders als bei herkömmlichen Phishing-Attacken, die sich an eine Vielzahl von Adressaten richten, wenden sich Cyberkriminelle mit der gezielteren Phishing-Variante an einzelne Mitarbeitende oder Kleingruppen. Zur individuellen Ansprache werden Suchmaschinen nach Personen und E-Mail-Adressen durchsucht sowie über soziale Netzwerke persönliche Beziehungen analysiert. So entstehen Nachrichten mit einem realen Bezug zu Kollegen, Firmenanlässen oder individuellen Interessen. Mit diesem Vorgehen erhöht sich laut dem Bundesministerium für Sicherheit in der Informationstechnik (BSI) die potenzielle „Trefferquote“ der Hacker.

2. Pretexting

Cyberkriminelle, die Pretexting einsetzen, wollen durch einen Vorwand oder ein frei erfundenes Szenario das Vertrauen ihrer potenziellen Opfer gewinnen, um sie zur Herausgabe persönlicher Daten zu bewegen. Auf diese Weise soll der Zugriff auf geschützte IT-Systeme erleichtert werden. Beim Pretexting geben sich Angreifer beispielsweise am Telefon als IT-Mitarbeiter oder Bankangestellte aus: Sie behaupten bei dem Beheben eines dringenden Problems helfen zu wollen, das jedoch erfunden ist.

Pretexting wird gerne mit weiteren Angriffstechniken kombiniert. Durch das Vortäuschen von Situationen gelingt es immer wieder, den menschlichen Verstand zu umgehen. In der Folge treffen Opfer ihre Entscheidungen auf der Basis von Emotionen – wodurch es zu wesentlichen Fehlern im Bereich der Cybersicherheit kommt.

3. CEO Fraud

Als Sonderform der Methoden Pretexting und Spear Phishing gilt der CEO-Betrug als besonders beliebte Methode von Internetbetrügern. Hierbei wird sich der Autorität des Vorgesetzten bedient und Druck aufgebaut. Der Social Engineer schlüpft in die Rolle der Geschäftsführung und fordert Mitarbeitende mit täuschend echt aussehenden E-Mails oder fingierten Telefonanrufen zur Weitergabe wichtiger Daten auf.  Oftmals wird dabei eine Notsituation vorgegeben, die beherztes Handeln erfordert. Beispielsweise wird die Buchhaltung um die schnelle Durchführung einer geschäftsentscheidenden Geldüberweisung gebeten.

Das perfide Vorgehen geht auf die Annahme zurück, dass Mitarbeitende definierte Sicherheitsbestimmungen eher zurückstellen, wenn Vorgesetzte dazu auffordern. Wer wird seinen Chef nicht bei dringenden geschäftlichen Angelegenheiten unterstützen wollen? Da Hacker das betreffende Unternehmen und die Mitarbeitenden meist im Vorfeld ausspioniert haben, wirken die Nachrichten besonders realistisch. Nicht selten wird sogar der charakteristische Stil von Vorgesetzten imitiert. Publik geworden ist die Angriffstechnik unter anderem durch eine E-Mail mit dem Absender @ceopvtmail.com, vor dem das Bundeskriminalamt vor einigen Jahren warnte.

4. Baiting

Baiting lässt sich aus dem Englischen mit „ködern“ übersetzen– und genau darum geht es bei dieser Social-Engineering-Taktik. Mitarbeitende werden mit etwas Interessantem angelockt, um sie zu einer gewünschten Handlung zu verleiten. Köder können digitale Medien wie etwa Links zu angeblich kostenlosen Musik-oder Film-Downloads sein. Wird die infizierte Datei heruntergeladen, breitet sich Schadsoftware über den vernetzten Rechner im System aus – der Angreifer kann unbemerkt auf vertrauliche Informationen zugreifen und diese zu Geld machen.

Wie aktuell Hacker agieren, zeigt das Beispiel der gefragten Playstation 5, die derzeit überall ausverkauft ist. Hier verwenden Social Engineers Links auf einen Shop, in dem man die vergriffene Konsole angeblich noch ergattern kann. Auch mit diesem Trick werden kriminelle Absichten verfolgt.
Baiting beschränkt sich nicht nur auf die digitale Welt: Trickbetrüger setzen auch physische Gegenstände ein, um die menschliche Neugier auszunutzen (mehr dazu unter Tailgating und Media Dropping).

5. Tailgating

Social-Engineering-Attacken finden auch im realen Umfeld statt – meist im Zuge einer Methode, die sich Tailgating nennt. Hierbei verschafft sich der Angreifer physischen Zugang zu einem Firmengelände bzw. -gebäude, um beispielsweise Media Dropping vorzunehmen (siehe unten). In einem typischen Szenario gibt er/sie sich als Paketlieferant oder Servicetechniker aus und folgt einem Mitarbeitenden unbemerkt durch den Eingangsbereich. So gelingt das „Durchschlüpfen“, wie sich Tailgating aus dem Englischen übersetzen lässt. Dort, wo elektronische Zugangskontrollen oder Sicherheitspersonal den Weg versperren, wird oftmals zusätzlich Pretexting eingesetzt. Beispielsweise könnte die fremde Person vortäuschen, ein neuer Kollege zu sein. Nicht selten wird das Gespräch zu Angestellten gesucht – mit dem Ziel, Vertrautheit vorzuspielen und das Unternehmen gemeinsam zu betreten.

6. Media Dropping

Media Dropping setzt auf das Zusammenspiel von analogen und digitalen Aktivitäten. Angreifer nutzen dafür mit Malware infizierte Speichermedien wie USB-Sticks, Flash-Laufwerke oder CDs und hinterlassen diese – oftmals im Zuge von Tailgating – in Unternehmen. Die Medien werden als verlorene Gegenstände oder Werbegeschenke getarnt, die Mitarbeitende entdecken und aus Neugier anschließen sollen. Da sich darauf meist Spyware oder Bots für DDoS-Angriffe befinden, können versehentlich ganze Systeme lahmgelegt werden.
In der Vergangenheit wählten Angreifer auch den Postweg und verschickten Briefe mit beigefügtem Speichermedium. Auch hierbei ging es darum, das Interesse der Empfänger zu wecken, damit sie das Medium öffnen und versehentlich ihre Computer infizieren.
Werden Mitarbeitende durch Beschriftungen der Speichermedien wie zum Beispiel „Gehaltserhöhungen 2022“ gezielt zum Öffnen von Dateien verleitet, kombiniert der Angreifer die Taktiken Media Dropping und Baiting.

7. Quid pro Quo

Nach dem lateinischen Ausdruck „Quid pro Quo“ soll eine gebende Person eine angemessene Gegenleistung erhalten. Genauso verfahren Hacker bei der gleichnamigen Social-Engineering-Methode mit ihren potenziellen Opfern: Sie stellen einen Vorteil in Aussicht, wenn angefragte Informationen weitergegeben oder Aktionen ausgeführt werden. Das geschieht zum Beispiel im Zuge eines vorgetäuschten Telefonanrufes: Der Social Engineer gibt sich als Kollege der IT-Abteilung aus und bietet Unterstützung bei einem angeblich notwendigen Software-Update an. Dabei wird dem Opfer eine schnelle und einfache Lösung versprochen, die jedoch eine Malware auf dem Rechner installiert. Häufig wird bei dieser Masche das persönliche Sicherheitspasswort abgefragt.
In vielen Fällen wird das Vorgehen zudem von Spear Phishing-Nachrichten flankiert, um schnelle Überzeugungsarbeit zu leisten.

Human-Hacking erkennen und das eigene Unternehmen schützen

Social-Engineering-Angriffe nehmen stetig zu, doch sie lassen sich verhindern. Allerdings zeigen technische Lösungen wie Firewalls oder Antivirenprogramme hier keine Wirkung. Angesichts der menschenzentrierten Vorgehensweise stehen Unternehmen vor der Aufgabe, das Sicherheitsverständnis der eigenen Mitarbeitenden zu schärfen und sie zu einer Human Firewall aufzubauen.
Gezielte Schulungsmaßnahmen wie Phishing-Kampagnen und Security Awareness Trainings können maßgeblich dazu beitragen, die „Schwachstelle Mensch“ zu schließen. So lernen Mitarbeitende praxisbezogen, wie sie sich und das Unternehmen auch aus dem Home-Office heraus vor Cyberangriffen schützen – und im Vorfeld Risiken erkennen.

Hierbei zahlt es sich aus, auf den individuellen Kenntnisstand einzugehen und Schulungen mit verschiedenen Schwierigkeitsgraden anzubieten. Auch sollten Entscheider bei der Auswahl darauf achten, dass die Schulungen von erfahrenen Sicherheitsexperten durchgeführt werden. Diese sollten aktuelle Angriffsmethoden kennen und Cyberkriminellen regelmäßig selbst das Handwerk legen. Nicht zuletzt gilt es die Trainings in regelmäßigen Abständen durchzuführen, um den internen Wissensstand aktuell zu halten – gerade vor dem Hintergrund, dass sich Social-Engineering-Taktiken kontinuierlich verändern.

Folgen Sie uns auf

Abonnieren Sie unseren Newsletter rund um das Thema Cybersicherheit

Mit unserem Cyberletter sind Sie stets topaktuell informiert - über Schwachstellenmeldungen, aktuelle IT-Bedrohungsszenarien sowie andere relevante Nachrichten aus dem Bereich Cyber Security und Datensicherheit

Mit der Anmeldung akzeptiere ich den Umgang mit meinen personenbezogenen Daten (§13 DSGVO) und stimme der Datenschutzerklärung zu.