Was ist Social Engineering?

Beim Social Engineering handelt es sich nicht um einen Cyber-Angriff, es geht dabei vielmehr um die Psychologie der Überzeugung. Unter Nutzung der gleichen Tricks, die Schwindler und Betrüger anwenden, wird dabei versucht, das Vertrauen des Gegenübers zu gewinnen.{j}Ist dies gelungen, verleitet man sein Opfer dazu, persönliche Daten preiszugeben, auf unsichere Links zu klicken oder bösartige Anhänge zu öffnen.

So funktioniert Social Engineering?

In einem typischen Fall von Social Engineering täuscht ein Cyberkrimineller dem Opfer vor, es von einer vertrauenswürdigen Stelle aus zu kontaktieren. In einigen Fällen wird sogar eine dem Opfer bekannte Person nachgeahmt.

Wenn die Manipulation gelingt (das Opfer glaubt, es handelt sich tatsächlich um die vorgegebene Person), ermutigt der Kriminelle sein Opfer zu weiteren Handlungen. Beispielsweise wird die Zielperson dazu überredet, vertrauliche Daten wie Passwörter, Geburtsdatum oder Kontodaten offenzulegen{j}oder eine bösartige Website zu besuchen, die Schadsoftware installiert und den Computerbetrieb stört. Im schlimmsten Fall extrahiert die bösartige Website persönliche Daten vom Gerät oder ermöglicht den kompletten Zugriff darauf.

Warum ist Social Engineering so gefährlich?

Die größte Gefahr beim Social Engineering besteht darin, dass es schon genügt, eine einzelne Person hinters Licht zu führen, um genug Daten zu erhalten, die ein ganzes Unternehmen gefährden können.

Social-Engineering-Attacken werden immer ausgeklügelter. Gefälschte Websiten und E-Mails sehen den echten täuschend ähnlich und können uns dazu verleiten, vertrauliche Daten preiszugeben. Kriminelle setzen Social Engineering auch immer häufiger als erste Einstiegshilfe in ein Unternehmen ein, um dann erst später richtig zuzuschlagen.

Wie schütze ich mich und mein Unternehmen vor Social Engineering?

Selbst die allerbesten Sicherheitssysteme sind nicht vor psychischen Tricks gefeit; durch Schulung und Bewusstseinstraining können die Gefahren des Social Engineering jedoch gemindert werden.

Das Training sollte speziell auf Ihr Unternehmen zugeschnitten sein und regelmäßig durchgeführt werden. Es sollte unter anderem aufzeigen, wie Angreifer versuchen, Ihre Beschäftigten zu manipulieren.  Simulieren Sie zum Beispiel einen Fall, in dem sich ein Angreifer als Bankangestellter ausgibt und um die Bestätigung von Kontodaten bittet. In einem weiteren Szenario könnte ein leitender Angestellter (dessen E-Mail-Adresse gefälscht wurde) die Zielperson bitten, eine Zahlung auf ein bestimmtes Konto vorzunehmen.

Mit dem richtigen Training können sich Mitarbeiter gegen derartige Angriffe wehren und erkennen, welche Rolle sie für die Sicherheit des ganzen Unternehmens spielen.

In jedem Unternehmen sollte es klare Sicherheitsrichtlinien geben, anhand derer sich Mitarbeiter bestmöglich auf potenzielle Fälle von Social Engineering vorbereiten können. Unter anderem sollte Folgendes einbezogen werden:

  • Passwortverwaltung: Richtlinien über die vorgeschriebene Anzahl und Art der Zeichen in einem Passwort, wie häufig Passwörter zu ändern sind, sowie eine einfache Regel, dass Mitarbeiter, völlig unabhängig von ihrer Stellung, keine Passwörter weitergeben, sind hilfreich, um Daten zu schützen.
  • Multi-Faktor-Authentifizierung: Bei hochgefährdeten Netzwerkdiensten wie Modempools und VPNS sollte Multi-Faktor-Authentifizierung anstelle von Passwörtern zur Zugangsberechtigung verwendet werden.
  • E-Mail-Sicherheit durch Anti-Phishing-Maßnahmen: Mehrschichtige Abwehrmechanismen können die Gefahr von Phishing und anderen Social-Engineering-Attacken minimieren.

Varianten von Social Engineering-Angriffen

Phishing

Die häufigste Art der Social-Engineering-Attacke sind Phishing-Scams. Dabei handelt es sich typischerweise um E-Mails, die vorgeben, von einer legitimen Stelle zu kommen. Manchmal versuchen Angreifer, dem Opfer Kreditkarteninformationen oder andere persönliche Daten zu entlocken,{j}und manchmal werden Phishing-E-Mails versendet, um die Anmeldedaten eines Angestellten oder andere Informationen einzuholen, die in einem erweiterten Angriff gegen ein bestimmtes Unternehmen genutzt werden können. Cyber-Angriffe wie Advanced Persistent Threats (APTs) und Ransomware beginnen häufig mit Phishing.

Weitere Arten von Phishing sind Spear-Phishing, bei dem gezielt einzelne Personen angegriffen werden, sowie Whaling, das speziell gegen hochrangige Führungskräfte gerichtet ist.

In letzter Zeit machen sich Cyberkriminelle auch die steigende Popularität von Software-as-a-Service (SaaS) wie z. B. Microsoft 365 zunutze. Sie versenden dabei gefälschte E-Mails, die vorgeben, von Microsoft zu stammen. Darin befindet sich eine Aufforderung, das Passwort zu erneuern, da man sich schon länger nicht mehr eingeloggt habe, oder aber eine Mitteilung über ein angebliches Problem mit dem Konto. Die angefügte URL soll den Benutzer dazu bewegen, darauf zu klicken, um das Problem zu beheben

So beugen Sie Phishing-Attacken vor


Watering-Hole-Attacken

Bei Watering-Hole-Attacken handelt es sich um eine sehr gezielte Form des Social Engineerings. Dabei wird eine Website, die bevorzugt von einer bestimmten Personengruppe besucht wird, kompromittiert, anstatt dass diese Gruppe direkt angegriffen wird. Als Beispiel können branchenspezifische Websites, wie zum Beispiel aus dem Energie- oder dem öffentlichen Sektor, genannt werden, die besonders häufig von Angestellten aus diesen Bereichen besucht werden. Die Täter infizieren die jeweiligen Websites mit Schadsoftware und warten darauf, dass jemand aus der Gruppe in die Falle tappt. Mithilfe der Daten dieser einen Person können sie dann weitere gezielte Angriffe starten.


Business-E-Mail-Compromise

Business-E-Mail-Compromise (BEC) ist eine Form von E-Mail-Betrug, bei der die Täter sich als Vorgesetzte des Opfers ausgeben und versuchen, es dazu zu bringen, eine seiner Rolle entsprechende Tätigkeit auszuführen, jedoch mit einem bösartigen Hintergedanken: beispielsweise die Überweisung einer Geldsumme. Im Extremfall geben sie sich sogar am Telefon als Chef oder Führungspersonal aus.


Physisches Social Engineering

Wenn wir von Cybersicherheit sprechen, dürfen wir nicht die physischen Aspekte außer Acht lassen. Bestimmte Personen in Ihrem Unternehmen, beispielsweise Help-Desk-Betreuer, Rezeptionisten und Außendienstmitarbeiter, sind einer erhöhten Gefahr von Social-Engineering-Attacken ausgesetzt, die auf persönlichem Kontakt basieren.

Wirksame physische Sicherheitskontrollen wie Besucherprotokolle, Begleitpflicht und Hintergrundprüfungen werden dringend empfohlen. Für Mitarbeiter in exponierten Rollen dürften außerdem von speziellem Training in Sachen physische Social-Engineering-Attacken profitieren.


USB-Baiting

Es klingt etwas unwahrscheinlich, kommt aber häufiger vor, als man annehmen könnte. Dabei platzieren Kriminelle einen mit Malware infizierten USB-Stick an einer strategischen Stelle, in der Hoffnung, dass jemand den Köder nimmt, ihn an ein Netzwerk anschließt und somit unwissentlich schädliche Software im Unternehmen installiert.