Die Informations- und Datensicherheit von Unternehmen hängt nicht nur von der eingesetzten Technik ab, sondern mindestens ebenso vom Wissen und Verhalten der Mitarbeiter. Social Engineering ist der Versuch, Menschen als potenziell schwächstes Glied der Sicherheitskette auszunutzen, um Zugang zu Informationen bzw. Systemen zu erhalten.
Wir erklären Ihnen, wie Sie und Ihre Mitarbeiter Social Engineering effektiv erkennen und was Sie tun können, um solche Angriffe abzuwehren.
Was ist Social Engineering?
Social Engineering ist eine Methode, bei der Menschen manipuliert werden, um vertrauliche Informationen preiszugeben oder bestimmte Handlungen auszuführen, die der Person selbst bzw. dem Unternehmen, für das sie arbeitet, schadet. Wesentliches Merkmal des Social Engineerings ist die Täuschung des Angegriffenen über die Identität und/oder die Absichten des Angreifers. Dafür manipulieren die Angreifer meist Emotionen wie Hilfsbereitschaft, Vertrauen, Angst oder Autorität.
Die Kommunikation über digitale Kanäle wie E-Mail oder Messaging-Apps macht Social Engineering deutlich einfacher, da der Angegriffene sich nicht auf seine Sinne verlassen kann, die ihn bei einer Begegnung von Angesicht zu Angesicht zur Verfügung ständen.
Angreifer spähen im Vorfeld des Social-Engineering-Angriffs häufig Informationen aus dem sozialen bzw. beruflichen Umfeld des Angegriffenen aus, z.B. in sozialen bzw. beruflichen Netzwerken (sogenanntes Social Hacking). Mit diesen Informationen lässt sich eine Anfrage z.B. des IT-Supports des Unternehmens relativ einfach vortäuschen.
Welche Formen des Social Engineerings gibt es?
Social Engineering nimmt immer wieder neue Formen an. Allen gemeinsam ist, dass der Angreifer entweder Zugangsdaten erbeuten oder den Angegriffenen zu einer Handlung animieren will, wodurch z.B. Schadsoftware (Maleware) installiert wird. Dabei geht es darum, sich Zugang zu Informationen bzw. Systemen zu verschaffen. So können Informationen entwendet bzw. manipuliert oder zerstört werden. Alternativ verschlüsseln Angreifer mittels Ransomware ganze Systeme, um Lösegeld zu erpressen.
Phishing ist eine Form des Social Engineerings, bei dem Betrüger eine falsche Identität vortäuschen, um vertrauliche Informationen wie Anmeldedaten oder Kreditkartendaten zu stehlen. Dafür geben sie sich z.B. als Lieferanten, Dienstleister oder Kollegen aus.
Stellen Sie sich vor, Sie erhalten eine E-Mail von Ihrer Bank mit der Bitte um Überprüfung Ihrer Kontodaten. Meist ist die Aufforderung mit hohem Zeitdruck verbunden. Sie klicken auf den Link in der E-Mail und gelangen auf eine Webseite, die genauso aussieht wie die Ihrer Bank. Sie geben Ihre Anmeldedaten ein und plötzlich ist Ihr Konto leergeräumt.
Oder Sie bekommen eine E-Mail anscheinend vom IT-Support Ihres Unternehmens. Sie werden gebeten, Ihr Passwort zum Unternehmensnetzwerk zu ändern. Wenn Sie dem dafür bereitgestellten Link folgen, wird die gesamte IT-Infrastruktur Ihrer Unternehmung gesperrt oder zerstört. Auch in diesem Fall sind Sie Opfer eines Phishing-Angriffs geworden.
Varianten des Phishings sind Vishing (Voice Phishing), also der Betrugsversuch per Telefon oder Smishing (SMS Phishing) mittels Links zu schadhaften Websites.
Eine weitere Art des Social Engineerings ist Pretexting. Es beinhaltet ebenfalls das Vortäuschen einer Identität oder offiziellen Behörde, um an vertrauliche Informationen zu gelangen oder zu einer Handlung zu animieren. Dazu gehört etwa die Aufforderung der vermeintlichen Unternehmensführung, eine grössere Summe Geld an eine bestimmte Bankverbindung zu überweisen (auch CEO Fraud genannt).
Baiting hingegen nutzt die Neugier oder Gier der Menschen aus und lockt sie mit einem vermeintlichen Geschenk oder einer Belohnung. Auch hier wird meist mit zeitlichem Druck gearbeitet, um zu unüberlegten Handlungen zu verleiten.
Bei USB Drops lassen Angreifer z.B. auf dem Unternehmensparkplatz USB-Sticks oder andere Speicherkarten mit einer verführerischen Aufschrift (»Urlaubsfotos» oder «Buchhaltung») liegen. Ein Öffnen des Speichermediums installiert dann eine Schadsoftware mit den bereits erwähnten Folgen.
Wie erkennen Sie Social Engineering?
Opfer von Social-Engineering-Angriffen kann jeder werden. Der Personenkreis ist nicht nur auf Mitarbeiter in IT-Abteilungen oder Sekretariate beschränkt. Deshalb ist es wichtig, dass Sie alle Mitarbeiter über die Formen von Social Engineering aufklären und darin schulen, Phishing-Angriffe zu erkennen:
Überprüfung des Absenders
Mitarbeiter sollten immer den Absender der E-Mail überprüfen, um sicherzustellen, dass sie tatsächlich von einer vertrauenswürdigen Quelle stammt. Vorsicht ist geboten bei E-Mails von unbekannten Absendern. Insbesondere auf die Schreibweise ist zu achten und jeder einzelne Buchstabe sollte überprüft werden. Kleine Buchstabendreher oder Veränderungen in der Schreibweise in dem Teil nach dem @-Zeichen sind oft nur schwer zu erkennen. Im Zweifelsfall ist es immer besser, den angeblichen Absender anzurufen, um die Echtheit der übermittelten Informationen zu bestätigen.
Überprüfung der Betreffzeile und des Inhalts
Insbesondere Verweise auf Zeitdruck, Gewinne, Autoritäten, falsche Rechtschreibung oder Fehler in der Grammatik und ungewöhnliche Signaturen sind typische Erkennungsmerkmale von Angriffen. KI-gestütztes Social Engineering wird jedoch in diesem Bereich immer besser. Eine korrekt aussehende E-Mail ist also kein Beweis dafür, dass sie auch vom echten Absender stammt.
Überprüfung von Links
Gefälschte Links sind eine der häufigsten Arten, um Angegriffene auf falsche Websites zu locken. Bereits ein Klick kann im Zweifelsfall Schadsoftware auf dem Endgerät installieren. Links zu unbekannten Inhalten sollten niemals geklickt werden. Vertraut wirkende Links sind genauestens zu prüfen. In der Regel ist es besser, selbst die entsprechende Adresse (etwa der eigenen Bank) im Webbrowser einzugeben und sich dann zum Ziel durchzuklicken.
Aufpassen bei Anhängen
Anhänge können eine Menge Schadsoftware enthalten, die anvisierte Geräte infizieren können. Mitarbeiter sollten niemals Anhänge von ihnen nicht bekannten Absendern herunterladen bzw. öffnen. Warnhinweise sind z.B. auch merkwürdige Dateiendungen. Im Zweifelsfall sollte die E-Mail mit dem Anhang an die eigene IT-Abteilung zur Prüfung weitergeleitet werden.
Was können Sie bei einem Social-Engineering-Angriff tun?
Es gibt keinen einhundertprozentigen Schutz gegen Social Engineering. Wenn doch einmal ein Angriff erfolgreich war, gilt es vor allem schnell und zugleich überlegt zu handeln. Jede Minute zählt, aber überstürztes Handeln kann wichtige Spuren verwischen.
Ihre Mitarbeiter sollten genauestens wissen, was sie zu tun haben.
- Zunächst sollte das betroffene Gerät vom Intranet bzw. Internet getrennt werden. Weitere Änderungen sind unbedingt zu unterlassen, also auch kein Herunterfahren oder Ausschalten!
- Sodann muss die Meldung des Vorfalls an die IT-Abteilung oder den Informationssicherheits-Beauftragten umgehend erfolgen, damit die betroffenen Systeme schnellstmöglich isoliert werden können. Hier darf keine falsche Scham zu Verzögerungen oder gar Vermeidung führen.
- IT-Support oder hinzugezogenes Fachpersonal untersuchen dann betroffene Soft- und Hardware. Ggfs. müssen Netzwerke abgeschaltet oder Backups eingespielt werden. Eine genaue Dokumentation des Vorgehens ist unumgänglich.
- Die Information von betroffenen Personen ausserhalb des Unternehmens und von Behörden obliegt ausschliesslich dem Informationssicherheits- bzw. Datenschutzbeauftragten.
Wie können Sie sich gegen Social Engineering schützen?
Eine optimale technische Ausgestaltung der Informationssicherheit hilft Ihren Mitarbeitern bei der Abwehr von Social-Engineering-Angriffen. So ist es selbstverständlich wichtig, Antivirus- und Anti-Spam-Software im Unternehmen einzusetzen und diese vor allem regelmässig zu aktualisieren. Automatisierte Filter, das Markieren von E-Mails von externen Absendern oder auch das Kennzeichnen von Sendern und IP-Adressen mit einer Vorgeschichte oder einem Bezug auf böswillige Absichten sind sehr nützliche Massnahmen gegen Social-Engineering-Angriffe.
Darüber hinaus sollten Sie Ihre Mitarbeiter regelmässig zu Social Engineering und anderen Informationssicherheitsthemen sensibilisieren und schulen. Das geht etwa über Inhouse-Schulungen oder über Onlinekurse. Wichtig ist die wenigstens jährliche Wiederholung.
Als drittes gilt es die organisatorischen Aspekte der Informationssicherheit zu regeln. Richtlinien zum Umgang mit Vorfällen schaffen zusätzliche Sicherheit für alle Beteiligten: Mitarbeiter wissen oder können nachschlagen, was sie zu tun haben. Verantwortliche können nachweisen, dass sie alles in ihrer Macht Stehende getan haben, um Informationen und Systeme zu sichern.
Fazit
Social Engineering ist eine sehr ernstzunehmende Bedrohung. Durch den Einsatz von KI dürfte diese Art von Angriffen in Zukunft noch effektiver werden. Ihre beste Firewall sind und bleiben Ihre Mitarbeiter.
Ein entsprechendes Sicherheitsbewusstsein bei Mitarbeitern zu erlangen, ist jedoch ein permanenter Prozess. Daher gilt es, Mitarbeiter regelmässig zu schulen, um ihr Bewusstsein für die aus dem Social Engineering resultierenden Gefahren zu schärfen.
