Gastbeitrag: Social Engineering – Menschliches Risiko für die IT-Sicherheit
Unternehmen geben zunehmend Geld für ihre IT-Sicherheit aus. Doch gleichzeitig nehmen die Anzahl an erfolgreichen Cyberangriffen oder die Varianten an Ransomware weiter zu. Da Firmen vermehrt technische Vorkehrungen in ihrer IT-Infrastruktur treffen, suchen die Angreifer nach anderen Schwachstellen. Eine Angriffsmethode, die den Mitarbeitenden ins Zentrum setzt, nennt sich Social Engineering. Was genau dahinter steckt und wie sich Unternehmen davor schützen können, erläutert Anne Roemer von der HTH GmbH in folgendem Gastbeitrag.
Was ist Social Engineering?
Social Engineering ist eine Art des Cyberangriffs. Hierbei sammeln die Täter im Vorfeld zahlreiche Informationen über mögliche Zielpersonen und das Zielunternehmen. Diese nutzen sie dann gezielt für einen Angriff. Dabei greifen die Kriminellen zum einen auf frei verfügbare Quellen wie Unternehmenswebseiten oder soziale Netzwerke zurück. Zum anderen hören sie gegebenenfalls auch Anrufe oder Gespräche mit. Sie tragen auf diese Weise eine Vielzahl sowohl beruflicher als auch privater Hintergrundinformationen zusammen. Eine Attacke auf ein Unternehmen können die Täter auf dieser Basis sehr gezielt planen und vorbereiten.
Die Erfolgsquote ist gut, denn Social Engineering nutzt gezielt die Schwächen der Menschen aus. Die Natur hat den Menschen mit Schwächen wie Angst, Neugier, Autoritätshörigkeit ausgestattet. Zudem haben wir Bedürfnisse wie den Drang nach sozialer Bestätigung oder den Wunsch anderen zu helfen. Und genau an diesen tiefen psychologischen Eigenschaften setzen die Cyberkriminellen an. Social Engineering gewinnt an Stärke durch die natürlichen menschlichen Schwächen.
Angriffsziele des Social Engineerings sind sowohl Konzerne, als auch kleine und mittelständische Unternehmen. Umso wichtiger ist es, dass alle Mitarbeiter um die Gefahr wissen. Für einen Angriff kommen verschiedene Kanäle in Frage. Häufig ist es die E-Mail, doch ebenso gibt es Varianten über SMS, Anrufe, persönliche Ansprache oder Videokonferenz-Tools. Die Kreativität ist da groß. Wir stellen hier drei Methoden vor, die jeder kennen sollte.
Drei Methoden des Social Engineering
1. CEO-Fraud
Bei einem CEO-Fraud gibt sich ein Krimineller als Geschäftsführer oder Chef aus. In dieser vermeintlichen Autoritätsfunktion gibt er dann Anweisungen wie beispielsweise bestimmte Überweisungen durchzuführen. Für diese Art des Betrugs greifen Täter auf verschiedene Kommunikationsmedien zurück. Sie nutzen oftmals E-Mails aber auch gerne Telefonanrufe. CEO Fraud wird auch als Chef-Betrug oder CEO-Betrug bezeichnet. Diese gängige Betrugsmethode kennen viele Mitarbeiter immer noch nicht, obwohl sie häufig vorkommt. Schon seit einigen Jahren warnen die Landeskriminalämter vor dieser Angriffstechnik.
2. Spear-Fishing
Die Methode des „normalen“ Phishings ist inzwischen sehr bekannt. Dabei werden massenhaft E-Mails versendet, die den Empfänger auffordern auf einen Link zu klicken. Dort werden dann vertrauliche Informationen wie Passwörter oder Bankverbindungen verlangt.
Spear-Phishing ist nun eine Weiterentwicklung. Das Prinzip ist das gleiche, doch die Angreifer setzen mehr auf Klasse statt Masse. Sie machen im Vorfeld eine umfangreiche Recherche, um viele persönliche Informationen über die Zielperson zu sammeln. Auf dieser Basis gestalten sie die E-Mail sehr individuell, sodass sie mehr Relevanz für den Empfänger hat. Dadurch steigt die Wahrscheinlichkeit, dass der Angriff erfolgreich ist. Denn der Gemüsehändler um die Ecke oder die örtliche Bücherei als Absender ist nicht so verdächtig. Da ist eine Person vermutlich eher geneigt, Informationen Preis zu geben, ohne Böses zu ahnen.
3. Deepfakes
Der Begriff “Deepfake” beschreibt manipuliertes Audio- oder Videomaterial, das täuschend echt anmutet. Es hat als Spielerei im Internet angefangen und zu Beginn vorzugsweise prominenten Personen falsche Worte in den Mund gelegt. Inzwischen hat sich dies aber zu einer realen Bedrohung für Unternehmen weiterentwickelt. Angreifer nutzen diese Methode, um sich vielleicht als Chef auszugeben und eine Überweisung in Auftrag zu geben. Diese Videos sind für eine Person in der Regel nicht als Fake erkennbar. Umso wichtiger, sich mit dieser Methode vertraut zu machen.
Schutz vor Social Engineering
Ein Schutz vor Social Engineering lässt sich leider nicht durch ausgeklügelte IT-Maßnahmen erreichen. Wie gesagt nutzt es eben nicht technische, sondern menschliche Schwachstellen aus. Die Angreifer sind dabei sehr kreativ und finden immer neue Wege, um an erforderliche Daten zu kommen. Jedem Unternehmen ist daher anzuraten, seine Mitarbeiter auf mögliche Angriffsszenarien zu sensibilisieren und vorzubereiten. Permanente Awareness-Trainings sind dabei eine gute Wahl, um die IT-Sicherheit im Unternehmen zu steigern. Ebenso können organisatorische Regeln wie das vieraugen-Prinzip bei Überweisungen einen Schutz vor den beschriebenen Cyberkriminellen bieten.
Cyberangriffe sind eine reale und existenzielle Bedrohung für Unternehmen jeder Größe. Ergreifen Sie daher entsprechende Maßnahmen, um sie abzuwehren.
Mehr Informationen zum IT-Systemhaus HTH GmbH finden Sie hier.