Anzeige

Mann-Notebook-Netzwerk

Auch eine ausgefeilte IT-Security-Strategie schützt nicht unbedingt vor Social-Engineering-Angriffen.

Social-Engineering-Angriffe stellen eine hohe Gefahr für die IT-Sicherheit dar, weil sie technische Abwehrmaßnahmen umgehen. Noch problematischer wird die Bedrohungslage durch KI- und ML-basierte Deepfakes, die stark im Kommen sind. Unternehmen müssen ein Bewusstsein für diese Gefahren entwickeln und Führungskräfte wie Mitarbeiter entsprechend sensibilisieren.

Auch eine ausgefeilte IT-Security-Strategie schützt nicht unbedingt vor Social-Engineering-Angriffen. Wenn Angreifer durch cleveres Social-Engineering oder -Hacking, also durch „soziale Manipulation“ der Mitarbeiter, Zugang zu unternehmenskritischen Systemen und Daten wie Domain-Controllern oder Passwörtern erlangen, sind die besten technischen Sicherheitsvorkehrungen in der Regel nutzlos.

Mit Abstand am häufigsten treten im Social Engineering Betrugsversuche mit Phishing-Mails auf, beliebt bei Hackern ist vor allem der gezielte Angriff auf wenige Personen per E-Mail, also das sogenannte Spear-Phishing. Aber auch die Gefahr des Vishings, das heißt von Phishing-Angriffen via Telefon, sollte nicht unterschätzt werden. Nicht zuletzt gibt es immer wieder Fälle, in denen Angreifer physischen Zugang zu einem Werksgelände und Firmenbüros erlangen.

Manipulierte Bilder, Videos oder Audio-Files 

Solange es keine 100-prozentige technische Absicherung gegen solche Social-Engineering-Methoden gibt, wird keiner dieser Angriffe wirklich veralten. Leider sind sich viele Personen der Gefahr – selbst trotz zahlreicher Awareness-Kampagnen – nicht ausreichend bewusst. Noch komplexer wird die Sache allerdings hinsichtlich neu hinzukommender Methoden des Social-Engineerings. Und dabei sind vor allem Deepfakes stark zu beachten.

Als Deepfakes, abgeleitet aus den Begriffen Deep Learning und Fake, werden manipulierte Medieninhalte wie Bilder, Videos oder Audio-Files bezeichnet. Die dahinterstehenden Technologien wie Künstliche Intelligenz (KI) und Machine-Learning (ML)-Algorithmen haben sich in letzter Zeit rasant weiterentwickelt, sodass aktuell vielfach kaum mehr Original von Fälschung zu unterscheiden ist.

In größerem Umfang tauchten Deepfake-Videos erstmals 2017 auf; das Netz fluteten vor allem gefälschte Porno-Videos mit Hollywoodstars wie Scarlett Johansson und Emma Watson. Große Bekanntheit erlangten zudem die zahlreichen Deepfakes mit Nicolas Cage, in dem der Oscar-Preisträger nahezu in jedem Hollywoodstreifen zu sehen war, etwa als Indiana Jones oder als Forrest Gump. Und auch Politiker wurden von Deepfakes nicht verschont, etwa Angela Merkel, die in einer Rede plötzlich die Gesichtszüge von Donald Trump annimmt, oder Barack Obama, der in einem Fake-Video sagt: „President Trump is a total and complete dipshit.”

Die Deepfake-Gefahr für Unternehmen

Deepfakes von Prominenten und Politikern sind bisher die bekanntesten Beispiele, aber auch die versuchte Schädigung von Unter-nehmen wird nicht lange auf sich warten lassen. Das mögliche Angriffsszenario reicht von der Übernahme von Identitäten bis zur Er-pressung von Unternehmen.Nach Einschätzung von NTT Security sind vor allem die folgenden drei Deepfake-basierten Angriffsvarianten zu beachten:

  • C-Level-Fraud
    Beim C-Level-Fraud versuchen die Betrüger nicht mehr, einen Mitarbeiter einer Firma mit einer fingierten E-Mail davon zu überzeugen, zum Beispiel Geld zu überweisen, sondern durch einen Anruf, bei dem der Anrufende sich genauso wie der CFO oder CEO anhört.
     
  • Erpressung von Unternehmen oder Einzelpersonen
    Mit der Deepfake-Technologie können Gesichter und Stimmen in Mediendateien übertragen werden, die Personen dabei zeigen, wie sie fingierte Aussagen treffen. Beispielsweise könnte ein Video mit einem CEO erstellt werden, der bekannt gibt, dass ein Unternehmen alle Kundendaten verloren hat oder dass das Unternehmen kurz vor der Insolvenz steht. Mit der Drohung, das Video an Presseagenturen zu schicken oder es in sozialen Netzwerken zu pos-ten, könnte ein Angreifer dann eine Firma erpressen.
     
  • Manipulation von Authentisierungsverfahren
    Die Deepfake-Technologie kann auch genutzt werden, um kamerabasierte Authentisierungsmechanismen zu umgehen, etwa die Legitimationsprüfung über Postident.

Prinzipiell können aber alle Attacken, bei denen sich Angreifer zum Beispiel am Telefon, per E-Mail oder Videobotschaft als eine andere Person ausgeben, durch die Deepfake-Technologie erweitert und wesentlich schwerer erkennbar werden. Dadurch ist es durchaus denkbar, dass Deepfakes auch für Angriffe auf Privatpersonen genutzt werden, etwa für den Enkeltrick-Betrug. Ein vermeintlicher Enkel könnte per Video Kontakt mit seinen Großeltern aufnehmen und diese um finanzielle Unterstützung bitten – etwa für das Studium oder eine Reise.

NTT Security sieht die Gefahr, dass Deepfakes künftig deutlich an Bedeutung gewinnen werden, da die dabei eingesetzten Machine-Learning-Methoden weiter optimiert werden und auch die Realisierung von Deepfakes keine zeit- und kostenaufwendige Herausforderung mehr darstellt. So können etwa Video-Deepfakes mit im Internet frei verfügbaren Tools wie der Software FakeApp und überschaubaren technischen Kosten erstellt werden. Benötigt werden lediglich eine Webcam für rund 80 Euro, ein Greenscreen für rund 90 Euro und eine Grafikkarte für rund 1.000 Euro. Auch ein Audio-Deepfake ist inzwischen einfach zu realisieren. In der Vergangenheit musste ein Modell noch anhand von Sprachdaten mit mindestens fünf Stunden Länge erstellt werden. Heute gibt es öffentlich verfügbare Tools wie Lyrebird, die das Synthetisieren von neuen Stimmen auf Basis eines vorhandenen Modells mit nur einer Minute an Audiomaterial ermöglichen.

Die Bedeutung von Security-Awareness-Trainings

Nach Einschätzung von NTT Security kennen die meisten Unternehmen die konkreten Deepfake-Bedrohungen noch nicht, da es sich um völlig neue Angriffsformen handelt. Der erste Schritt muss also sein, ein Bewusstsein im Unternehmen zu schaffen, dass solche Attacken möglich sind. Es bedeutet auch, sich von jahrzehnte-ang vertrauten Wahrheiten zu verabschieden. Bislang galt zum Beispiel am Telefon, dass sich am anderen Ende der Leitung auch diejenige Person befindet, der diese Stimme gehört. Nur wenn jemand weiß, dass dies unter Umständen nicht mehr zutrifft, kann er auch möglichen Angriffen aus dem Weg gehen.

Da die technischen Möglichkeiten zum Schutz von Unternehmen und Personen vor Social-Engineering-Angriffen im Allgemeinen und Deepfakes im Besonderen limitiert sind, kommt dem sicherheitsbewussten Verhalten jedes einzelnen Mitarbeiters eine entscheidende Rolle zu. Folglich sind adäquate Security-Awareness-Trainings unverzichtbar. Wichtig ist dabei, dass firmenspezifische Schulungen durchgeführt werden, in denen individuell auf mögliche Social-Engineering-Angriffe auf das jeweilige Unternehmen eingegangen wird. Die weit verbreiteten generischen Awareness-Trainings hingegen werden von den Mitarbeitern in der Regel als lästige Pflichtveranstaltung angesehen und erzielen folglich auch nicht den gewünschten Erfolg. Durch die Vorstellung konkreter – und nicht allgemeingültiger – sicherheitsrelevanter Fälle aus dem Unternehmen entsteht eine deutlich bessere Identifikationsmöglichkeit für alle Mitarbeiter.

Eventuell sollte ein Unternehmen auch ein Profiling aus Sicht eines potenziellen Angreifers in Betracht ziehen. Dabei wird analysiert, welche Informationen ein Angreifer über ein Unternehmen und die Mitarbeiter erlangen kann, beispielsweise über Suchmaschinen und in sozialen Netzwerken. Daraus kann dann ein Risikoprofil erstellt und ermittelt werden, welche Mitarbeiter am ehesten für einen Social-Engineering-Angriff ausgesucht werden. Auf dieser Basis können individuelle Awareness-Trainingsmaßnahmen konzipiert werden, die auf den jeweiligen Mitarbeiter zugeschnitten sind.

Die Durchführung von Security-Awareness-Trainings ist ein erster Schritt. Allerdings sollten Unternehmen auch die weitere Entwicklung technischer Abwehrmaßnahmen gegen Social-Engineering-Angriffe im Auge behalten. So wird gegenwärtig beispielsweise auch an Applikationen zur Erkennung von Deepfakes gearbeitet und NTT Security kooperiert in diesem Bereich bereits mit allen relevanten Herstellern.

David Wollmann, Executive Consultant
David Wollmann
Executive Consultant, NTT Security
(Bildquelle: NTT Security) 

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cybercrime

BSI-Lagebericht: Corona verschärft Cyber-Gefährdungslage

Die Corona-Pandemie hat großen Einfluss auf die Cyber-Sicherheitslage in Deutschland. Corona hat für einen Digitalisierungsschub in Deutschland gesorgt, den es nachhaltig zu gestalten, aber auch abzusichern gilt.
Phishing

Coronavirus-bezogene Phishing-E-Mail-Angriffe hören nicht auf

KnowBe4, Anbieter einer Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, stellt die Ergebnisse seines Q3 Phishing Reports vor. Der Bericht enthüllt, dass E-Mail-Betreffzeilen im Zusammenhang mit dem Coronavirus COVID-19 nach…
Ransomware

Ransomware - aktuelle Formen und wie sie sich weiterentwickeln werden

Auch in jüngster Zeit sind wieder etliche Ransomware-Vorfälle publik geworden. Aber wie werden sich die Angriffe weiterentwickeln und welche Risiken bergen sie für Unternehmen? Wie gehen CISOs und Vorstände das Dilemma "zahlen oder nicht zahlen" im Vorfeld…
Passwort

Hacker mit Passwortraten überraschend erfolgreich

Fast jeder hat mindestens zehn oder zwanzig davon. Wenn sie nicht mehrfach genutzt werden, sind es locker vierzig oder mehr. Die Rede ist von Passwörtern, die im Netz bei Bankgeschäften, zum Abrufen von E-Mails, beim Einkaufen, in sozialen Netzwerken oder am…
Schwachstelle

Nicht alle Schwachstellen sind eine Bedrohung

Die Computernetzwerke von Organisationen werden ständig erweitert: IT, Cloud, IoT und OT formen eine komplexe Computing-Landschaft, die die moderne Angriffsfläche darstellt. Mit jedem neuen Gerät, jeder neuen Verbindung oder Anwendung vergrößert sich diese…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!