Thought Leadership
Lassen sich Mitarbeitende eines Unternehmens so manipulieren, dass sie Informationen preisgeben, schädliche Links anklicken oder infizierte Anhänge öffnen? Ja, meinen die IT-Sicherheitsexperten der PSW GROUP.
„Bei dieser Angriffsmethode, dem Social Engineering, nutzen Kriminelle nämlich die menschliche Psyche gezielt aus, um relevante Daten in Erfahrung zu bringen. Mithilfe unterschiedlicher Methoden versuchen sie, das Vertrauen einer bestimmten Person zu gewinnen. Im Ergebnis öffnet diese ihnen dann Tür und Tor zum Datenschatz, indem sie beispielsweise Login-Daten einschließlich Passwörter preisgibt“, erklärt Patrycja Schrenk, Geschäftsführerin der PSW GROUP.
Die Tatsache, dass nahezu jede Person irgendwo online auffindbar ist, macht den Angriff über Social Engineering einfach: In sozialen Netzwerken sammeln die Betrüger zunächst Informationen über ihre Zielpersonen. So gelingt es ihnen später, sich als Vertrauensperson auszugeben – beispielsweise per E-Mail. Mittels Spoofing lassen sich E-Mail-Adressen so verschleiern, dass der wahre Absender nicht sichtbar werden muss. „Die E-Mail könnte darauf abzielen, zum Download eines verseuchten Anhangs oder zum Klicken auf einen Link zu verführen.
Dahinter verbergen sich Malware oder auch Phishing-Angriffe zum Herausfinden der Login-Daten. Der Kriminelle könnte sich aber auch per Telefon an einen Mitarbeitenden wenden und erklären, er sei aus der IT-Abteilung und müsse die Zugangsdaten auf Anweisung des Chefs prüfen. Das arglose Opfer glaubt, mit einem Kollegen aus der IT-Abteilung zu sprechen, und gibt die „angeforderten“ Daten heraus. Ein solcher autoritätsbasierter Ansatz funktioniert leider häufiger als gedacht“, nennt Patrycja Schrenk zwei mögliche Angriffs-Szenarien.
Die Beispiele zeigen, dass verschiedene Formen des Social Engineering-Angriffs existieren. Die Häufigste ist jedoch die des E-Mail-Betrugs: Mit gefälschten E-Mails versuchen Angreifer, ihr Opfer dazu zu bringen, eine bestimmte Aktion in der E-Mail auszuführen. Heißt: Das Opfer soll eine Datei öffnen oder einen Link anklicken. Solche E-Mails müssen nicht immer als plumpe Fälschung daherkommen und leicht erkennbar sein. Cyberkriminelle betreiben manchmal großen Aufwand, die Köder auf ihre Opfer individuell zuzuschneiden, sodass gefälschte E-Mails häufig kaum von echten zu unterscheiden sind.
„Beim Social Engineering ergreifen Kriminelle Taktiken, die gezielt menschliche Schwächen ausnutzen sollen. Mit besonders interessanten Betreffzeilen wecken sie zum Beispiel die Neugierde ihres Opfers, die E-Mail überhaupt erst zu öffnen und beispielsweise einen Link anzuklicken. Gern täuschen die Angreifer auch Dringlichkeit vor, um ihr Opfer zu drängen, eine angehängte Datei sofort zu öffnen“, informiert Schrenk über einige Taktiken. Auch Täuschung gehört dazu: Angreifer bauen auch E-Mails von vertrauenswürdigen Marken, zum Beispiel Online-Shops oder Banken, nach und fordern darin, die Bankverbindung über einen Link zu bestätigen. Dieser führt mitnichten zur tatsächlichen Bank, sondern er führt zu einer Phishing-Website, die die eingegebenen Daten direkt an den Betrüger liefert. „Damit Nachrichten dieser Art noch authentischer wirken, setzen Angreifer oft auf gefälschte Ketten. Sie setzen beispielsweise „Fwd:“ oder „RE:“ vor den Betreff und fügen gefälschte E-Mail-Verläufe hinzu“, mahnt die Expertin zu Vorsicht.
Mit dem „Chef-Trick“, auch CEO-Fraud genannt, nutzen Kriminelle die perfide Masche des Social Engineerings gezielt auch gegen Geschäftsführer. Diese Form ist in der Regel aufwändig, denn hierfür werden nicht nur soziale Netzwerke nach Informationen durchforstet, sondern auch Mitarbeitende verschiedener Abteilungen des Unternehmens unwissentlich einbezogen. Die Betrüger geben sich dabei als Führungsperson aus und erhaschen von Mitarbeitern verschiedene Informationen über ihren Chef. Das können Informationen privater, aber auch finanzieller Natur sein. Auch Login-Daten wechseln dadurch ungewollt den Besitzer. Mittel können dafür E-Mails, Briefe, Anrufe oder Messenger-Kontakt sein. „Hat der Angreifer genügend Informationen gesammelt, können diese auf verschiedene Art genutzt werden. Der CEO könnte erpresst werden, indem der Angreifer mit Veröffentlichung der erbeuteten Informationen droht. Auch könnte ein Angreifer im Namen des CEO Websites und Geschäfte eröffnen oder Fake-News verbreiten und so die Reputation in Mitleidenschaft ziehen“, so Patrycja Schrenk über das Ausmaß.
Sie weiß: „Sich gegen Social Engineering zu wappnen, ist nicht einfach. Denn anstatt sich in die Technik zu hacken, greifen die Betrüger die Psyche ihrer Opfer an und manipulieren diese. Nicht die Technik, sondern der Mensch bildet die Sicherheitslücke, die Social Engineering-Angriffe ermöglichen.“ Damit sind auch Virenscanner machtlos. Einzig mit Awareness, die durch Mitarbeiter-Schulungen erlangt werden kann, lassen sich derartige Angriffe in Schach halten. In Schulungen entwickeln Mitarbeitende ein grundlegendes Verständnis über verschiedene Angriffsformen und den Schutz dagegen. Das unterstützt Unternehmen ganz wesentlich darin, ihre IT-Sicherheit zu stärken. Außerdem lernen Mitarbeiter zu verstehen, dass nicht nur die IT-Abteilung für die IT-Sicherheit verantwortlich ist, sondern jeder Einzelne im Unternehmen.
Ziel solcher Schulungen ist es unter anderem, Wissen um starke, komplexe Passwörter zu erlangen und gesundes Misstrauen gegenüber Menschen, die Informationen oder Daten abfragen, zu entwickeln. „Das ist in Großunternehmen noch wichtiger als in kleineren, familiäreren Betrieben. Denn in großen Firmen fällt es Kriminellen leichter, sich als Mitarbeiter einer anderen Abteilung auszugeben“, meint Schrenk und rät, sensible Informationen grundsätzlich nicht telefonisch weiter zu geben: „Ich würde Anfragen zu Auskünften über sensible Informationen immer schriftlich, beispielsweise per E-Mail, erbitten. Denn gerade Auskünfte, die nebensächlich erscheinen mögen, helfen Kriminellen, Informationen zu sammeln.“ Zudem gibt es eine einfache Möglichkeit, zu prüfen, ob eine E-Mail und damit ihr Absender echt ist: Einfach beim angeblichen Absender anrufen und nachfragen.
Beim Social Engineering kommt den sozialen Netzwerken eine große Rolle zu, denn oft sind diese mit ausreichenden Informationen für die Angriffe gespickt. Mitarbeiter sollten deshalb regelmäßig dazu angehalten werden, Datenschutz auch außerhalb des Unternehmens zu leben – auch dafür sind Awarness-Schulungen gut: „Gibt ein Mitarbeiter viel im Internet über sich preis, wird er angreifbarer. Mitarbeitende sollten deshalb auf die Privatsphäre-Einstellungen in sozialen Netzwerken hingewiesen werden und wie sie diese umsetzen“, gibt Schrenk noch einen Tipp.
www.psw-group.de
