Anzeige

Social Engineering

Social Engineering wird auch in absehbarer Zukunft weiterhin ein Problem bleiben. Es finden sich mittlerweile zahlreiche öffentlich gewordene Angriffe durch Social Engineering sowie Informationen darüber, wie derartige Angriffe vermieden werden können.

Zudem gibt es spezielle Mitarbeitertrainings zur Schulung des Sicherheitsbewusstseins im täglichen Umgang mit Firmendaten. Hinter jedem Nutzer steckt jedoch ein Mensch, der Fehler begeht, weshalb immer noch viele Nutzer den Angriffen zum Opfer fallen und damit die Hoheit ihres Unternehmens über seine Daten gefährden. Der kleinste menschliche Fehler reicht aus, um einem böswilligen Akteur Zugriff auf die Firmendaten zu gewähren und schlimmstenfalls den gesamten Betrieb lahmzulegen. Möglicherweise können mit der Zeit effektiver werdende Trainings sowie Technologien wie künstliche Intelligenz in Zukunft Unternehmen dabei helfen, Angriffen durch Social Engineering weniger leicht zum Opfer zu fallen. Nach dem heutigen Stand wird erfolgreiches Social Engineering uns noch eine Weile begleiten.

Was Social Engineering so wirkungsvoll macht

Social Engineering hat zahlreiche Facetten, zu denen laufend weitere hinzukommen, da Cyberkriminelle stetig neue Methoden zur Überlistung des Nutzers entwickeln. Die gängigsten Methoden sind Phishing, Spear Phishing, Smishing, Vishing, Tailgating, Pretexting, Baiting und Quid Pro Quo. Die Angriffe fokussieren dabei in erster Linie auf Emotionen des Nutzers. In Abhängigkeit von der jeweiligen Angriffsart machen sie sich dabei meist den Faktor der Dringlichkeit zunutze. Der Nutzer soll keine Zeit bekommen, lange über seine Reaktion nachdenken zu können, sondern mit spontanem Handeln dem Cyberkriminellen direkt in die Hände spielen. Beispielsweise, indem er mit einem einzigen Klick auf einen Link Informationen preisgibt.

Cyberkriminelle nutzen für Angriffe durch Social Engineering zu Beginn einen Köder, mit dem sie den Nutzer in die Falle locken können. Dieser Köder besteht aus Informationen, die die Cyberkriminellen über ihr Angriffsziel finden können. Das können Medienthemen oder persönliche Informationen sein, die sie über frei zugängliche Quellen wie beispielsweise Facebook finden. Oder sie erhalten Informationen über ihr Ziel, indem sie wiederum andere Nutzer ködern. Je relevanter die gesammelten Informationen für das Opfer sind, desto wahrscheinlicher ist ein erfolgreicher Angriff.

Zudem zielen die Cyberkriminellen bei ihrer Angriffsmasche auf „Einfachheit“ oder „Bequemlichkeit“ für die Angriffsziele ab. Sie machen es dem Nutzer so einfach wie möglich, sich genau so zu verhalten, wie von den Cyberkriminellen beabsichtigt. Dabei stellen sie ihrem Opfer alle nötigen Informationen und selbst einen Link zur Verfügung, der einfach und schnell geklickt werden kann. Die gesamte Strategie der Social Engineers ist darauf ausgelegt, den Denkprozess ihres Opfers zu unterbrechen oder gar lahmzulegen.

Was vor Social Engineering schützt

Am wirkungsvollsten ist als grundsätzliche Verhaltensregel „Think before you click“ – würde man diese Art der Kommunikation von einer Person erwarten und ist einem die Person überhaupt bekannt? Da es unterschiedliche Arten von Social Engineering gibt, muss die Grundlage eines jeden Angriffs verstanden werden, um sich vor ihm zu schützen. Dem Nutzer muss bewusst sein, dass Social Engineers die Emotionen ihrer Opfer manipulieren. Er muss lernen, den Versuch einer Manipulation zu erkennen.

Aktuell bleibt eine Schulung der Mitarbeiter die beste Verteidigung gegen Social Engineering. Indem auf diese Weise gewissermaßen die „vorderste Front“ auf potentielle Angriffe vorbereitet wird, kann das Geschäftsrisiko bereits stark eingedämmt werden. Das Training lässt sich dabei auf sämtliche Angriffsvektoren und -techniken anwenden. Dennoch gibt es immer noch sehr ausgefeilte Angriffstaktiken. Besonders hinterhältig ist Business Identity Compromise (vorher Business E-Mail Compromise, BEC). Dabei kommen Deepfakes von Ton und/ oder Video zum Einsatz, um Nutzer auf sehr wirkungsvolle Weise in die Irre zu führen. Dieses Phänomen steckt derzeit noch in den Kinderschuhen, aber wird es Cyberkriminellen mit Zugang zu den geeigneten Ressourcen zukünftig ermöglichen, extrem überzeugende Deepfakes zu erzeugen, die ohne spezielle Erkennungsverfahren kaum als Betrug entlarvt werden können.

Durch ein Training zum Schutz gegen Social Engineering soll erreicht werden, dass der Nutzer beim alleinigen Betrachten einer Auffälligkeit sofort alarmiert ist und anschließend überlegt handelt. Wenn der Nutzer die Grundlagen kennt, dann kann er sich mit den einzelnen Angriffsarten im Detail befassen. Dazu finden sich online eine Vielzahl an Beispielen und Kurse. Neben effektiven Trainings gegen Social Engineering kann das Risiko eines erfolgreichen Angriffs zusätzlich durch weitere Maßnahmen minimiert werden. Technologien wie E-Mail-Filter können bereits hilfreich sein. Zudem sind Richtlinien sinnvoll, wie das Vier-Augen-Prinzip, das gegen Business E-Mail Compromise (BEC) hilft.

Fazit

Jeder Mitarbeiter sollte sich darüber im Klaren sein, dass IT-Sicherheit jeden einzelnen im Unternehmen betrifft und nicht allein bei der IT-Abteilung liegt. Vielmehr sollten die Mitarbeiter verstehen, was die IT-Abteilung unternimmt, um Angriffen durch Social Engineering vorzubeugen. Jeder einzelne Mitarbeiter muss sich hierbei einbringen und sich nicht einfach darauf verlassen, dass die IT-Abteilung nach einem erfolgreichen Angriff alles regelt. Denn im Fall von Social Engineering ist das nicht möglich – die Verantwortung liegt hier beim einzelnen Mitarbeiter. Wie in vielen Bereichen der IT-Sicherheit gelingt der Kampf gegen Social Engineering also durch eine Kombination und Zusammenarbeit von Personen, Prozessen und Technologien. Alle diese drei Bereiche können dazu beitragen, Angriffe durch Social Engineering im Keim zu ersticken.

Jelle Wieringa, Security Awareness Advocate
Jelle Wieringa
Security Awareness Advocate, KnowBe4

Artikel zu diesem Thema

Social Engineering
Jun 14, 2021

Social Engineering-Angriff? Erst Informationen sammeln, dann losschlagen!

Lassen sich Mitarbeitende eines Unternehmens so manipulieren, dass sie Informationen…
Apr 13, 2021

Deepfakes als kommende Bedrohung: Wie man einen bösen Flaschengeist bezwingt

Nach Ransomware wird der nächste gemeine Flaschengeist der Cyberkriminalität…
Security Awareness
Feb 16, 2021

10 Phasen der organisatorischen Security Awareness

Security Awareness als Begriff ist ein ziemliches altes Konstrukt. Unter anderem die OECD…

Weitere Artikel

Supply Chain

Größter deutscher Versicherer warnt vor Hackerattacken auf globale Lieferketten

Der zur Allianz gehörende Industrieversicherer AGCS warnt vor steigender Zahl von Onlineerpressungsangriffen auf die stockenden globalen Lieferketten wie unter anderem heise und die ZEIT berichteten.
Exploit

Hacker nutzen Zero-Day-Schwachstelle aus

HP analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.
Herzmonitor

Ransomware-Angriffe auf Krankenhäuser - Sind Leben in Gefahr?

Krankenhäuser in den USA wurden zuletzt verstärkt von Ransomware-Gruppen angegriffen. Statistische Berechnungen zeigen nun, dass dabei durchaus Gefahr für Leib und Leben besteht.
Bitcoin Smartphone

iPhone-Krypto-Betrug eskaliert nun auch in Europa

Neue Erkenntnisse von Sophos deuten darauf hin, dass der internationale Cyber-Betrug mit Kryptowährung eskaliert. Cyberkriminelle nutzen beliebte Dating-Apps wie Tinder und Bumble, um iPhones von arglosen Nutzern:innen für ihre betrügerischen Machenschaften…
Hacker

Wenn Prometheus das Feuer stiehlt

Moderne Versionen der Open-Source-Lösung Prometheus unterstützen Sicherheitsmechanismen wie Basisauthentifizierung und TLS, die explizit konfiguriert werden müssen und nicht standardmäßig aktiviert sind. Andernfalls können Hacker leicht sensible Informationen…
Hackerangriff

Reaktionszeit auf Cyberangriffe dauert mehr als zwei Arbeitstage

Deep Instinct, Entwickler eines Deep-Learning-Framework für Cybersicherheit, veröffentlicht mit der zweiten Ausgabe des halbjährlichen Voice of SecOps Reports neue Zahlen zur aktuellen Cyber-Bedrohungslage zu der weltweit Cybersicherheitsexperten befragt…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.