Anzeige

Social Engineering

Social Engineering wird auch in absehbarer Zukunft weiterhin ein Problem bleiben. Es finden sich mittlerweile zahlreiche öffentlich gewordene Angriffe durch Social Engineering sowie Informationen darüber, wie derartige Angriffe vermieden werden können.

Zudem gibt es spezielle Mitarbeitertrainings zur Schulung des Sicherheitsbewusstseins im täglichen Umgang mit Firmendaten. Hinter jedem Nutzer steckt jedoch ein Mensch, der Fehler begeht, weshalb immer noch viele Nutzer den Angriffen zum Opfer fallen und damit die Hoheit ihres Unternehmens über seine Daten gefährden. Der kleinste menschliche Fehler reicht aus, um einem böswilligen Akteur Zugriff auf die Firmendaten zu gewähren und schlimmstenfalls den gesamten Betrieb lahmzulegen. Möglicherweise können mit der Zeit effektiver werdende Trainings sowie Technologien wie künstliche Intelligenz in Zukunft Unternehmen dabei helfen, Angriffen durch Social Engineering weniger leicht zum Opfer zu fallen. Nach dem heutigen Stand wird erfolgreiches Social Engineering uns noch eine Weile begleiten.

Was Social Engineering so wirkungsvoll macht

Social Engineering hat zahlreiche Facetten, zu denen laufend weitere hinzukommen, da Cyberkriminelle stetig neue Methoden zur Überlistung des Nutzers entwickeln. Die gängigsten Methoden sind Phishing, Spear Phishing, Smishing, Vishing, Tailgating, Pretexting, Baiting und Quid Pro Quo. Die Angriffe fokussieren dabei in erster Linie auf Emotionen des Nutzers. In Abhängigkeit von der jeweiligen Angriffsart machen sie sich dabei meist den Faktor der Dringlichkeit zunutze. Der Nutzer soll keine Zeit bekommen, lange über seine Reaktion nachdenken zu können, sondern mit spontanem Handeln dem Cyberkriminellen direkt in die Hände spielen. Beispielsweise, indem er mit einem einzigen Klick auf einen Link Informationen preisgibt.

Cyberkriminelle nutzen für Angriffe durch Social Engineering zu Beginn einen Köder, mit dem sie den Nutzer in die Falle locken können. Dieser Köder besteht aus Informationen, die die Cyberkriminellen über ihr Angriffsziel finden können. Das können Medienthemen oder persönliche Informationen sein, die sie über frei zugängliche Quellen wie beispielsweise Facebook finden. Oder sie erhalten Informationen über ihr Ziel, indem sie wiederum andere Nutzer ködern. Je relevanter die gesammelten Informationen für das Opfer sind, desto wahrscheinlicher ist ein erfolgreicher Angriff.

Zudem zielen die Cyberkriminellen bei ihrer Angriffsmasche auf „Einfachheit“ oder „Bequemlichkeit“ für die Angriffsziele ab. Sie machen es dem Nutzer so einfach wie möglich, sich genau so zu verhalten, wie von den Cyberkriminellen beabsichtigt. Dabei stellen sie ihrem Opfer alle nötigen Informationen und selbst einen Link zur Verfügung, der einfach und schnell geklickt werden kann. Die gesamte Strategie der Social Engineers ist darauf ausgelegt, den Denkprozess ihres Opfers zu unterbrechen oder gar lahmzulegen.

Was vor Social Engineering schützt

Am wirkungsvollsten ist als grundsätzliche Verhaltensregel „Think before you click“ – würde man diese Art der Kommunikation von einer Person erwarten und ist einem die Person überhaupt bekannt? Da es unterschiedliche Arten von Social Engineering gibt, muss die Grundlage eines jeden Angriffs verstanden werden, um sich vor ihm zu schützen. Dem Nutzer muss bewusst sein, dass Social Engineers die Emotionen ihrer Opfer manipulieren. Er muss lernen, den Versuch einer Manipulation zu erkennen.

Aktuell bleibt eine Schulung der Mitarbeiter die beste Verteidigung gegen Social Engineering. Indem auf diese Weise gewissermaßen die „vorderste Front“ auf potentielle Angriffe vorbereitet wird, kann das Geschäftsrisiko bereits stark eingedämmt werden. Das Training lässt sich dabei auf sämtliche Angriffsvektoren und -techniken anwenden. Dennoch gibt es immer noch sehr ausgefeilte Angriffstaktiken. Besonders hinterhältig ist Business Identity Compromise (vorher Business E-Mail Compromise, BEC). Dabei kommen Deepfakes von Ton und/ oder Video zum Einsatz, um Nutzer auf sehr wirkungsvolle Weise in die Irre zu führen. Dieses Phänomen steckt derzeit noch in den Kinderschuhen, aber wird es Cyberkriminellen mit Zugang zu den geeigneten Ressourcen zukünftig ermöglichen, extrem überzeugende Deepfakes zu erzeugen, die ohne spezielle Erkennungsverfahren kaum als Betrug entlarvt werden können.

Durch ein Training zum Schutz gegen Social Engineering soll erreicht werden, dass der Nutzer beim alleinigen Betrachten einer Auffälligkeit sofort alarmiert ist und anschließend überlegt handelt. Wenn der Nutzer die Grundlagen kennt, dann kann er sich mit den einzelnen Angriffsarten im Detail befassen. Dazu finden sich online eine Vielzahl an Beispielen und Kurse. Neben effektiven Trainings gegen Social Engineering kann das Risiko eines erfolgreichen Angriffs zusätzlich durch weitere Maßnahmen minimiert werden. Technologien wie E-Mail-Filter können bereits hilfreich sein. Zudem sind Richtlinien sinnvoll, wie das Vier-Augen-Prinzip, das gegen Business E-Mail Compromise (BEC) hilft.

Fazit

Jeder Mitarbeiter sollte sich darüber im Klaren sein, dass IT-Sicherheit jeden einzelnen im Unternehmen betrifft und nicht allein bei der IT-Abteilung liegt. Vielmehr sollten die Mitarbeiter verstehen, was die IT-Abteilung unternimmt, um Angriffen durch Social Engineering vorzubeugen. Jeder einzelne Mitarbeiter muss sich hierbei einbringen und sich nicht einfach darauf verlassen, dass die IT-Abteilung nach einem erfolgreichen Angriff alles regelt. Denn im Fall von Social Engineering ist das nicht möglich – die Verantwortung liegt hier beim einzelnen Mitarbeiter. Wie in vielen Bereichen der IT-Sicherheit gelingt der Kampf gegen Social Engineering also durch eine Kombination und Zusammenarbeit von Personen, Prozessen und Technologien. Alle diese drei Bereiche können dazu beitragen, Angriffe durch Social Engineering im Keim zu ersticken.

Jelle Wieringa, Security Awareness Advocate
Jelle Wieringa
Security Awareness Advocate, KnowBe4

Artikel zu diesem Thema

Social Engineering
Jun 14, 2021

Social Engineering-Angriff? Erst Informationen sammeln, dann losschlagen!

Lassen sich Mitarbeitende eines Unternehmens so manipulieren, dass sie Informationen…
Apr 13, 2021

Deepfakes als kommende Bedrohung: Wie man einen bösen Flaschengeist bezwingt

Nach Ransomware wird der nächste gemeine Flaschengeist der Cyberkriminalität…
Security Awareness
Feb 16, 2021

10 Phasen der organisatorischen Security Awareness

Security Awareness als Begriff ist ein ziemliches altes Konstrukt. Unter anderem die OECD…

Weitere Artikel

Virus

Einer von vier E-Mail-Kompromittierungsangriffen nutzt Lookalike-Domains

Die neuesten Daten zu BEC-Betrügereien zeigen, wie böswillige Akteure eine Mischung aus Gmail-Konten, einer Zunahme gestohlener Überweisungen und einer Verlagerung auf Lohnabzweigungen nutzen.
Hacker

Cyberkriminelle wollen Kapital aus dem Thema Steuern schlagen

Erneut versuchen Cyberkriminelle sich weltweit die anstehenden Steuererklärungen vieler Bürger und Unternehmen zunutze zu machen, um Login-Daten zu entwenden und Schadsoftware zu verbreiten.
Hackerangriff

Colonial Pipeline-Hack: Das Stromnetz wurde nicht angegriffen – noch nicht...

Der Colonial Pipeline-Hack war auch insofern bemerkenswert, als dass er der bisher bedeutsamste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.
Krankenhaus IT

Krankenhäuser im Visier von Hackern

Leere Tanksäulen, verriegelte Supermarkttüren und der erste digitale Katastrophenfall in Deutschland – Menschen weltweit haben die Folgen der jüngsten Cyberattacken gegen kritische Infrastrukturen (KRITIS) am eigenen Leib gespürt: Erst Colonial Pipeline, dann…
DDoS

Zahl der DDoS-Angriffe sind rasant gestiegen

Die Zahl der DDoS-Attacken erreichte im 1. Halbjahr 2021 einen neuen Höchstwert. Die Zunahme gegenüber dem Vorjahreszeitraum mit seinem DDoS-Boom und einer Verdopplung der Angriffe betrug noch einmal 33 Prozent.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.