Anzeige

Anzeige

Veranstaltungen

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Social Engineering

Wenn man Wikipedia befragt, so handelt es sich bei Social Engineering im Rahmen der Unternehmenssicherheit um „zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen“. 

Doch wie wählen Cyberkriminelle aus, welche Personen beeinflusst werden sollen, wie geht das genau vonstatten und vor allem – wie lässt sich das unterbinden?

Very Attacked Persons (VAPs)

Welche Personen im Unternehmen sind besonders vielen Social Engineering Angriffen ausgesetzt? Denn nur wenn man versteht, wer unter Beschuss gerät, kann das Unternehmen als Ganzes effektiv geschützt werden.

Die Antwort mag vielfach verblüffen. Es sind nicht etwa die Personen, die die Mehrzahl als Angriffsopfer vermuten würden, wie etwa den Finanzvorstand. Die Firmenleitung erhält von der Gesamtzahl zielgerichteter Malware- und Phishing-Angriffe lediglich 6 Prozent, wohingegen laut des aktuellen Protecting-People-Reports von Proofpoint 72 Prozent aller Angriffe gegen einfache Mitarbeiter und Manager gerichtet waren.

Um herauszufinden, wer die VAPs im eigenen Unternehmen sind, müssen Faktoren wie der Job Titel, die Rollenbeschreibung (insbesondere auf welche Daten und Systeme die Mitarbeiter Zugriff haben) und die Profile des Mitarbeiters in sozialen Netzwerken, Internetdatenbanken und anderen Quellen bedacht werden. Ein Beispiel zur Verdeutlichung: Ein Mitarbeiter ist „Data Analyst“ und listet, wie es üblich ist, auf einem sozialen Netzwerk unter „ich biete“ die verschiedenen Softwareprogramme an, die er beherrscht. Um den Rückschluss zu ziehen, dass er aktuell mit diesen Programmen arbeitet und auf die darin gespeicherten Daten zugreifen kann, bedarf es keiner Doktorarbeit. Vielleicht hat er zusätzlich sein Twitter-Profil verlinkt? Mit Sicherheit aber seinen Arbeitgeber und den Ort seiner Tätigkeit angegeben. Und schon wird er zum Social-Engineering-Ziel, wie es sich ein Cyberkrimineller nicht schöner wünschen könnte.

Angriffsziele

Angriffsziele


Weitere wichtige Fakten:

  • Angreifer ändern ihre Ziele. Es gab in den zwei vorangehenden Quartalen lediglich eine Überschneidung von 13 Prozent; mit anderen Worten 87 Prozent aller Angriffsopfer waren im laufenden Quartal erstmals im Visier der Kriminellen.
     
  • Über mehrere Quartale hinweg waren immer Mitarbeiter aus Marketing & PR überdurchschnittlich häufig Opfer zielgerichteter Cyberattacken, während andere Abteilungen mal mehr und mal weniger häufig angegriffen wurden.
     
  • Mitglieder eines öffentlichen E-Mail-Alias sind besonders beliebte Ziele. Auf diese Adressen entfielen annähernd 30 Prozent aller zielgerichteter Angriffe des letzten Vierteljahres.
     
  • Es war keine messbare Korrelation zwischen Firmengröße und der Wahrscheinlichkeit für E-Mail Betrug festzustellen.

Mit nur einem Klick ist alles möglich

Cybersicherheit ist nicht nur eine Sache der IT. Je schwieriger es wird, Software- und Hardware-Schwachstellen auszunutzen – die Unternehmen haben hier ihre Hausaufgaben gemacht – desto mehr rückt die Schwachstelle Mensch ins Visier. Denn selbst die besten Schutzmaßnahmen können mit einem einzigen unbedachten Klick auf einen Link oder Anhang oder einer arglosen Antwort auf eine perfekt gefälschte E-Mail Anfrage des Chefs ausgehebelt werden.

Und so bleibt die E-Mail Angriffsvektor Nummer 1. Die Anzahl der E-Mail-Betrugsversuche, der sich jedes Unternehmen im Durchschnitt ausgesetzt sah, stieg in nur einem Jahr um 944 Prozent. Außerdem fällt auf, dass sowohl mehr Spoofing Angriffe stattfinden, um sich als legitimer Versender ausgeben zu können, als auch mehr gezielte Angriffe an mehrere Personen im Unternehmen stattfanden.

Social Media erfreut sich bei Cybergangstern ebenfalls steigender Beliebtheit. Während es dank den von Twitter, Facebook & Co. verwendeten Sicherheitsvorkehrungen gelang, die Anzahl der Phishing-Links auf diesen Plattformen deutlich zu reduzieren, steigen die Fälle des so genannten Angler Phishings deutlich an. Besondere Bedeutung erlangte unlängst der Kundendienst-Betrug in sozialen Netzwerken. Hier erstellen Cyberkriminelle überzeugende Kundenservice-Accounts und warten darauf, dass sich Kunden mit einer Anfrage an die legitimen Konten wenden (diese werden mit Hilfe von Social-Listening-Tools beobachtet). Oftmals schlagen sie dann in den Abendstunden oder am Wochenende zu, wenn die echten Account Teams selbst weniger schnell aktiv werden und schicken dann eine Antwort über ihren (gefälschten) Lookalike-Account. Nachdem den Kunden versichert wurde, man würde sein Anliegen lösen, wird er an eine gefälschte Webseite weitergeleitet und soll sich dort einloggen. Bei diesem Versuch können so durch die Betrüger ganz einfach die Anmeldedaten abgegriffen werden.

Auch im Web selbst ist der Internetnutzer nicht vor Social-Engineering-Angriffen gefeit. Bei dieser Angriffsform musste Proofpoint innerhalb nur eines Quartals einen Anstieg von 150 Prozent feststellen. In der Regel werden arglose Nutzer über Antivirus Benachrichtigungen oder Aufforderungen zu Software Updates auf gefälschte Seiten gelotst und dazu verleitet, Malware herunterzuladen oder ihre Zugangsdaten preiszugeben.

Effektiver Schutz in 6 Schritten

  1. Stellen Sie sicher, dass Ihre Lösung Ihnen anzeigen kann, wer angegriffen wird, wie dieser Angriff erfolgt und ob geklickt wurde. Bedenken sie das Risiko, das jeder Mitarbeiter individuell darstellt, insbesondere in Bezug auf die Systeme und Daten, auf die er oder sie zugreifen kann.
     
  2. Bilden Sie Ihre Nutzer dahingehend aus, dass sie Angriffe erkennen können. Die besten Trainings beinhalten simulierte Attacken und nutzen aktuelle Bedrohungsdaten und -Trends.
     
  3. Angreifer werden immer neue Wege finden, die menschliche Natur auszunutzen. Nutzen Sie Lösungen, die betrügerische E-Mails stoppen können, noch bevor sie den Adressaten erreichen.
     
  4. Die finanziellen Auswirkungen von E-Mail Betrug können immens sein; oftmals noch gravierender ist der Einfluss auf die Reputation des Unternehmens. Investieren Sie deshalb in eine Lösung, die das E-Mail-Management auf Basis verschiedener Quarantäne- und Blockier-Richtlinien ermöglicht.
     
  5. Limitieren Sie sich nicht auf nur einen Angriffsvektor. Kämpfen Sie auf allen Fronten gegen Cyberattacken. Seien Sie besonders wachsam was Lookalike Konten (E-Mail aber auch Social) angeht.
     
  6. Um zielgerichteten Angriffen effektiv begegnen zu können, benötigen IT-Sicherheitsabteilungen aktuelle und umfassende Erkenntnisse über die Bedrohungslage. Legen Sie bei der Wahl Ihrer Lösung deshalb großen Wert auf statische und dynamische Techniken zur Erkennung neuer Angriffstools, -taktiken und -ziele.

Werner Thalmeier
Werner Thalmeier, Senior Director System Engineering EMEA, Proofpoint GmbH

www.proofpoint.com

 

 

Georgeta Toth
Mai 13, 2019

Cloud Security stellt CISOs vor eine Herkulesaufgabe

CISOs wünschen sich in erster Linie absolute Transparenz. Sie möchten verstehen, welche…
Hacker Stadt
Mai 13, 2019

Schlaraffenland für Cyberkriminelle

Nach Angaben des Deutschen Instituts für Wirtschaftsforschung (DIW) möchte jeder Deutsche…

Neuste Artikel

Gerald Beuchelt

Schützt endlich eure Daten!

Daten sind das höchste Gut in Unternehmen. Länderregulierungen wie die DSGVO schützen diese und haben bereits zu höherer Datensicherheit wie der Einführung der Multifaktoren Authentifizierung geführt. Aber noch immer sind die Logins für 80 Prozent der…
Datenschutz Schilder

Datenschutz 2020: Mehr Transparenz gleich weniger Risiko?

Am 28. Januar ist Datenschutztag oder auch Data Privacy Day. Lange waren der Schutz von Daten und Privatsphäre ein Thema, das bestimmte Personengruppen innerhalb einer Organisation diskutierten. Für die, die nicht gerade IT-Berater oder Unternehmensanwalt…
Grabstein RIP

Die Privatsphäre ist tot, lang lebe die Privatsphäre?

Mit jeder neuen Datenschutzverletzung, jedem Hacker- oder Ransomware-Angriff haben wir erneut die Wahl: Entweder wir finden uns damit ab, dass unsere personenbezogenen Daten in den Händen von Personen sind, die darüber lieber nicht verfügen sollten, oder wir…
KI Hacker

KI in der Cybersicherheit – Überblick und Status Quo

Die KI-basierte Erkennung und Reaktion auf Bedrohungen im Netzwerk ist die zeitgemäße Antwort auf die heutige Cyberbedrohungslage. Der Kreativität der Angreifer bei einer gleichzeitig wachsenden Angriffsfläche und einem Mangel an IT-Fachkräften ist nur mit…
Nico Popp

Nico Popp ist neuer Chief Product Officer bei Forcepoint

Forcepoint, ein weltweit führender Cybersecurity-Anbieter mit Deutschlandbüro in München, hat Nico Popp, 56, zum Chief Product Officer (CPO) ernannt. In dieser neu geschaffenen Position treibt der erfahrene Branchenexperte die Cloud-First-Strategie des…
White Hacker Frau

Ethisches Hacking - ein Mittel, um Sicherheitsrisiken zu senken?

Das Cybersicherheitsrisiko realistisch einzuschätzen und Maßnahmen zu priorisieren, ist gerade für Industrieunternehmen ein nicht ganz triviales Unterfangen. Einige Vorreiter der Branche fragen sich, ob es Sinn macht, die Hacker vielleicht selbst zu…

Anzeige

GRID LIST
White Hacker Frau

Ethisches Hacking - ein Mittel, um Sicherheitsrisiken zu senken?

Das Cybersicherheitsrisiko realistisch einzuschätzen und Maßnahmen zu priorisieren, ist…
Cyber Crime Mensch

Social Engineering - Die Kunst der Täuschung

Beim Social Engineering nutzen Cyber-Angreifer den „Faktor Mensch“ als vermeintlich…
Hacker

Conversation Hijacking: Schutz vor hochpersonalisierten Angriffen

Beim Conversation Hijacking klinken sich Cyberkriminelle in bestehende…
Hacker

Trickreiche Cyber-Angriffe fokussieren mehr auf KMUs

„Kleine und mittelständische Unternehmen tun gut daran, das Risiko von Cyber-Angriffen…
Tb W190 H80 Crop Int 18a7f2e3a514753b9748ffff7b3b3747

Der Quantencomputer gefährdet schon heute die Datensicherheit

Die nächste IT-Ära lässt noch lange auf sich warten. Wann der Quantencomputer kommerziell…
Tb W190 H80 Crop Int Dad59e0147e6775ec7d5e340684fdd27

Mit Plan zur IT-Sicherheit

Unternehmen sehen sich immer größeren Gefahren der Cyberkriminalität gegenüber.…