Teil 3

Social Engineering: Wie können Unternehmen sich schützen?

Über 70 Prozent aller Cyberangriffe haben Studien zur Folge weniger die Hard- oder Software als primäres Ziel, sondern versuchen durch gezielte Manipulationen sensible Informationen durch den Menschen zu beschaffen und so weiterführende Angriffe durchzuführen.

Das liegt daran, dass gut geschützte Server sich von außen viel schwerer kompromittieren lassen, als die bewusste oder unbewusste Mithilfe der Angestellten in Anspruch zu nehmen. 

Anzeige

Die Ziele der Angreifenden sind meist:

  • Industriespionage
  • Image- oder Rufschädigung
  • Identitätsdiebstahl
  • Erpressung
  • Zugriff auf weitere Datenstrukturen. 

Auch wenn die genauen Methoden nicht immer bekannt sind, da kriminelle Expert/innen ihre Techniken zumeist nicht veröffentlichen, sind diverse Manipulationsgrundlagen bekannt, die eingesetzt werden. Social Engineering-Angriffe versuchen in den meisten Fällen Emotionen der Personen auszunutzen und somit künstlich Angst, Freude, Glück oder Zufriedenheit hervorzurufen.

Durch die gespielte Dringlichkeit des vermeintlichen Anliegens und der Begrenzung der Handlungszeit wird das Opfer unter Druck gesetzt und zum unüberlegten Handeln gebracht. 

Phishing und Spear-Phishing

Wir alle kennen schlecht erstellte Phishingmails mit Rechtschreibfehlern und unpersönlicher Anrede. Leider sieht zum Teil die Gegenwart, aber ziemlich sicher die Zukunft anders aus. Durch individuellere Spear-Phishing-Angriffe versuchen Kriminelle gezielt Handlungen auszulösen oder an Informationen zu gelangen. Durch vorherige Recherche werden individuelle Angriffe ausgeführt, die viel realistischer wirken als massenhaft versendete Phishing-Kampagnen. Dabei werden solche Angriffe längst nicht mehr nur von gewieften Individuen ausgeführt. Wie die vergangene Welle des Trojaners EMOTET gezeigt hat, werden Schadprogramme immer intelligenter.

Begeben wir uns dazu in ein Gedankenexperiment. Über soziale Netzwerke und andere öffentlich zugängliche Quellen kann ich sowohl über Unternehmen als auch über Einzelpersonen sehr viele Informationen in Erfahrung bringen. Anhand dieser Informationen bin ich in der Lage einen gezielten Spear-Phishing-Angriff vorzubereiten, der nicht so leicht erkannt werden kann. Mittlerweile ist aber Schadsoftware in der Lage, Informationen auszuwerten und diese für automatisierte Angriffe zu nutzen. Diese Entwicklung ist besorgniserregend und wird uns in den nächsten Jahren immer häufiger beschäftigen.

Voice Phishing, Shoulder Surfing & Co. 

Die Taktiken abseits des gängigen E-Mail-Phishings werden immer ausgeprägter und professioneller. In Zukunft werden wir nicht nur Angriffe über den Kanal „E-Mail“ erleben.

Soziale Netzwerke und Teamkommunikationsmittel des Remote-Work-Zeitalters, wie z. B. Microsoft Teams und Slack oder Videokonferenzsoftware geraten immer mehr in den Fokus von Kriminellen. Ich erinnere mich noch gut an meine letzte längere Zugreise mit dem ICE von Hamburg nach Leipzig im Jahr 2019. Im Abteil saß eine mittlere Führungskraft eines deutschen DAX-Konzerns und hielt für alle hörbar ein Meeting über strategische Ausrichtungen und Budgetplanung ab. Ohne in die Social Engineering-Trickkiste zu greifen, wurde ich unfreiwillig mit sensiblen Firmeninformationen gefüttert.

Durch strikte Richtlinien und Sensibilisierungsmaßnahmen könnte ein solches Meeting mit potentiell schädlichen Auswirkungen leicht verhindert werden. Ebenso wie eine Sichtschutzfolie vor Blicken der Sitznachbar/innen schützt. Durch die Ausbreitung der Corona-Pandemie sehen wir aber auch vermehrt den Einsatz von Voice Phishing auf im Home-Office arbeitende Mitarbeitende. Dabei erhält die Person eine Reihe von Anrufen. Ein gängiges Beispiel sind Anrufe der IT-Abteilung. Diese wollen den VPN-Zugang richtig konfigurieren, um die Person im Home-Office zu schützen. Dabei wird dann versucht die Person dazu zu bringen, Zugangsdaten am Telefon durchzugeben oder auf einem gefälschten VPN-Portal einzugeben. Auch hier werden wieder die oben benannten Manipulationstaktiken angewandt und diese Art von Angriffen kann durch untenstehende Schutzmaßnahmen relativ einfach verhindert werden. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wie können Unternehmen sich schützen?

Das Unternehmen kann über mehrere Bereiche geschützt werden. Leider ist es in der Praxis oft so, dass erst Maßnahmen ergriffen werden, wenn bereits ein Angriff geglückt ist. Auch wenn die Nachbereitung und Auswertung von Angriffen sehr wichtig ist, müssen präventive Maßnahmen ergriffen werden, um die Wahrscheinlichkeit des Erfolgs eines Angriffes zu reduzieren. Zum einen müssen klare Kommunikationswege festgelegt und der Wert von Informationen klassifiziert werden. Alle Angestellten sollten selbst im Schlaf wissen, welche Art von Informationen an welche Personenkreise herausgegeben werden darf. Nur so kann die Handlungssicherheit gefestigt und das Schutzniveau erhöht werden. Zum anderen müssen Personen in der Lage sein, Bedrohungen erkennen und einordnen zu können. Dies wird durch nachhaltige Sensibilisierungsmaßnahmen und Trainings erreicht.

Je öfter Personen durch Beispiele oder Übungen mit Situationen konfrontiert werden, umso sicherer werden diese im Umgang damit. Aber auch die einzelnen Personen können sich durch die folgenden Maßnahmen signifikant schützen. Denn Social Engineering-Angriffe leben von den Informationen, welche die Kriminellen über das Opfer im Vorhinein sammeln können. Datensparsamkeit ist nicht nur ein Grundsatz aus aktuellen Datenschutzvorschriften, sondern auch ein Grundsatz für unseren digitalen Alltag. Es sollten nur so viele Informationen in sozialen Netzwerken preisgegeben werden, wie nötig. Weiterhin ist besondere Vorsicht bei Einladungen von unbekannten Personen geboten. 

Hier können Sie Teil 1 lesen:

IT-Sicherheit beim mobilen Arbeiten

Hier können Sie Teil 2 lesen:

E-Mail-Sicherheit im Home-Office

 

Hartung Hannes

Increase Your Skills (IYS) -

Geschäftsführer

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.