Sicherheitsrisiken in Ihrem Unternehmen lauern an jeder Ecke. Schwer zu glauben, dass dabei das größte Risiko der Mensch selbst ist. Täglich greifen Ihre Mitarbeiter auf interne Server und sensible Daten zu, die in einem strengen Sicherheitssystem eingebunden sind. Ein gefundenes Fressen für sogenannte Social Engineers, die durch Annäherung an Ihre Mitarbeiter an vertrauliche Informationen gelangen. Ein großes Problem, über das noch Wenige Bescheid wissen. Nicht verwunderlich also, wenn Ihre Mitarbeiter von Social Engineering Angriffen getroffen werden. Was Social Engineering genau ist und wie Sie Ihre Mitarbeiter sensibilisieren können, verraten wir Ihnen in diesem Blogbeitrag.

Was ist eigentlich Social Engineering?

Spricht man von Social Engineers oder Social Engineering, sind damit kriminelle Absichten gemeint, um gezielt den Faktor Mensch auszunutzen und zu manipulieren und so einen wirtschaftlichen Vorteil zu erlangen. In unseren Breiten am bekanntesten ist der sogenannte Enkel-Trick, bei dem Kriminelle versuchen, ältere und alleinstehende Menschen um ihr Hab und Gut zu bringen. Aber solche Tricks sind längst auch im Unternehmens-Alltag angekommen. Ein Video des Bundesamts für Sicherheit in der Informationstechnik zeigt auf deren Website BSI für Bürger die Grundprinzipien von Social Engineering:

(Quelle Video: BSI für Bürger, Social Engineering – der Mensch als Schwachstelle) 

Ein Social Engineer nutzt dabei gezielt den Respekt vor Autoritäten oder menschliche Eigenschaften wie Vertrauen, Angst und Hilfsbereitschaft, um Personen zu manipulieren. Gängige Ziele, die hiermit verfolgt werden, sind die Preisgabe von vertraulichen Informationen, der Kauf eines Produktes, die Freigabe von Finanzmitteln oder die Installation von Schadsoftware (z. B. Trojaner) auf einem PC im Unternehmens-Netzwerk.

Wie verhalten sich Social Engineers?

Social Engineers nutzen verschiedene Methoden, um an geheime Informationen oder unbezahlte Dienstleistungen zu kommen. Sie spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor, oder geben sich als Autorität aus.

Es gibt verschiedene Social-Engineering-Methoden, die unterschiedlich verlaufen und – Achtung! – nicht ausschließlich digital ablaufen. Eine der beliebtesten Social-Engineering-Methoden ist das Phishing. Bei dieser unpersönlichen Variante werden fingierte E-Mails mit vertrauenserweckender Aufmachung an die potentiellen Opfer versendet. Häufig zielt Social Engineering darauf ab, in ein fremdes IT-System einzudringen (auch Social Hacking genannt). Auf diese Weise gelangt der Social Engineer an vertrauliche Daten.

Wussten Sie, dass Sie dafür haften, wenn unbefugte Dritte an Ihre vertraulichen Daten gelangen? Wie teuer die Konsequenzen sein können, erfahren Sie in unserem Blogbeitrag Deutschlandweit einheitliche Bußgeldberechnung bei DSGVO-Verstößen.

Banales Muster – spektakuläre Datendiebstähle

Das Grundmuster, wie ein Social Engineer vorgeht ist relativ simpel. Nehmen wir das Beispiel eines fingierten Telefonanrufs: Der Social Engineer ruft bei einem Ihrer Mitarbeiter an und täuscht vor, ein Techniker zu sein, der vertrauliche Zugangsdaten benötigt. Er wirkt glaubwürdig, da er sich bereits im Vorfeld über andere Telefonate kleine Informationen über Verfahrensweisen, das tägliche Bürogerede sowie Ihre Unternehmenshierarchie zusammen gesammelt hat. Beste Voraussetzungen also, um den Mitarbeiter zwischenmenschlich manipulieren zu können.

Durch geschickte Wortwahl oder Smalltalk über scheinbar gemeinsame Kollegen baut der Social Engineer Sympathie auf. Falls der Mitarbeiter nicht kooperieren möchte, nutzt er den Autoritäts-Respekt aus, indem er droht mit dem Vorgesetzten zu sprechen, falls der Mitarbeiter nicht kooperieren möchte. Sehr geschickte Social Engineers wissen eventuell sogar im Vorfeld darüber Bescheid, welcher Mitarbeiter wirklich technische Hilfe angefordert hat – ein leichtes Spiel für den Social Engineer.

Wettkampf auf der DEFCON um die besten Tricks

Auf der Hackerkonferenz DEFCON treffen sich bereits seit zehn Jahren die besten Profitrickser und messen sich im Wettbewerb für den besten Social Engineer. In folgendem Video zeigt die diesjährige Gewinnerin Alethe Denis, wie sie einem Mitarbeiter eines US-Konzerns sensible Geheimnisse seiner PC-Konfiguration entlockt. Mit diesen Daten könnte ein Hacker ohne weiteres einen Angriff auf das Unternehmens-Netzwerk starten. In einem 20 minütigen Telefonat versuchen die Wettbewerbs-Teilnehmer in schalldichten Kabinen und vor Publikum den potentiellen Opfern soviel Details aus der Unternehmens IT zu entlocken wie nur möglich. 

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Prominente Social Engineering Fälle

Scheinbar eine banale Methode, um an vertrauliche Informationen zu gelangen. Trotzdem gelingen immer wieder außerordentliche Datendiebstähle auf diese Weise. Beispielsweise gelang es einem amerikanischen Schüler 2015, den privaten E-Mail-Account des damaligen CIA-Direktors John O. Brennan zu öffnen und 3 Tage lang darauf zuzugreifen.

Vor allem wurde die Social-Engineering-Methode jedoch durch den Hacker Kevin Mitnick bekannt, der diverse Einbrüche in fremde Computer vornahm. Er selbst sagte, dass Social Engineering bei weitem die effektivste Methode sei, um an ein Passwort zu gelangen.

Ein großes Statement gelang auch 2010 dem US-IT-Experten Thomas Ryan mit seiner Kunstfigur Robin Sage. Robin Sage, eine virtuelle Figur, stellte im Internet Kontakte zu Militär und Politik her und entlockte ihnen vertrauliche Informationen. Ryan veröffentlichte im Anschluss daran die Ergebnisse des Experiments, um ein Warnzeichen zu setzen.

Die Motivation hinter Social Engineering

Der Erfolg von Social Engineering lässt sich relativ leicht zusammenfassen: Menschen sind leicht manipulierbar, somit ein schwaches Glied in der Kette, deshalb ist der Mensch selbst der größte Risikofaktor.

Die Motivation, die bei Social Engineering Angriffen dahintersteckt, ist nicht neu. Meistens geht es um folgende Punkte:

  • Industriespionage
  • Identitätsdiebstahl
  • Spaß oder Macht
  • Finanzielle Gründe
  • Soziale Gründe (z.B. der Ex-Partner)

Wie kann ich mich gegen Social Engineering wehren?

Eine Abwehr von Social Engineering ist nicht besonders leicht zu bewerkstelligen, da der Social Engineer normalerweise positive menschliche Eigenschaften ausnutzt: in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren.

Um Social Engineering zu bekämpfen, kann nur der Mitarbeiter selbst den wichtigsten Beitrag dazu leisten. Identität und Berechtigung eines Ansprechenden sollten zweifellos sichergestellt werden, bevor er weitere Handlungen vornimmt.

Außerdem sollten folgende Punkte beachtet werden

  • Ist die Identität des Absenders einer E-Mail nicht sicher, sollte man stets misstrauisch sein.
  • Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können.
  • Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder finanzielle Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint.
  • Keine Links aus E-Mails verwenden, die persönliche Daten als Eingabe verlangen. Stattdessen die URL selbst im Browser eingeben.
  • Bei Unklarheit über die Echtheit des Absenders diesen nochmals telefonisch kontaktieren, um die Authentizität der E-Mail zu überprüfen.

Sensibilisieren Sie Ihre Mitarbeiter

Der Beste Weg, um Ihre Mitarbeiter auf das Thema Social Engineering zu sensibilisieren, ist die direkte Auseinandersetzung mit der Problematik. Dabei ist das Wichtigste auch das Schwierigste – das Sicherheitsbewusstsein an sich. Diese zu entwickeln und verbreiten, ist eine schwierige Aufgabe. Es geht um das Gemeinschaftsgefühl in der Firma und wie die Gesellschaft generell über Sicherheit in der IT aufgeklärt ist.

Möglichkeiten zur Steigerung des Bewusstseins

  • Es muss generell selbstverständlich sein, dass Daten sensibel sind und sie geschützt werden müssen.
  • Jeder Mitarbeiter muss logisch verstehen, warum er etwas tun darf oder muss.
  • Es muss klar und informativ über die Sicherheit und die Möglichkeit von Firewall und anderen Sicherheitssystemen informiert werden.

Weitere praktische Hinweise, die Sie in Ihrem Unternehmen umsetzen können

  • Lassen Sie Ihre betroffenen Mitarbeitern in regelmäßigen Abständen schulen.
  • Hängen Sie Warnhinweise, Poster und Aufkleber auf.
  • Gehen Sie sensibel mit Autorisierungen vor.
  • Halten Sie diese, wenn möglich, gering und schulen Sie die betroffenen Leute besonders intensiv.
  • Zerschreddern Sie stets alte Dateien, Papiere, sensible Dokumente und standardisieren Sie keine Passwörter oder Logins.
  • Nutzen Sie unternehmensweit für alle Systeme (E-Mail, Fileserver, Cloud-Tools) ein Passwort-Manager und eine Multi-Faktor-Autentifizierung.

Informationssicherheit & Datenschutz – an alles gedacht?

Ist Ihre Firma fit in Sachen Informationssicherheit und Datenschutz? Wir beraten Sie gern zu den Themen und helfen Ihnen, Ihr Unternehmen sicher aufzustellen. Vereinbaren Sie noch heute ein Gespräch mit Digimojo.

Weitere Infos und Materialien zum Thema Social Engineering

Hier finden Sie noch einige hilfreiche Materialien zum Thema Social Engineering.

PDF-Leitfaden „Verhaltensregeln zum Social Engineering“

Der Verein Deutschland sicher im Netz e. V. hat einen Leitfaden „Verhaltensregeln zum Social Engineering“ ausgearbeitet. In der Broschüre erfahren Sie anhand konkreter Beispiele, wie Sie und Ihre Mitarbeiter im Unternehmen im Arbeitsalltag auf Gefahren aufmerksam werden und damit umgehen. Den Leitfaden Social Engineering können Sie als PDF direkt auf der Website von Deutschland sicher im Netz herunterladen.

DsiN-Blog IT-Sicherheit für den Mittelstand

Im Blog von Deutschland sicher im Netz finden Sie hilfreiche Beiträge in verständlicher Sprache unter anderem zu den Themen 

  • Cloud
  • Cyberkriminalität
  • Datenschutz
  • E‑Mail-Sicherheit
  • IT-Strategie
  • Mobile Kommunikation
  • Sicherheitsmaßnahmen

Infografik Social Engineering Taktiken

Das amerikanische Unternehmen Smartfile hat zu den verbreitetsten Taktiken eine anschauliche Infografik erstellt: