Aktuelle Meldungen

Was ist Social Engineering?

12-05-2020

Der Begriff Social Engineering kann vereinfacht als „menschliche Manipulation“ bezeichnet werden. Beim Social Engineering wird primär kein technischer Angriff genutzt, um an Daten oder Geld zu gelangen, sondern die Schwachstelle Mensch selbst.

Diese Art von Beeinflussung hat beispielsweise das Ziel, Mitarbeiter und Mitarbeiterinnen dazu zu bewegen, vertrauliche Informationen preis zugeben oder Geldüberweisungen zu tätigen. Dabei können durch das Ausspionieren der Opfer und das Vortäuschen von falschen Führungsidentitäten erhebliche Schäden entstehen.

Unsere Erfahrung zeigt, dass der Einsatz von rhetorischen und sprachlichen Techniken von Cyberkriminellen – mit zunehmend stärker werdenden IT-Systemen – immer beliebter wird. Aber welche verschiedenen Maßnahmen zur Mitarbeitersensibilisierung gibt es beim Social Engineering überhaupt und wie können Sie sich und Ihr Unternehmen vor dieser Attacke schützen?

 

 

Beispiele von Social Engineering: Drei psychologische Methoden 

Ausübung von Druck

Bei einem CEO Fraud – oder auch Fake President genannt – geben sich Cyberkriminelle als Geschäftsführer aus und versuchen von Mitarbeitern und Mitarbeiterinnen Geldüberweisungen oder sensible Daten zu erhalten. Bei dieser Methode des Social Engineerings arbeiten die vermeintlichen Geschäftsführer in der Regel mit der Ausübung von Druck und Ausnutzen Ihrer vermeintlich gehobenen Stellung. Dies funktioniert am besten in steilen Unternehmenshierarchien. Sie geben vor, zeitnah Geld für beispielsweise einen wichtigen Kauf oder das Finanzamt zu benötigen. Die Cyberkriminellen nutzen dieses fordernde und drängelnde Verhalten, um die Opfer zu verunsichern, unter Zeitdruck zu setzen und somit ihre Ziele zu erreichen.

Vertrauen schaffen 

Im Gegensatz zu unserem ersten Beispiel, wird bei dieser Form des Social Engineerings die Kommunikation auf derselben Hierarchieebene gesucht und den Opfern glaubhaft gemacht, dass die unerwünschten E-Mails oder Anrufe tatsächlich interner Natur oder von Geschäftspartnern sind. Dabei arbeiten die Täter meist mit hochwertigen Informationen und schaffen das Vertrauen über eine sachliche Ebene. Hier ist es für die Mitarbeiter und Mitarbeiterinnen schwieriger, Unstimmigkeiten zu erkennen, da die Hacker gute Recherchearbeiten leisten und über Informationen verfügen, die sie als Unbeteiligter eigentlich nicht haben dürften. Häufig vorkommende Beispiele von Social-Engineering-Angriffen sind:

  • Eine E-Mail, bei der die Betroffenen einen angehängten Link anklicken und somit ihre Daten preisgeben 
  • Ein Anruf, bei dem nach vertraulichen Daten gefragt wird
  • Eine manipulierte Rechnung, mit der Bitte um Änderung der Kontodaten

Ausnutzung der Hilfsbereitschaft

Bei dieser Methode des Social Engineerings arbeiten die Cyberkriminellen mit der Hilfsbereitschaft von Mitarbeitern und Mitarbeiterinnen. Die Opfer werden durch Wertschätzung und Anerkennung in eine Helferrolle versetzt und dazu verleitet Dinge zu tun, die sie sonst nicht getan hätte. 

Prävention: Welche Maßnahmen zur Mitarbeitersensibilisierung gibt es beim Social Engineering?

Die eigenen Mitarbeiter prophylaktisch und unmittelbar nach einem Vorfall auf die unterschiedlichen psychologischen Taktiken trainieren, um ein Bewusstsein dafür zu schaffen

  • IT-Infrastruktur verbessern, um auf einen Vorfall vorbereitet zu sein
  • 4-Augen-Prinzip bei Überweisungen/Änderung von Kontodaten
  • Unternehmenskultur ohne Druck „von oben“
  • Vertrauliche Gespräche nicht in der Öffentlichkeit führen
  • Phishing-Mails möglichst technisch blockieren und gute Passwörter einsetzen
  • Zwei-Faktor-Authentifizierung

Social Engineering Angriff: Das eigentliche Problem

Social Engineering ist kein neuer Ansatz. Ein Jeder kennt die Manipulation von Menschen aus allen möglichen Alltagssituationen, z.B. wenn Sie an ein Verkaufsgespräch oder Ihre letzte Gehaltsverhandlung denken. Das Konzept „Social Engineering“ ist aber auch zu einem wichtigen Bereich der IT geworden, da Cyberkriminelle diese Methode gerne nutzen, sobald ein technischer Angriff zu aufwendig oder schier unmöglich ist. Die Angreifer versuchen Personen zu täuschen, um an wichtige Informationen zu gelangen, die ihnen dann dabei helfen, das Sicherheitssystem zu durchbrechen. Aus diesem Grund ist es wichtig und unumgänglich den Faktor Mensch in sein Sicherheitskonzept miteinzubeziehen und die Mitarbeiter für dieses Thema zu sensibilisieren. 

Sollte ein Täuschungsversuch trotz ausreichender Mitarbeitersensibilisierung doch in Ausnahmefällen gelingen, sollte Ihre Infrastruktur durch Sicherheitsvorkehrungen auf einen Angriff vorbereitet sein und diesen im besten Fall abfangen. Der Social-Engineering-Angriff verschiebt sich damit zu einer IT-Problematik. 

Deswegen ist unsere Empfehlung, Ihr Social-Engineering-Konzept immer Hand in Hand mit einem IT-Sicherheitskonzept zu planen, so dass ein erfolgreicher Angriff keine oder wenige Auswirkungen auf Ihre IT-Infrastruktur hat.