Bei Social Engineering handelt es sich um ein Verfahren, um sicherheitstechnisch relevante Daten durch das Ausnutzen menschlichen Verhaltens zu gewinnen. Dabei wählt der Täter den Menschen als vermeintlich schwächtes Glied der Sicherheitskette aus, um seine kriminellen Absichten in die Tat umzusetzen. Er nutzt dabei menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft, Angst oder Respekt vor Autorität aus, um diese Menschen zu manipulieren.
Social Engineering dient seit Urzeiten als Grundlage für verschiedenste Betrugsmaschen. Im Zeitalter der digitalen Kommunikation stehen dem Kriminellen jedoch viele neue Möglichkeiten zur Verfügung, Millionen von Opfer zu erreichen. Dabei verleitet er ein Opfer z.B. dazu, vertrauliche Informationen preiszugeben, Überweisungen zu tätigen, Schadsoftware auf den privaten PC oder den Rechner im Firmennetzwerk herunterzuladen und Sicherheitsfunktionen außer Kraft zu setzen.
Wie funktioniert Social Engineering?
Bei Angriffen mithilfe Social Engineerings liegt der Fokus auf dem zentralen Merkmal der Täuschung über die Identität und die Absicht des Täters. Beispielsweise gibt sich der Cyberkriminelle als Techniker oder Mitarbeiter eines Telekommunikationsunternehmens aus, um das Opfer dazu zu bringen, vertrauliche Kontoinformationen preiszugeben oder eine bestimmte präparierte Webseite zu besuchen.
Ein klassisches Beispiel ist der angebliche Systemadministrator, der Sie im Unternehmen anruft, da er zur Behebung eines Systemfehlers oder einer Sicherheitslücke Ihr Passwort benötigt. Häufig werden auch Phishing-E-Mails verwendet, um das Opfer auf eine bestimmte Webseite zu leiten. Typisch dafür ist, dass der Täter die Absicht vortäuscht, die Sicherheit eines Systems oder Arbeitsablaufs zu erhöhen. Das Opfer, das in die Falle tappt, handelt dabei in dem Glauben, das Richtige zu tun. Tatsächlich fällt es auf die Täuschung des Täters herein. Dabei spielt es dem realen Motiv des Kriminellen in die Hände, Zugangsdaten zu erlangen oder Schadsoftware einzuschmuggeln. Im schlimmsten Fall erlangt der Täter dadurch Zugang zu dem ansonsten gut geschützten Sicherheitsnetzwerk eines Unternehmens. Abhängig vom Autoritätslevel des Opfers entstehen bei diesem durch Social Engineering erhebliche Schäden.
Vor allem die Kommunikation via E-Mails bietet Kriminellen ein vergleichsweise recht einfaches Umfeld für Social Engineering. Die technisch vermittelte Kommunikation fällt dem Täter leichter, da er das Opfer nicht wie in einem persönlichen Gespräch über alle Sinne hinwegtäuschen muss.
Dumpster Diving
Beim Dumpster Diving fokussieren sich die Täter sowohl online als auch offline auf das Erlangen von Informationen über das Opfer. Social Engineers durchsuchen dabei den Müll der Zielperson, um z.B. Informationen über das Verhalten und Interessen des Opfers herauszufinden. Beispielsweise Pizzakartons des Lieblingsrestaurants oder Medikamentenschachteln. Aus solch vermeintlichen Kleinigkeiten können Angreifer wichtige Informationen ableiten.
Auch private und berufliche Soziale Netzwerke werden von Kriminellen mithilfe von Social Engineering häufig ausgenutzt. Denn hier erhalten sie schon im vornherein eine Vielzahl von Hintergrundinformationen über das potentielle Opfer. Dadurch können Täter ihre Angriffe gezielter ausrichten und eine vertraulichere Beziehung zum Opfer aufbauen, etwa durch den Verweis auf Kollegen, Freunde oder Hobbys. Das soll das Opfer in Sicherheit wiegen und zu unzulässigen Handlungen verleiten.
Gezielte und ungezielte Angriffe
Generell unterscheidet man in der IT-Sicherheit grob zwischen gezielten und ungezielten Angriffen; vor allem in Bezug auf Social Engineering ist es wichtig, diesen Unterschied zu erkennen:
- Ungezielte Angriffe: Diese finden andauernd statt und haben das Ziel, die Rechner möglichst vieler Opfer zu infizieren. Beispiele dafür sind Spam-Mails oder Banking-Trojaner. Trotz großem Streuverlust vertrauen die Angreifer darauf, dass genügend Empfänger neugierig oder unvorsichtig sind und die gezielte Aktion ausführen.
- Gezielte Angriffe: Der Social Engineer handelt mit einer klaren Absicht, beispielsweise dem Diebstahl von geistigem Eigentum oder dem Erlangen vertraulicher Informationen über ein bestimmtes Unternehmen. Dabei will der Täter möglichst lange unentdeckt bleiben. Dabei spricht man von Advanced Persistent Threats (APT).
Schutzmaßnahmen gegen Social Engineering
Da sich Social Engineering um den Menschen als Sicherheitslücke dreht, ist es wichtig, sich als Privatperson sowie Mitarbeiter im Unternehmen für mögliche Angriffe zu schulen, obwohl die Gefahr durch Social Engineering über Präventivmaßnahmen nie gänzlich gebannt werden kann. Im Folgenden stellen wir einige Schutzmaßnahmen gegen Social Engineering vor:
- Nutzung von starken und komplexen Passwörtern: Häufig begehen Menschen schon hier den ersten großen Fehler. Aus Bequemlichkeit verwenden wir gerne Passwörter, die wir uns leicht merken können. Meistens sind diese subjektiv ausgewählt, beispielsweise der Mädchenname der Mutter oder die Straße, in der wir aufgewachsen sind. Dabei ist es enorm wichtig, unterschiedliche starke Passwörter zu verwenden. Sie sollten keinesfalls dieselben Passwörter für verschiedene Dienste verwenden. Es lohnt sich daher, auf einen Passwortmanager zurückzugreifen. Dieser gestaltet den Umgang mit mehreren Logins und Passwörtern komfortabel. Zusätzlich sollten Sie beim ersten Login standardisierte Passwörter ändern.
- Ein gesundes Misstrauen gegenüber Unternehmensfremden: Je größer ein Unternehmen ist, desto leichter fällt es Kriminellen, sich als Mitarbeiter oder Dienstleister auszugeben. Haben Sie ein gesundes Misstrauen gegenüber Fremden, die Sie nach sensiblen Daten fragen.
- Auskunft am Telefon: Grundsätzlich sollten Sie sensible Informationen nicht am Telefon weitergeben. Im Schadensfall haben Sie nichts, worauf Sie sich berufen können. Lassen Sie sich daher am besten immer die Anfrage vom Gesprächspartner via E-Mail bestätigen. Denn auch scheinbar nebensächliche Auskünfte können Betrügern helfen, Informationen über Ihr Unternehmen zu sammeln und dadurch beispielsweise andere Kollegen täuschen.
- Schulung der Mitarbeiter: Häufig reicht es schon aus, ein gesundes grundlegendes Verständnis dafür zu entwickeln, nicht sorglos Links anzuklicken und Anhänge zu öffnen. Denn allein das Aufrufen einer dubiosen Webseite kann Cyberkriminellen den Zugang zu Ihrem System oder dem Ihres Unternehmens ermöglichen. Vor allem bei unbekannten Absendern von E-Mails sollten Sie sehr vorsichtig agieren.
- Sicherheitsupdates: Aktualisieren Sie regelmäßig Betriebssysteme, Browser sowie Ihre genutzten Dienste wie Office oder PDF-Programme. Auch wenn der Zeitpunkt eines Updates häufig ungelegen kommt und den Arbeitsfluss stört, sind Sicherheitsupdates unbedingt erforderlich.
- Ein geschultes Auge entwickeln: Lesen Sie sorgfältig und genau E-Mails, die Sie geschickt bekommen. Die Anzahl der Rechtschreibfehler oder Sprachfehler, der Absender der Mail oder merkwürdige Dateiendungen können Hinweise auf gefährliche Inhalte sein.
- Fragen Sie nach, wenn Sie sich unsicher sind: Wenn Sie Zweifel an der Echtheit einer E-Mail oder eines Anrufs haben, fragen Sie beim Absender lieber noch einmal nach. Sie sollten sich auch an Ihren Vorgesetzten wenden; meist wird ein solches Verhalten von der Unternehmenskultur gefördert und auch belohnt.
- IT-Sicherheit betrifft jeden Mitarbeiter: Nicht nur die EDV-Abteilung ist in einem Unternehmen für die Sicherheit der IT zuständig. Da häufig der Mensch das schwächste Glied der Sicherheitskette ist, ist er beim Social Engineering auch das Hauptangriffsziel. Deshalb sollte vor allem aufgrund der Digitalisierung das gesamte Betriebspersonal regelmäßig geschult und sensibilisiert werden. Was ist sicherer als ein Mitarbeiter, der kritisch hinterfragt und sich im Zweifel bei der IT oder dem Vorgesetzten meldet?
- Datenschutz in Sozialen Netzwerken: Neben der Unternehmenswebseite bieten vor allem die Sozialen Netzwerke Betrügern häufig ausreichend Informationen, um sich in einem Unternehmen einzuschleichen. Je mehr ein Mitarbeiter im Internet über sich preisgibt, desto angreifbarer macht er sich für die Gefahren von Social Engineering. Weisen Sie Ihre Mitarbeiter auf die Möglichkeit von Privatsphäre-Einstellungen in den Sozialen Netzwerken hin und stellen Sie klare Regeln für den Umgang mit unternehmensbezogenen Informationen auf.
Social Engineering Attacken: die häufigsten Methoden
Social Engineering ist sehr komplex und umfasst viele Möglichkeiten, potentielle Opfer hinters Licht zu führen. Hier finden Sie einige der gängigsten Methoden von Social Engineering:
Phishing
Bei einem Phishing-Angriff nehmen Cyberkriminelle eine betrügerische Kommunikation mit dem Opfer auf und tarnen sich dabei als vermeintlich vertrauenswürdige Quelle. Die Betrüger versuchen, das Opfer dazu zu bringen, Malware zu installieren oder sensible Informationen herauszugeben. Der beliebteste Vektor ist der Kontakt via E-Mail, jedoch werden auch gefälschte Webseiten, Chat-Programme, Telefonanrufe oder Social Media für Phishing benutzt. Besonders perfide Phishing-Angriffe tarnen sich beispielsweise als gemeinnützige Organisationen vor dem Hintergrund aktueller Naturkatastrophen oder Vorfällen, wie z.B. dem Coronavirus. Durch einen Spendenaufruf wollen Social Engineers an Daten oder Zahlungsinformationen gelangen.
Baiting
Beim sogenannten Baiting wird das Opfer mit einem physischen Köder in die Falle gelockt. Beispielsweise wird dabei ein mit Malware infizierter USB-Stick an einem Ort zurückgelassen, an dem dieser sicher gefunden wird. Sobald der Finder den USB-Stick mit seinem Rechner verbindet, installiert sich heimlich die Schadsoftware. Häufig handelt es sich hierbei um einen Trojaner, mit dem Cyberkriminelle fortan Zugang zum Computer erhalten.
Pretexting
Beim Pretexting erschafft der Täter ein sinnvoll erscheinendes Szenario, um Zugang zu persönlichen Daten oder dem System des Opfers zu erlangen. Beispielsweise gibt der Kriminelle dabei vor, Zugangsdaten zu einem Bankkonto zu benötigen, um die Identität des Opfers zu bestätigen.
Tailgating
Der Täter passt beim Tailgating das Opfer z.B. vor einem ansonsten gesicherten Oft ab und gibt vor, seine Zugangskarte vergessen zu haben. Auch die unscheinbare Bitte, ihm sein Handy oder Computer für einen Moment zu überlassen, um eine einfache Aufgabe zu erledigen, ist eine häufig genutzt Methode des Tailgatings. Statt die Aufgabe zu erledigen, schleust der Täter dabei Schadsoftware auf das Gerät oder stiehlt Daten des Nutzers.
Quid pro Quo: Locken mit einer Gegenleistung
Bei einem Quid-pro-quo-Angriff (Lateinisch: „dies für das“) locken Kriminelle das Opfer mit einer vermeintlichen Gegenleistung oder Entschädigung in eine Falle. Beispielsweise erzählt der Täter am Telefon, dass er eine offizielle Umfrage durchführt und es als Entschädigung für die Teilnahme ein Geschenk oder einen Geldbetrag gibt. Tipp: Nutzen Sie Ihren gesunden Menschenverstand! Wenn etwas zu schön ist, um wahr zu sein, ist Misstrauen geboten.
Spear-Phishing
Beim Spear-Phishing handelt es sich um einen gezielten Phishing-Angriff auf eine bestimmte Person oder ein Unternehmen. Dabei verwenden Cyberkriminelle persönliche Informationen, die auf das Opfer abgestimmt sind, um dessen Vertrauen zu gewinnen. Häufig entnehmen die Täter diese Informationen aus den Sozialen Medien oder anderen Online-Aktivitäten. Durch die Personalisierung der gestreuten Informationen haben die Kriminellen eine höhere Erfolgsquote bei ihrem Spear-Phishing-Angriff, ihre Opfer dazu zu bringen, Informationen preiszugeben.
Watering-Hole
Bei einer Watering-Hole-Attacke (Auflauern am Wasserloch) konzentrieren sich die Angreifer auf eine bestimmte Webseite, von der sie wissen, dass das Opfer sie häufig besucht, und infizieren diese mit Malware. Beispielsweise die Menükarte eines Restaurants, in dem Mitarbeiter eines Unternehmens häufig zu Mittag essen. Wenn das Opfer das Tagesmenü des Restaurants auf der Webseite öffnet, infiziert es seinen Rechner mit der Schadsoftware.
Fazit
Social Engineering ist eine ständige Bedrohung, der sowohl Privatpersonen als auch Unternehmen ausgesetzt sind. In einem ansonsten gut geschützten Sicherheitsnetzwerk wird beim Social Engineering der Mensch als schwächstes Glied der Sicherheitskette als Opfer ausgemacht. Durch die Schulung und Sensibilisierung der Mitarbeiter, verbunden mit entsprechenden IT-Sicherheitsvorkehrungen, können Unternehmen die Gefährdung durch Social Engineering geringhalten.