Social Engineering

Inhaltsverzeichnis

Was ist Social Engineering?

Der Begriff Social Engineering beschreibt als Oberbegriff mehrere soziale Betrugs- und Manipulationstechniken. Gemeinsam ist diesen Methoden, dass sie auf die Schwachstelle des gutgläubigen Menschen abzielen. Social Engineering stellt eine alte Technik dar, die schon lange vor dem Informationszeitalter im Zusammenhang mit sensiblen Informationen Anwendung fand. In der IT sind insbesondere Unternehmen aufgrund ihrer wertvollen Daten ein Angriffsziel für Social-Engineering-Techniken. Hierzu stellen Methoden wie CEO-Fraud, Phishing oder Baiting nur einige bekannte Beispiele für Angriffe dar, mit denen Cyber-Kriminelle versuchen sich Zugriff auf Informationen zu verschaffen. Aufgrund des Charakters der Angriffe stoßen Antiviren-Programme oder andere Softwarelösungen an ihre Grenzen. Ein Bewusstsein für die Bedrohungslage sowie Mitarbeiter-Schulungen sind wichtige Voraussetzungen, um diese Form der Kriminalität abzuwehren.

Definition und Überblick zum Social Engineering

Als soziale Beeinflussungstechniken sind die Methoden des Social Engineerings auf den Faktor Mensch gerichtet. Die verschiedenen Formen des Betrugs finden sich sowohl im Online- als auch im Offline-Bereich. In der modernen Verwendung des Begriffs bezeichnet es verschiedene Formen der Cyber-Kriminalität. Sowohl Privatanwender als auch und insbesondere Unternehmen sehen sich mit immer durchdachteren Methoden des Trickbetrugs konfrontiert. Als gemeinsamen Nenner haben diese Methoden, dass sie auf menschliche Willensschwäche beziehungsweise auf die Gutgläubigkeit ahnungsloser Mitarbeiter setzen. Bekanntes Beispiel sind etwa Phishing-Mails, mit denen nahezu jeder private Internetnutzer bereits Kontakt hatte.

Problematik des Social Engineerings in Unternehmen

Geht es Angreifern jedoch um die Gewinnung wertvoller Unternehmensdaten, so kommen ausgefeilte Betrugstechniken zum Einsatz. Bei Methoden wie dem CEO Fraud bauen Social Engineers in mehreren Schritten Vertrauen auf. Sie nutzen zwischenmenschliche Geschäftsbeziehungen aus und verschaffen sich auf diese Weise Zugang an Informationen, die Mitarbeiter unter sonstigen Umständen nicht herausgegeben hätten. Aufgrund der Angreifbarkeit des Faktors Mensch existieren keine effektiven Schutz-Softwarelösungen gegen Engineering-Techniken.

Betrugsziele des Social Engineering

In den Anfangstagen des Social Engineerings in der IT zielten Angreifer, beziehungsweise Hacker oftmals auf größere Telefonkonzerne oder Universitäten. Dies ist vor dem Hintergrund zu verstehen, dass Internet-Verbindungen im Allgemeinen nur gering verbreitet oder sehr langsam waren. Ein Ziel der Hacker war es, an schnellere Verbindungen sowie eine größere Rechnerleistung zu gelangen. Zu diesem Zweck kamen Social Engineering Techniken zum Einsatz, um Mitarbeitern wichtige Daten zum Zugang zu diesen Kapazitäten zu entlocken. Heute zielen Angreifer bevorzugt auf Daten und Informationen die sich verkaufen lassen. Dazu zählen beispielsweise Kreditkartendaten, Zugangsdaten zu Accounts oder sensible Unternehmensinformationen wie etwa Patente.

Grundsätzlich sind sämtliche Daten für Angreifer interessant, die sie auf dem Schwarzmarkt veräußern können. Menschliches Ziel sind in erster Linie Mitarbeiter, die häufig Kontakt zu Anrufern haben und für die es eine Selbstverständlichkeit ist, Fragen zu beantworten. Support-Mitarbeiter (insbesondere First-Level-Support) sind daher besonders beliebte Ziele. Sie haben meist gleichermaßen hinreichende Informationen und Befugnisse, um einem Hacker den Zugriff zu den gewünschten Daten zu gewähren. Bereits die Offenlegung bestimmter Adressen oder Rufnummern genügt. Auch Informationen über die in der Firma zum Einsatz kommende Schutz-Software sind für Social Engineers interessant.

Social-Engineering-Techniken und Beispiele

Eine bekannte aber sehr wandlungsfähige Form des Social Engineerings ist das Phishing. Eine verbreitete Form dieser noch immer erfolgreichen Technik sind Phishing-Mails. In diesen versuchen Cyber-Angreifer mit verschiedenen Methoden, Anwendern und Mitarbeitern Informationen zu entlocken. Als soziale Manipulationstechniken kommen hier häufig Dringlichkeit und Angst zum Einsatz. Um etwa an Online-Banking-Informationen zu gelangen, behaupten Angreifer gerne, es bestehe dringender Handlungsbedarf. Gleichzeitig verlangen sie entsprechende Log-in-Daten. Auch andere Account-Daten können für Angreifer interessant sein und aus diesem Grunde eingefordert werden. Hierbei schlüpfen Angreifer gerne in die Rolle des Chefs oder eines Mitarbeiters, um an Hilfsbereitschaft oder Gehorsam der Opfer zu appellieren.

Köder (Baiting)

Die Baiting-Technik im Social Engineering setzt auf Köder. Hier zielen Angreifer auf die Neugier des Menschen ab. Diese wird ausgenutzt, um Zugang zu Daten zu erhalten oder Schadsoftware zu installieren. Eine typische Vorgehensweise des Baitings besteht darin, einen mit schadhafter Software infizierten Datenträger offen und gut sichtbar zu platzieren. Angreifer können etwa Festplatten, USB-Sticks oder DVDs an öffentlichen Stellen in Firmen zurücklassen. Auch die Herausgabe solcher Medien als vermeintliche Werbegeschenke ist beliebt. Findet ein neugieriger Mitarbeiter einen solchen Datenträger und schließt ihn an oder liest ihn aus, kann die Malware das verwendete Gerät infizieren.

CEO-Fraud

Der CEO-Fraud erinnert an eine alte Social-Engineering-Technik außerhalb der IT, den sogenannten Enkel-Trick. Ein angeblicher Enkel oder anderer Verwandter wendet sich an gutgläubige Senioren, um sie beispielsweise durch das Vortäuschen einer Notlage zu einer Geldüberweisung zu veranlassen. Ganz ähnlich täuschen Cyber-Angreifer beim CEO-Fraud eine falsche Identität vor. Sie geben sich etwa als Geschäftsführer, Vorstand oder sonstiger Vorgesetzter aus, indem sie deren Identität annehmen (beispielsweise durch gefälschte E-Mail-Adressen oder in Telefonaten). Auf diese Weise entsteht ein Vertrauensverhältnis gegenüber Mitarbeitern. Hat sich ein Angreifer in diese Rolle begeben, versucht er, Mitarbeiter zur Herausgabe sensibler Informationen zu veranlassen oder andere Handlungen auszuführen. Dies reicht bis zur Tätigung von Überweisungen höherer Summen.

Schäden durch Social Engineering

Die jährlichen Schäden, die durch Social Engineering entstehen, sind enorm. Gemäß einer Erhebung des IT-Branchenverbands Bitkom aus dem Jahr 2017 entstehen alleine in Deutschland pro Jahr Schäden in Höhe von 55 Milliarden Euro infolge von Datendiebstahl oder Spionage. Der Branchenverband rechnet mit weiter steigenden Schadenssummen, da die Angriffsart an Bedeutung gewinnt. Das FBI gibt für die USA einen Schaden in Höhe von 2,3 Milliarden Euro im Jahr 2016 an, der alleine durch die Methode des CEO-Fraud entstanden ist. Dabei erfordert diese aufwendige Technik ein hohes Hintergrundwissen über Unternehmen und Personalstruktur von den Angreifern. Diese müssen die richtigen Ansprechpartner finden. Geht es etwa darum, Geldüberweisungen zu veranlassen, müssen sie wissen, welcher Mitarbeiter in der Abteilung für Finanzen und Buchhaltung hierfür verantwortlich ist.

Prävention von Social Engineering

Der Bedrohungslage ist nur durch ein ausgeprägtes Gefahrenbewusstsein entgegenzuwirken. Haupt-Einfallstor ist der ahnungslose Mensch. Daher existiert keine Sicherheits-Software, die zuverlässig vor Social Engineering schützt. In Großunternehmen ist es eine Herausforderung, die Gratwanderung zwischen gesundem Misstrauen und Effizienz der Arbeitsabläufe zu meistern. Ab einer bestimmten Unternehmensgröße kennen nicht mehr sämtliche Mitarbeiter einander. Geht es um die Weitergabe sensibler Informationen, ist es daher wichtig, bei jedem Kontakt die exakte Identität des anderen zu erfragen. Im Falle von telefonischen Anfragen nach wertvollen Informationen ist es ratsam, stets Rückrufe zu vereinbaren und die Anrufer zwischenzeitlich zu identifizieren. Auch bei Online-Kommunikationsmedien ist die Identität des Absenders genau zu prüfen.

Sie haben noch Fragen?

Kontaktieren Sie uns