:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Social Engineering und der Hauptmann von Köpenick Psychisches Hacking der „Schwachstelle Mensch“
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Der Kampf gegen Social Engineering wird häufig auf das Aussortieren der lästigen Phishing-Mails reduziert. Dabei nutzen Angreifer noch ganz andere Taktiken für ihr Ziel: den Menschen. Mit Kniffen, tief aus der psychologischen Trickkiste, triggern sie diverse Verhaltensmuster. Das Vorgehen ähnelt stark dem der Figur des Hauptmanns von Köpenick.
Security Awareness hat keinen leichten Stand in Unternehmen. Die Mitarbeiter sind tendenziell „Security-müde“, und das Management sieht häufig keine wirksamen Erfolge der jährlichen Sicherheitsunterweisungen. Das hat einen Grund: Security Awareness wird oft mit Verteidigung gegen Phishing-Mails gleichgesetzt. Dabei sind die Abwehrmaßnahmen deutlich weitreichender zu gestalten.
:quality(80)/images.vogel.de/vogelonline/bdb/1628400/1628434/original.jpg "In unserer neuen Folge des Security-Insider Podcast fragen wir: Was ist eigentlich Security Awareness und warum brauchen Unternehmen das? (Vogel IT-Medien)")
Security-Insider Podcast – Folge 5
Warum brauchen wir Security Awareness?
Es geht um psychisches, nicht technisches Hacking
Das Aufsetzen von Security-Maßnahmen krankt häufig bereits am falschen Herangehen. Phishing beispielsweise ist kein IT-Angriff, und Hacker nehmen nicht das IT-System ins Visier, sondern es geht rein um den Faktor Mensch. Kriminelle versuchen, Schwachstellen im System Mensch zu nutzen. Um sich dagegen wirksam verteidigen zu können, müssen Unternehmen die speziellen Angriffsvektoren kennen. Dazu gehört zunächst zu verinnerlichen, dass sie es nicht mit IT-Hackern im klassischen Sinne zu tun haben, sondern mit Spezialisten für Social Engineering.
Social Engineering meint die Manipulation einer Person, damit diese eine bestimmte Handlung ausführt, die in ihrem oder auch nicht in ihrem Interesse liegt. Ein Social Engineer macht sich somit psychische Verhaltensstrukturen des Menschen zu Nutze und entwickelt dementsprechend seine Angriffsvektoren.
Das psychologische Rüstzeug
Für Unternehmen bedeutet die Abwehr von Social Engineering, dass sie anderes Know-how einsetzen müssen, das technische Verteidigen der E-Mail-Postfächer reicht nicht. Die Security-Spezialisten müssen sich in die Arbeit ihrer Gegner hineindenken. Dafür ist psychologisches Verständnis gefragt. Dazu zählen folgende Grundlagen menschlichen Verhaltens:
Reziprozität
Viele Angriffe im Social Engineering zielen auf die Gegenseitigkeit im sozialen Austausch, Reziprozität genannt. Gemeint ist damit eine Art gesellschaftliche Norm, sich für erhaltene Geschenke, Gefälligkeiten oder Ähnliches zu revanchieren. Das Ausmaß der Entschädigung ist in der Regel größer als die erhaltene Gefälligkeit.
Konsistenz
Social Engineers nutzen zudem klassische Verkaufsstrategien, beispielsweise unser aller Neigung, mit früheren Handlungen und Aussagen im Einklang zu sein und sich nicht selbst zu widersprechen. Das kann dazu führen, dass wir gegen unser eigenes Interesse handeln, um uns treu zu bleiben.
Knappheit
Aus der Trickkiste der Verkäufer stammt die Masche, die Begehrlichkeit nach einem Produkt zu steigern, indem man vorgaukelt, dass das Produkt bald vergriffen ist. Möglichkeiten, die uns schwerer erreichbar scheinen, kommen uns besonders wertvoll vor. Dasselbe gilt für Informationen. So wirken Informationen, die zunächst vorenthalten werden, besonders wichtig und man gibt mehr, um diese zu erhalten.
Soziale Bewährtheit
Eine sozialpsychologische Strategie nutzt aus, dass wir ein Verhalten in einer gegebenen Situation als richtig betrachten, weil wir es bei anderen beobachten. Das Ganze wird undifferenziert auch als Herdentrieb bezeichnet. Dieses Prinzip greift umso stärker, je unsicherer wir uns in einer Situation fühlen. Oft lässt sich ein Manipulationsansatz erahnen, wenn gezielt versucht wird, Bewährtheit zu suggerieren. Beispielsweise wird der Neuling in der Abteilung sehr wahrscheinlich darauf hören, wenn der ältere Kollege ihm sagt: „Das macht hier jeder so“. Ein bisschen simpler – aber offenbar erfolgreich – geht die Werbeindustrie vor, wenn sie behauptet: „20.000 zufriedene Kunden können nicht lügen“.
Soziale Anerkennung
Ein grundlegendes Bedürfnis von Menschen ist die soziale Anerkennung, und das nicht erst seitdem es Instagram- und Snapchat-Likes gibt. Dadurch kann ein Angreifer einen Mitarbeiter um einen Gefallen bitten, der die Wertschätzung des Mitarbeiters entweder gegenüber dem Angreifer oder auch gegenüber Dritten erhöht. Beispielsweise kann einem Mitarbeiter versprochen werden, bei Zulieferung von Informationen zu einem angeblichen Projekt, seine Arbeit gegenüber der Geschäftsleitung zu loben.
Sympathie
Eher trivial erscheint es, dass man eher sympathischen Menschen traut und auch eher geneigt ist, ihnen eine Gefälligkeit zu erweisen. Durch den Halo-Effekt kann eine herausstechende Eigenschaft andere, eher schlechte Eigenschaften überstrahlen. Dieser Effekt wurde bei der Attraktivität eines Menschen besonders oft belegt. So werden einem sehr gut aussehenden Menschen auch hohe Intelligenz und beruflicher Erflog zugesprochen. Neben der Attraktivität gibt es weitere Merkmale, die andere Menschen für uns sympathisch erscheinen lassen – beispielsweise die Ähnlichkeit durch Suggerieren derselben Hobbys oder durch Tragen ähnlicher Kleidung. Für Attacken, die auf Sympathie abzielen, ist Wissen über die Firma, ihre Angestellten und die Positionen, in denen sie arbeiten, äußerst nützlich.
Autorität
Eine gerne ausgeübte Masche ist, Druck auszuüben. Zwei bekannte Beispiele, Autorität zur Manipulation einzusetzen, sind der Hauptmann von Köpenick, der sich in falscher Uniform mit schneidigem, militärischem Auftreten geschickt Zugang zur Stadtkasse verschafft hatte, sowie das Milgram-Experiment, in dem erwachsene Menschen bereit waren, jemand anderen zu foltern, nur weil ein Wissenschaftler den Befehl dazu gab.
In Wirtschaftsunternehmen gibt es zwar meistens keine Organisation in Befehlsketten. Dennoch gibt es Möglichkeiten, ein Opfer zum Handeln zu bewegen, zum Beispiel mit Sätzen wie: „Hier geht es um einen sehr wichtigen Auftrag“ oder „Morgen kommt die Revision ins Haus, wenn wir die Unterlagen nicht zusammenhaben, dann …“.
Neugier
Menschen sind von Natur aus neugierig. Der Entdecker in uns ist tief verankert und hat viele wissenschaftliche Errungenschaften hervorgebracht. Im Fall von Social Engineering kann Neugier jedoch schädlich sein. Sie verleitet allzu oft dazu, einen gefundenen USB-Stick oder Ähnliches an den PC anzuschließen.
:quality(80)/p7i.vogel.de/wcms/d4/d5/d4d55c9575c6ec8cb46282b8975f207c/87400231.jpeg "Häufig sind es im Alltag angewöhnte Automatismen, die zu gefährlichen Situationen führen, denn Angreifer machen sich immer mehr die „Schwachstelle Mensch“ zunutze. (Bild: gemeinfrei)")
Security Awareness schaffen
5 Tipps für Security-Awareness-Trainings
Security Awareness muss in Fleisch und Blut übergehen
Dieses psychologische Wissen ist die Basis dafür, dass Unternehmen wirksame Verteidigungsstrategien aufbauen können. Nur wer die Arbeitsweise des Gegners kennt, kann passende Abwehrmaßnahmen entwickeln. Die Maßnahme allein reicht allerdings nicht, sondern es braucht auch deren systematische Verankerung in den Arbeitsalltag. Wichtig ist, Security Awareness niemals als statisch zu betrachten, sondern die Strategie laufend anzupassen. Social Engineering und Phishing-Angriffe haben sich in letzter Zeit stark gewandelt. Anstatt auf Quantität und eine Schrotflinten-Strategie setzen Angreifer immer mehr auf gezielte, qualitativ hochwertige Angriffe. Sie setzen viel mehr Recherche ein und kombinieren die erwähnten psychologischen Trigger.
Sensibilisierung durch regelmäßige Trainings und Unterweisungen wird da nicht viel helfen. Die Maßnahmen sind zu theoretisch und werden von Mitarbeitern eher als lästige Pflichtaufgabe verstanden. Ein nachhaltiges Training, das eine Verhaltensänderung anstrebt, braucht die Konditionierung im Tagesgeschäft. Die Mitarbeiter müssen das Erlernte selbst anwenden. Autofahren konnte man auch nicht nach den Theoriestunden, sondern man hat die Praxisstunden benötigt.
Ein ganzheitliches Konzept beinhaltet einen Wissenstransfer der Theorie, ein nachhaltiges und sich kontinuierlich wiederholendes Training sowie eine effektive, ressourcenschonende Steuerung.
Die Theorie bläut sich beispielsweise mithilfe von Live-Hacking-Veranstaltungen ein, bei denen Mitarbeitern und den Sicherheitsverantwortlichen die Psycho-Tricks der Social Engineer so anschaulich wie möglich vor Augen geführt werden.
Rollenspiele in Workshops helfen dabei, das Angriffspotenzial am eigenen Leib zu erleben und sich in die Rolle des Angreifers zu versetzen. Mitarbeiter erhalten ein Gespür dafür, wie Social Engineers denken und handeln. Zudem üben sie so die passenden Abwehrreaktionen.
Unterstützende Spear-Phishing-Kampagnen mit gezielten und persönlichen E-Mails über mehrere Monate fordern die Mitarbeiter immer wieder heraus, das Erlernte unter realen Bedingungen anzuwenden. Im Idealfall orientieren sich die personalisierten E-Mails daran, wie ein Mitarbeiter auf die verschiedenen psychologischen Kniffe reagiert.
Angriffssimulationen, wie Zutrittsversuche, Versuche, einen entsperrten Computer zu nutzen, und Dumpster Diving, steigern das Bewusstsein bei Mitarbeitern für das, was passieren kann, wenn Social Engineering erfolgreich ist.
Damit Security Awareness keine gefühlte Größe im Unternehmen bleibt, brauchen Unternehmen eine Steuerungskomponente in Form von Zielen und Kennzahlen. So lassen sich das Sicherheitsniveau einzelner Bereiche und der Fort- oder Rückschritt messen sowie Maßnahmen anpassen. Kennzahlen helfen zudem dabei, den Schulungsbedarf im Unternehmen zu ermitteln und Trainings danach auszurichten. Das spart Ressourcen und Unternehmen kommen – wie ihre Gegner – weg von einer Schrotflinten-Strategie, und kurieren alle Symptome nicht mit derselben Dosis Medizin.
Über den Autor: Dennis Pokupec ist Information Security Consultant von Sopra Steria. Sein Themenschwerpunkt liegt auf Informationssicherheitsmanagementsysteme und Schulungen zur Security Awareness.
(ID:46401254)
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940917/original.jpg "Beim Eisfischen wird ein Loch in ein gefrorenes Gewässer geschnitten, um Fische zu fangen, beim Ice-Phishing stehlen Cyberkriminelle durch Social Engineering Blockchain-Token. (Leonid Ikan - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1947700/1947715/original.jpg "Gamification ist weitaus mehr als eine Spielerei. Richtig eingesetzt absolvieren die Beschäftigten gerne Schulungen und senken spielerisch und effektiv ihr Cyberrisiko. (dusanpetkovic1 - adobe.stock.com)")