Methoden gegen die gläserne Firma

Social Engineering als Waffe

| Autor / Redakteur: David Wollmann / Peter Schmitz

Die "gläserne Firma" ist ein Risiko: Sie liefert potenziellen Angreifern reichhaltige Informationen für Social-Engineering-Attacken.
Die "gläserne Firma" ist ein Risiko: Sie liefert potenziellen Angreifern reichhaltige Informationen für Social-Engineering-Attacken. (Bild: Pixabay / CC0)

Rein technische Angriffe auf eine Unternehmens-IT sind bei weitem nicht mehr so erfolgversprechend, wie es noch vor ein paar Jahren der Fall war. Die Täter verschaffen sich daher durch Social Engineering Informationen sozusagen über die Hintertür. Die Betroffenen unterschätzen die daraus entstehenden Risiken, gegen die es keine formalen Abwehrmaßnahmen gibt.

Große Sache, dringend und streng geheim: Der Auftrag der Chefin einer Münchner Großbäckerei verlangte die sofortige Überweisung von 1,9 Millionen Euro nach Hongkong. Buchhalterin und Hausbank kamen der Anweisung eifrig nach, sie überwiesen den Betrag noch am selben Tag – und beide landeten schließlich vor Gericht. Sie waren auf einen Trickbetrug hereingefallen, den CEO-Fraud – es gab überhaupt keinen Auftrag. Die Bank musste einen Teil des Schadens übernehmen, die allzu gutgläubige Buchhalterin war ihren Job los.

Der Fall machte Schlagzeilen und zeigt sehr deutlich, wie Social Engineering funktioniert: Die Täter wissen bestens Bescheid über organisatorische Strukturen eines Unternehmens, sie wissen, wer für was zuständig ist, welche Prozesse eingerichtet sind, und sie wissen dann auch konkret, wo der CEO auf Geschäftsreise ist, und vielleicht auch in welchem Hotel er wohnt und wie seine Zimmernummer ist. Und um an solche nützlichen Informationen zu kommen, müssen sie weder Agenten aussenden, noch Abhöranlagen installieren, sie können sich das alles nach und nach im Web zusammenklauben, bei Facebook, bei LinkedIn, bei Xing und natürlich, das ist immer die ergiebigste Quelle, auf den eignen Webseiten des betroffenen Unternehmens.

Wichtige Sicherheits­einstellungen für LinkedIn

Soziale Netzwerke absichern

Wichtige Sicherheits­einstellungen für LinkedIn

04.09.18 - Wer soziale Netzwerke nutzt, muss in den meisten Fällen die Sicherheitseinstellungen optimieren. Die Standardeinstellungen sind in den meisten Fällen nicht so sicher eingestellt, wie es sein sollte. Das gilt auch für das Business-Netzwerk LinkedIn, das zunehmend auch in Deutschland Bedeutung für berufliche Netzwerke gewinnt und damit auch für Cyberkriminelle interessant wird. lesen

Social Engineering

Social Engineering gehört mittlerweile zu den wichtigsten und damit gefährlichsten Waffen bei Cyber-Angriffen. Gut geschützte Server lassen sich von außen kaum noch kompromittieren; umfangreiche Sicherheitsmaßnahmen und ein gestiegenes Sicherheitsbewusstsein haben Zugriffe ohne jede – bewusste oder unbewusste – Mitwirkung von Mitarbeitern erheblich erschwert. Rein technische Angriffe sind in der Regel deshalb nicht mehr erfolgreich. Umso interessanter ist es daher für Angreifer geworden, die Mitarbeiter in ihre Strategie miteinzubeziehen, ihre Aktivitäten zu missbrauchen, Identitäten zu fälschen und beispielsweise ausgespähte echte Passwörter und Zugangsberechtigungen zu nutzen.

Es muss dabei nicht gleich um Millionen-Überweisungen gehen und meist wird auch nicht gleich nach Bank-PINs oder Kontonummern gefragt; dass die IT-Abteilung nicht nach Passwörtern fragt, hat sich herumgesprochen, hoffentlich jedenfalls. Aber oft reicht es Angreifern schon, den User zu bewegen, einen Link anzuklicken oder einen Dateianhang mit einem vermeintlichen Software-Update zu öffnen, über den dann Schadsoftware geladen wird.

Die gläserne Firma ist immer ein Risiko: Je mehr Informationen ein Angreifer über ein Unternehmen hat, desto wahrscheinlicher ist es, dass er seinen Angriff erfolgreich durchführen kann. Interessant sind dabei umfassende soziale Informationen über Mitarbeiter, über ihre Tätigkeit aber auch über ihr privates Leben. Die Social Media verleiten nicht nur Privatpersonen dazu, private Informationen von sich preiszugeben, auch Unternehmen versuchen oft, auf diese Weise ein vertrauenswürdiges, lockeres Bild von sich zu verbreiten. Offenheit und Transparenz sind nun mal positiv besetzte Begriffe. Da verraten dann Mitarbeiter oder auch Führungskräfte dann gern mal etwas über ihre Familie und ihre Hobbies, und übersehen dabei, dass sie so Angreifern in die Hände spielen: "Ich bin der Uwe und kenne den Max vom Eishockey, kannst du mir mal schnell seine Handynummer durchgeben, weil er seinen Schläger vergessen hat?" Und manchmal reichen die Informationen auch aus, um ein unternehmens- und mitarbeiterspezifisches Wörterbuch zu erstellen, das dann für gezielte Wörterbuch-Angriffe auf Passwörter verwendet wird.

Neben sozialen Informationen interessieren sich Angreifer aber auch für technische Informationen: Welche Systeme sind übers Web erreichbar? Welche Produkte werden eingesetzt? Werden vielleicht verwundbare Anwendungen verwendet? Welche technischen Ansprechpartner sind für welche Aufgaben zuständig? Mit solchen Informationen kann man Mitarbeiter gezielt angehen und ihnen beispielsweise vormachen, es gäbe Probleme mit einer bestimmten Version einer bestimmten Applikation. Je genauer der Angreifer über technische Einzelheiten Bescheid weiß, desto unwahrscheinlicher ist es, dass der Mitarbeiter Verdacht schöpft.

Ergänzendes zum Thema
 
Risikofaktor Chef

Passive Informationsgewinnung

Das Gefährliche ist, dass Informationen verwendet werden, die frei verfügbar sind, es geht um passive Informationsgewinnung und die lässt sich nicht durch Monitoring erkennen: Sie unterscheidet sich nicht von der normalen Abfrage eines Interessenten und in der Masse der Anfragen schwimmt sie einfach mit. Es besteht keine Möglichkeit, verdächtige Abfragen zu identifizieren, weil die Abfragen per se gar nicht verdächtig sind. Umgekehrt gibt es durchaus Tools, die Angreifer beim Scannen von Informationen unterstützen, die gezielt Daten über Mitarbeiter aus den Webauftritten eines Unternehmens, zum Beispiel E-Mail-Adressen, extrahieren, die strukturelle Zusammenhänge ermitteln und gegebenenfalls auch grafisch darstellen – auf eine gewisse Usability legen heute auch Cyber-Kriminelle Wert. Profis in diesem Gewerbe erstellen langfristig spezielle Profile in den Sozialen Netzwerken, die nur den Zweck haben, Informationen über Zielpersonen abzuschöpfen.

Technische Vorkehrungen helfen gegen Social Engineering wenig, weil der Ansatz gerade nicht technischer Natur ist. Von größter Bedeutung ist Security Awareness, also ein Risikobewusstsein für diese Seite der IT-Security. Unternehmen müssen wissen, welche Informationen im Web zugänglich und damit für Social Engineering nutzbar sind. Und sie müssen ihren Status diesbezüglich regelmäßig überprüfen, am besten durch eine neutrale Instanz, die gerade nicht in die betrieblichen Abläufe eingebunden und damit womöglich abgestumpft ist.

Das Fatale an Social Engineering: Es wurde auf diese Art der Angriffe in den letzten Jahren immer wieder hingewiesen und Benutzer wurden geschult, keine E-Mail-Anhänge von ungewisser Herkunft zu öffnen, nichts von dubiosen Websites herunterzuladen und Virenscanner immer aktuell zu halten. So wähnen sich die meisten gegenüber Social Engineering gewappnet: "Mir könnte das nie passieren“. Allerdings zeichnen sich professionelle Social-Engineering-Angriffe gerade durch einen hohen Personalisierungsgrad aus – es ist also unwahrscheinlich, dass "das" noch einmal eintritt: Es wird vielmehr das passieren, womit man garantiert als Letztes rechnet. Es wird also nicht um die Geschäftsreise des CEO und eine Überweisung nach Hongkong gehen. Aber wer weiß, vielleicht gerade doch? Vorsicht bleibt also angebracht.

Über den Autor: David Wollmann ist Senior IT Security Consultant bei NTT Security.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45462454 / Mitarbeiter-Management)