Hackerattacke auf die menschliche Psyche

Social Engineering der Schwachstelle Mensch

| Autor / Redakteur: Mike Hart / Peter Schmitz

Social Engineering ist für Angreifer eine extrem erfolgreiche und ungefährliche Methode, um die IT-Sicherheitsstandards eines Unternehmens auszuhebeln und sensible Informationen zu stehlen.
Social Engineering ist für Angreifer eine extrem erfolgreiche und ungefährliche Methode, um die IT-Sicherheitsstandards eines Unternehmens auszuhebeln und sensible Informationen zu stehlen. (Bild: Pixabay / CC0)

Social Engineering ist eine höchst effektive Angriffsmethode, bei der sich Cyberkriminelle durch Manipulation der Mitarbeiter Zugang zum Unternehmensnetzwerk verschaffen. Unternehmen können dabei nicht auf die gängigen Abwehrmechanismen in Formen von Anti-Viren-Programmen oder Software setzen, um derartige Attacken abwehren zu können, denn die Hacker machen sich die menschliche Psyche zu nutze.

Beim Wort Hackerangriff haben viele Menschen ein bestimmtes, klischeehaftes Bild vor Augen, das vor allem durch Film und Fernsehen geprägt ist: Hacker in schwarzen Hoodies und Schirmmützen, die vor ihrem Bildschirm sitzen und mit selbstgeschriebenen Codes in Unternehmensnetzwerke eindringen, um sensible Informationen zu stehlen. Ein direkter Kontakt zu Menschen, insbesondere zu Mitarbeitern, kommt in diesem Bild nicht vor. Dabei gibt es eine viel gefährlichere Form des Informationsdiebstahls, bei der die Mitarbeiter nicht nur eine entscheidende Rolle spielen, sondern die für die Angreifer auch weniger aufwändig und doch oft mindestens ebenso erfolgreich verläuft: Social Engineering.

Was ist Social Engineering?

Neugier, Hilfsbereitschaft, Vertrauen gegenüber anderen Personen und lösungsorientiert – auf den ersten Blick positive Eigenschaften, über die viele Menschen verfügen und die das Grundgerüst für das Miteinander sind. Doch genau diese menschlichen Eigenschaften nutzen Cyberkriminelle aus, um an sensible Unternehmensdaten zu gelangen. Dieser Angriffsvektor wird als Social Engineering bezeichnet. Beim Social Engineering erschleichen sich Angreifer das Vertrauen von Mitarbeitern und bringen diese durch geschickte, psychologische Manipulationen dazu, sensible Informationen herauszugeben oder die unternehmensinternen Sicherheitsvorkehrungen zu umgehen und den Angreifern Zugang zum Netzwerk zu verschaffen.

Wie gehen Angreifer beim Social Engineering vor?

Geschickte Angreifer wählen dabei verschiedene Methoden, um mit Mitarbeitern in Kontakt zu treten. Beliebt sind der Austausch per Telefon, E-Mail oder eine Kombination aus beidem.

Wählt ein Cyberkrimineller das Telefon als Angriffsvektor, ruft er beispielsweise sein Opfer an und schildert diesem ein Problem – berühmtberüchtigt sind hier besonders die Anrufe angeblicher Microsoft-Mitarbeiter. Der Vorteil für den Angreifer liegt darin, dass er seine eigene Identität verschleiern und einen gewissen Abstand wahren kann, auf der andere Seite ist er aber flexibel genug, um auf die Reaktionen des Opfers eingehen zu können.

Eine zweite Methode, die Cyberkriminelle häufig nutzen, ist das sogenannte Spear Phishing. Hier versenden Betrüger an ausgewählte Mitarbeiter E-Mails, die auf den ersten Blick keine Auffälligkeiten aufweisen und vertrauenswürdig wirken. Über diese E-Mails versuchen die Angreifer, an persönliche Daten des Opfers zu gelangen, um diese für ihr Eindringen ins Unternehmensnetzwerk nutzen zu können.

E-Mail eines Cyberkriminellen nach einem Telefonat mit seinem anvisierten Opfer.
E-Mail eines Cyberkriminellen nach einem Telefonat mit seinem anvisierten Opfer. (Bild: FireEye)

Doch dreiste Angreifer gehen sogar noch einen Schritt weiter und kombinieren beide Angriffsvektoren. Sie schicken ihrem Opfer zunächst ein mit Malware gespicktes Dokument zu und telefonieren nach, um das Opfer am Telefon zur Aktivierung bösartiger Makros zu bewegen.

Das gefährliche an Social Engineering-Angriffen ist, dass die Betroffen nicht merken und sich nicht bewusst sind, dass sie vertrauliche Informationen an vollkommen fremde, unbefugte Personen weitergeben. Der Schaden durch ein solches Verhalten kann immens sein. Doch wie schützt sich ein Unternehmen vor Social Engineering-Attacken und wird der Sicherheitslücke Mensch gerecht?

Maßnahmen zum Schutz vor Social Engineering

Grundsätzlich ist jeder Mitarbeiter eine potentielle Schwachstelle für die Sicherheit eines Unternehmens. Deshalb bilden Software- und hardwareseitige Securitymaßnahmen auch nur das Grundgerüst, um gegen Diebstahl von sensiblen Informationen gefeit zu sein. Um die Sicherheitslücke Mensch, beziehungsweise Mitarbeiter zu schließen, sollten folgende Punkte beachtet werden:

1. E-Mail: Ein Blick auf den Absender verhindert Schlimmeres.

Kryptische Betreffzeilen sollten grundsätzlich nicht geöffnet werden, vor allem nicht, wenn dazu noch der Absender unbekannt ist. Häufig versuchen Cyberkriminelle, sich als neue Mitarbeiter oder Dienstleister auszugeben, um Informationen über das Unternehmen zu erhalten und sich Zugang zur IT-Infrastruktur zu verschaffen. Betrüger nutzen diese Möglichkeit bevorzugt in großen Unternehmen, da hier nicht jeder Mitarbeiter jeden Kollegen persönlich kennt. Deshalb gilt vor allem in Großunternehmen: Die Identität eines unbekannten E-Mailabsenders muss unbedingt geklärt werden, bevor vertrauliche Informationen weitergegeben werden.

2. Phishing E-Mails: Wer sucht, der findet.

Maßgeschneiderte Phishing-E-Mail.
Maßgeschneiderte Phishing-E-Mail. (Bild: FireEye)

Sie wirken oft harmlos und vertrauenswürdig, dabei verschaffen sich Hacker oft über Phishing-Mails Zugang zu persönlichen Daten oder zum Unternehmensnetzwerk. Derartige E-Mails können mit schadhaften Dateianhängen oder Links versehen sein und ähneln denen bekannter Absender, wie beispielsweise Versandhändlern oder Dienstleistern. Der Cyberangriff ist dadurch gut getarnt und kann oft nur mit einem findigen Auge erkannt werden. Unternehmen sollten ihre Mitarbeiter schulen und sie mit den Eigenarten von Phishing-Mails vertraut machen, um eine solche Cyberattacke zu unterbinden.

3. Gefahr Social Media: Hacker lesen mit.

Über die verschiedenen sozialen Netzwerke geben Nutzer oft Informationen über ihren Arbeitsplatz und ihren Job preis und das nicht nur für Freunde und Bekannte – ein Informationsparadies für Hacker! Denn Angreifer spionieren ihre Opfer vor einem ersten Kontakt besonders gern über Portale, wie Facebook, LinkedIn, Xing und Co aus. Mit den dort oft öffentlich einsehbaren Informationen können die Betrüger ihre Attacke auf das jeweilige Opfer maßgeschneidert anpassen. Dabei bieten Social Media Kanäle Privatsphäre-Einstellungen, die vor Spionage schützen können. Nutzer dieser Portale sollten sicherstellen, dass nur ein ihnen bekannter Personenkreis auf persönliche Informationen zugreifen kann. Zudem ist es ratsam, Informationen zum Arbeitgeber nur in Rücksprache mit der Geschäftsleitung im Internet zu veröffentlichen.

Social Engineering ist eine perfide, aber aus Sicht der Angreifer sehr erfolgreiche und ungefährliche Methode, um die IT-Sicherheitsstandards eines Unternehmens auszuhebeln und sensible Informationen zu stehlen. Unternehmen können nicht auf die gängigen Abwehrmechanismen in Formen von Anti-Viren-Programmen oder Software setzen, um derartige Attacken abwehren zu können, denn die Hacker machen sich die menschliche Psyche zu nutze. Entscheidend ist, dass die Mitarbeiter für die Methoden des Social Engineering sensibilisiert werden und in der Lage sind, diese zuerkennen.

Über den Autor: Mike Hart ist Vice President Central Europe beim Cybersicherheitsanbieter FireEye. Er verfügt über jahrelange Expertise in der IT-Branche, die er unter anderem bei Veritas und Symantec erworben hat. Ursprünglich aus dem Vereinigten Königreich stammend, lebt Hart seit über 20 Jahren in Deutschland.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45224007 / Mitarbeiter-Management)