Die Gefahr von Social Engineering

Posted on Veröffentlicht in Blog, Kommentar, Security News

Die Gefahr von Social Engineering

In einigen Unternehmen sind die technischen Maßnahmen gegen Angriffe sehr gut. Was machen die Hacker stattdessen, sie konzentrieren sich auf das schwächste Glied – den Menschen.
Laut aktuellen Lagebericht von 2016 des Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Social Engineering immer noch eine häufig genutzte Angriffsform. Es heißt dort: “Social Engineering ist weiterhin eine vielfach genutzte Methode…“.

Wie funktioniert Social Engineering?

Im Bereich Informationssicherheit steht der Begriff “Social Engineering” für das Herausfinden von Informationen durch Manipulation eines Menschen. Vergleichbar ist diese Methode mit den Trickbetrügern an der Haustür von alten Menschen. Es werden persönlichen Beziehungen vorgetäuscht, um an die benötigten Informationen zu gelangen.

Warum ist Social Engineering so attraktiv für den Hacker?

Diese Frage ist einfach zu beantworten. Weil es kaum technisches Know-How benötigt. Für einen Angriff genügt ein einfacher Computer, evtl. noch ein Telefon.
Es gibt keinerlei technische Lösungen die einen Social Engineering Angriff verhindern können.
Die Angriffe laufen immer nach einem ähnlichen Schema ab. Am Anfang steht die Informationsbeschaffung. Laut BSI nutzen die Angreifer sozial Netzwerke um Informationen zu beschaffen. Sie sammeln die persönlichen Daten einer Person um das potentielle Opfer besser kennenzulernen. Auch die erste Kontaktaufnahme erfolgt in den häufigsten Fällen per Social Network. Auf diesen Plattformen wird versucht schrittweise Vertrauen mit dem Opfer aufzubauen, um letztendlich das Öffnen einer infizierten E-Mail oder Website durch das Opfer zu veranlassen.
Nach der Informationsbeschaffung wird ein Angriff vom Hacker ausgetüfftelt. So hat der Hacker z.B. durch die Presse erfahren, dass Ihr Unternehmen die Übernahme einer anderen Firma plant.
Dann erfolgt ein Anruf beim Opfer (in diesem Beispiel eine Person aus dem Rechnungswesen) eine dringende Überweisung zu tätigen, die angeblich mit der geplanten Übernahme zusammenhängt. Der Anruf wird durch authentisch aussehende E-Mails begleitet und evtl. erfolgt noch ein weiterer Anruf eines vermeintlich Vorgesetzten. Parallel wird Zeitdruck erzeugt und auf Geheimhaltung gedrungen, da nichts an die Öffentlichkeit gehen soll.

Wie kann man sich vor Social Engineering Angriffen schützen?

An dem skizzierten Beispiel ist sehr leicht zu erkennen, dass technische Maßnahmen kaum eine Chance auf Erfolg haben. Helfen können nur organisatorische Maßnahmen wie z.B:

  • Sicherheitsbewusstsein schaffen – d.h. Mitarbeiter regelmäßig schulen und auf die Gefahren hinweisen. Mit Hilfe von einem externen Dienstleister Angriffe simulieren, um das Bewusstsein zu schärfen.
  • Klare Regeln und Abläufe – In unserem Beispiel bedeutet das, dass es nur einen Weg für eine derartige Überweisung gibt und der ist mit verbindlichen Entscheidungen (die auch nachvollziehbar sind) versehen. Ein einfacher Telefonanruf gehört sicherlich nicht dazu. Das führt zum nächsten Punkt.
  • Vorgaben für die Authentifizierung – nur wenn es für den Mitarbeiter absolut eindeutig ist, dass diese neue Aufgabe von der Geschäftsleitung kommt. Erst dann wird diese auch durchgeführt.
  • Kontrolle – in regelmäßigen Abständen muss kontrolliert werden, ob unserer Sicherheitsvorgaben wirksam und ausreichend sind.
  • Betriebsklima – eine Kultur die Fehler zulässt und aus diesen lernen möchte. Dies schafft Offenheit unter den Mitarbeitern und sorgt dafür die wirklichen Schwachstellen zu finden.

Ihr mabunta Team