Social Engineering: Risikofaktor Mensch

Social Engineering ist eine Methode, bei der typische menschliche Verhaltensweisen sowie Schwächen und Unwissenheit ausgenutzt werden, um an sensible Informationen zu gelangen. Der erste Schritt besteht darin, eine geeignete Zielperson zu identifizieren und ein Angriffsprofil zu erstellen. Anschließend baut der Angreifer eine (kurz- oder langfristige) Beziehung zur Zielperson auf und versucht, sie zur Preisgabe vertraulicher Informationen zu bewegen. Dies kann durch psychologische Manipulation, Einschüchterung oder sogar durch das Versprechen eines Gewinns erreicht werden.

Social-Engineering-Angriffe sind eine der häufigsten und am meisten unterschätzten Bedrohungen für Unternehmen und andere Organisationen. Da Angreifer Zugang zu Informationen erhalten, ohne sich in das Netzwerk einloggen zu müssen, sind sie schwer zu erkennen und zu verhindern. Social Engineering ist auch Bestandteil von rein technischen Angriffen (Hacking) auf Unternehmen, Behörden und Institutionen. Kurzum: Social Engineering ist ein Risikofaktor, der nicht ignoriert werden darf.

Social Engineering

Social Engineering: Schwachstelle Mensch

Beispiele für Social Engineering Angriffe (Auszug)

1. Phishing

Eine der häufigsten Social Engineering Attacken ist das Phishing. Dabei versucht der Angreifer, an vertrauliche Informationen zu gelangen, indem er eine E-Mail verschickt, die von einer vertrauenswürdigen Quelle zu stammen scheint. Diese E-Mails enthalten Links zu gefälschten Websites, auf denen der Benutzer aufgefordert wird, seine Anmeldeinformationen einzugeben.

2. Baiting (Ködern)

Bei dieser Technik versucht der Angreifer, das Opfer dazu zu bringen, ein kompromittiertes Gerät zu verwenden. Dies kann ein USB-Stick, eine externe Festplatte oder eine CD sein, die mit Malware infiziert ist. Sobald das Opfer das Gerät anschließt oder die Software ausführt, kann der Angreifer auf das System zugreifen.

3. Tailgating

Diese Methode wird auch als Piggybacking bezeichnet. Dabei versucht der Angreifer, in ein Gebäude, ein Büro oder einen anderen geschützten Bereich zu gelangen, indem er sich einem anderen Mitarbeiter anschließt, der bereits Zutritt hat.

4. Dumpster Diving

Bei dieser Technik sucht der Angreifer in Mülltonnen nach Daten, die er verwenden kann, um an Zugangsdaten oder andere vertrauliche Informationen zu gelangen.

5. Elicitation

Bei dieser Technik versucht der Angreifer, durch direkte Fragen oder indirekte Bemerkungen an vertrauliche Informationen zu gelangen. Diese Technik kann in einer physischen Umgebung, per Telefon, per E-Mail oder sogar über soziale Netzwerke angewendet werden.

Unternehmen müssen sich besonders gegen menschliches Versagen und Unvermögen absichern. Wenn es nicht der eigene Mitarbeiter ist, der vertrauliche Informationen entwendet, ist es meist Nachlässigkeit oder schlichtes Unwissen, das Angreifern Tür und Tor öffnet.

Udo Hohlfeld, Intelligence Experte , ACRASIO Netzwerkpartner

Schutz vor Social-Engineering-Attacken

Um sich vor Social-Engineering-Angriffen zu schützen, müssen Unternehmen eine Reihe von Maßnahmen ergreifen, um ihre Mitarbeiter zu schulen und zu sensibilisieren. Einige dieser Maßnahmen sind

  • Schulung der Mitarbeiter: Unternehmen sollten ihre Mitarbeiter darüber informieren, welche Social-Engineering-Angriffe es gibt und wie man sich davor schützen kann.
  • Erstellung von Richtlinien: Unternehmen sollten Richtlinien erstellen, die ihren Mitarbeitern vorschreiben, wie sie mit verdächtig erscheinenden Anfragen umgehen sollen.
  • Aktualisierung der Software: Unternehmen sollten ihre Software regelmäßig aktualisieren, um sicherzustellen, dass sie nicht von Angreifern ausgenutzt wird.
  • Einführung einer Zwei-Faktor-Authentifizierung: Die Zwei-Faktor-Authentifizierung erhöht die Sicherheit, indem sie ein zweites Element in den Anmeldeprozess einführt, z. B. einen Code, der an ein Mobiltelefon gesendet wird.
  • Einsatz von Antivirensoftware: Unternehmen sollten Antivirensoftware einsetzen, um Schadsoftware zu erkennen und zu entfernen, mit der sich Angreifer Zugang zu den Systemen des Unternehmens verschaffen könnten.

Fazit

Social Engineering ist eine der am meisten unterschätzten Bedrohungen für Unternehmen. Es ist wichtig, dass Unternehmen alle notwendigen Schutzmaßnahmen ergreifen, um sich vor dieser Bedrohung zu schützen. Dazu gehören die Schulung der Mitarbeiterinnen und Mitarbeiter, die Erstellung von Richtlinien, die Aktualisierung der Software, die Implementierung von Zwei-Faktor-Authentifizierung und der Einsatz von Antivirensoftware.

Wie bei vielen Dingen im Leben kann nur ein Praxistest zeigen, wie gut ein Unternehmen geschützt ist. Zum Beispiel mit Red Teaming, d.h. der (regelmäßigen) Überprüfung der Resilienz des Unternehmens durch einen (freundlichen) Angriff auf Mitarbeiter und Unternehmensstrukturen unter Anwendung verschiedenster Social-Engineering-Taktiken.