So begegnen Unternehmen der Social-Engineering-Bedrohung
Social Engineering ist eine der raffiniertesten Methoden von Cyberkriminellen. Das Ziel: die Schwachstellen der menschlichen sozialen Natur ausnutzen, um Zugang zu sensiblen Informationen zu erlangen oder unerlaubte Handlungen zu initiieren. Social Engineering ist kein neues Phänomen, aber die Taktiken werden immer ausgefeilter. Wer sich schützen will, muss die psychologischen Aspekte verstehen und Mitarbeitende regelmässig schulen.
Im Laufe der Jahre hat sich Social Engineering zu einer elaborierten Methode der Manipulation entwickelt. Die zunehmende Digitalisierung hat den Social Engineers eine breitere Palette von Werkzeugen zur Verfügung gestellt, um ihre Ziele zu erreichen. Diese Werkzeuge reichen von einfachen E-Mails bis hin zu komplexen Online-Plattformen, die es ermöglichen, gefälschte Identitäten aufzubauen und gezielt auf Opfer zuzugehen.
Die Werkzeuge von Social Engineers
Eine der häufigsten Social-Engineering-Methoden ist Phishing, doch die Bandbreite ist vielseitig:
- Phishing – die Köder-Methode
Bei dieser inzwischen allseits bekannten Technik senden Angreifer gefälschte, täuschend echt anmutende E-Mails, die vorgeben, von vertrauenswürdigen Quellen zu stammen. Erkennen Mitarbeitende die Gefahr nicht, erhalten Erstere Zugriff auf Bankkonten, Unternehmensdaten oder andere sensible Inhalte. - Pretexting – die Glaubwürdigkeits-Täuschung
Beim Pretexting kreieren Angreifer einen glaubwürdigen Vorwand, um das Vertrauen von Mitarbeitenden zu gewinnen. Ein Beispiel: Ein Anrufer gibt sich als IT-Support-Techniker des Unternehmens aus und behauptet, dass er dringend auf den Computer eines Mitarbeiters zugreifen muss, um ein Sicherheitsproblem zu beheben. Im Worst Case wird ihm dieser ohne genügende Überprüfung gewährt und er erhält Zugang zu sensiblen Informationen oder Systemen. - Baiting – die Verlockungsmethode
Baiting lockt Opfer mit vermeintlich attraktiven Angeboten an. Ein klassisches Beispiel ist das Verteilen von infizierten USB-Sticks oder anderen Medien, die mit Malware infiziert sind. Ist eine Mitarbeiterin neugierig und schliesst einen solchen Stick an ihren Computer an, wird die Malware auf das System übertragen und ermöglicht den Cyberkriminellen Zugriff auf Unternehmensdaten. - Quid Pro Quo: Die Tauschmethode
Hier bieten Angreifer etwas im Austausch für Informationen an. Ein Beispiel: Bei einem Anruf wird einem Mitarbeiter ein verlockender Job in einem renommierten Unternehmen angeboten. Als Gegenleistung verlangt der Anrufer aber vertrauliche Unternehmensdaten. Der Mitarbeiter, der das Jobangebot attraktiv findet, gibt versehentlich sensible Informationen preis, ohne die Bedrohung zu erkennen. - Tailgating: Die Schmuggel-Methode
Tailgating tritt auf, wenn ein Angreifer physisch Zugang zu einem Unternehmen erhält, indem er sich hinter einer berechtigten Mitarbeiterin «durchschmuggelt». Zum Beispiel könnte der Angreifer einer Mitarbeiterin in einem Bürogebäude folgen, ohne sich auszuweisen, und so Zugang zu sensiblen Bereichen des Unternehmens erhalten. Hier wird die Neigung der Menschen ausgenutzt, höflich sein zu wollen.
Schutzmassnahmen gegen Social Engineering
Die Folgen von Social-Engineering-Angriffen können verheerend sein und gehen weit über finanzielle Schäden hinaus. Durch das harmonische Zusammenspiel aus menschlicher Aufmerksamkeit, technologischen Massnahmen und strengen Prozessen kann eine effektive Abwehr gegen Social-Engineering-Angriffe aufgebaut werden. Dabei gewährt nur eine ganzheitliche Herangehensweise eine robuste Verteidigung.
- Schulung und Sensibilisierung: Egal, wie fortschrittlich die Sicherheitsmassnahmen im Unternehmen sind, die Mitarbeitenden sind oft die erste Verteidigungslinie gegen Social Engineering. Schulungen und Sensibilisierung sind daher von entscheidender Bedeutung. Mitarbeitende müssen die verschiedenen Formen des Social Engineering erkennen und wissen, wie sie sich davor schützen können.
- Multi-Faktor-Authentifizierung: Neben umfassenden Schulungen sollten klare Richtlinien zur Datensicherheit etabliert werden, inklusive der Verwendung von Multi-Faktor-Authentifizierung und strenger Zugriffskontrollen.
- Technologische Sicherheitsmassnahmen: Es lohnt sich, in Sicherheitssoftware und Firewalls zu investieren, um den Eintritt von Malware zu verhindern. Wichtig ist zudem eine zeitgerechte Aktualisierung sowie das regelmässige Erstellen von Backups.
- Strenge physische Zugangskontrollen: Der physische Zugang zum Unternehmensgebäude oder einzelnen -bereichen sollte beschränkt sein auf Mitarbeitende. Höflichkeit kann zum Verhängnis werden: Bei unbekannten Personen in beschränkten Bereichen ist Nachfragen oder gar eine Überprüfung der Identität durchaus angebracht.
- Notfallplanung: Das Entwickeln eines umfassenden Notfallplans und einer Incident-Response-Strategie ist essenziell für Unternehmen, um im Falle eines Angriffs schnell handeln zu können. Da Cyberangriffe elektronische Geräte oder Server in vielen Fällen ausser Betrieb setzen, sind Notfallpläne idealerweise auch in gedruckter Form zur Hand zu haben.
Zukünftige Herausforderungen
In einer zunehmend vernetzten Welt sind technische und soziale Sicherheit gleichermassen wichtig. Social Engineering verdeutlicht die Notwendigkeit, Menschen zu befähigen, einen Angriff zu erkennen. Durch Stärkung von Technologie und Bewusstsein kann die Widerstandskraft gegenüber sich stetig weiterentwickelnden Social-Engineering-Bedrohungen gesteigert werden. Die Zukunft des Social Engineering wirft eine Vielzahl von Fragezeichen auf, da sowohl technologische Entwicklungen als auch kriminelle Methoden unaufhaltsam voranschreiten. In einer Welt, die von der rasanten Evolution der künstlichen Intelligenz und des maschinellen Lernens geprägt ist, werden Social Engineers kaum Halt davor machen, noch raffiniertere Manipulationsmethoden zu entwickeln.
Autorenbox
Florian Muff, Certified Ethical Hacker und Absolvent des CAS Cyber Security & Digital Forensic, ist seit 2014 bei BDO in Zürich tätig. Seit rund 5 Jahren betreut er seine Kundinnen und Kunden in einer leitenden Funktion im Bereich Cyber Security. Florian Muff ist Vorstandsmitglied des Vereins Allianz Digital Sicherheit Schweiz, wo er auch als Auditor des Gütesiegels CyberSeal im Einsatz ist.