Social Engineering-Attacken: So schützt du dich
Social Engineering ist die gezielte Manipulation von Personen. Hier erfährst du wie man einen Angriff erkennt und sich als Unternehmen schützen kann.
16. Januar 2022
8 Minuten lesen
Jeder kennt sie, die Geschichten von E-Mails mit anscheinend harmlosem Anhang oder unscheinbaren Links, die dann ein böses Erwachen nach sich zogen. Der User oder die Userin war unvorsichtig und öffnete den Anhang bzw. klickte auf den Link. Die Folgen sind dabei mitunter massiv, die Schadenssumme ist je nach Unternehmensgröße nach oben offen – vom Imageschaden ganz zu schweigen. Bezeichnet werden diese Methoden als Social Engineering oder Social Hacking. Das ausgemachte Ziel des Angriffs: der Mensch.
Naivität, Hilfsbereitschaft, Autoritätshörigkeit oder Schamgefühl menschlicher MitarbeiterInnen lassen sich oft mit vergleichsweise wenig Aufwand überwinden. Nach und nach werden ohne Verdacht zu wecken Insiderinformationen über die Softwarelandschaft und die Netzwerk-Sicherheit entlockt. SicherheitsexpertInnen zufolge stellt Social Engineering die größte Gefahr für jedes Sicherheitssystem dar, weil die Abhängigkeit von Informationen immer mehr zunimmt.
- Was ist Social Engineering?
- Welche Ziele verfolgen Social Engineering-Angriffe?
- Was sind die Methoden einer Social Engineering-Attacke?
- Wie kann ich mein Unternehmen vor Social Engineering-Angriffen schützen?
- Wie erkenne ich eine Social Engineering-Attacke?
- Wie soll ich mich bei einem Social Engineering-Angriff verhalten?
Was ist Social Engineering?
Der Begriff Social Engineering beschreibt die gezielte Manipulation von Personen. Bei einer Social Engineering-Attacke geht es darum, Zugang zu internen Systemlandschaften, Prozessen und (vertraulichen) Daten zu erhalten. Dazu werden Informationen über den Mitarbeiter oder die Mitarbeiterin gesammelt, um im Anschluss dessen bzw. deren menschliche Natur gegen ihn oder sie einzusetzen.
Die Auftrittsformen der Methode sind unterschiedlich. Das Vorgehen lässt sich als Trickbetrug bezeichnen – nur eben à la State of the Art. Trickbetrüger bzw. -betrügerinnen gab es auch schon lange vor der Digitalisierung und Industrie 4.0 und sogar lange vor Computern und Laptops. Da Menschen aber oft unüberlegt handeln, ist die Methode noch immer effektiv.
Welche Ziele verfolgen Social Engineering-Angriffe?
Daten sind das Gold des digitalen Zeitalters. Daher geben Unternehmen immense Summen aus, um diese zu akquirieren, kontextualisieren und zu speichern. Auf ihrer Basis lassen sich, Strategien ableiten, Maßnahmen definieren und auswerten, aber auch Produkte entwickeln. Aber auch im privaten Bereich gibt es sensible Informationen und Inhalte, die nicht für Dritte bestimmt sind. Leider gibt es aber seit jeher Menschen und Interessensgruppen, die eben genau an solche Informationen und Inhalte gelangen wollen.
Social Hacking hat daher das Ziel menschliches Vertrauen bzw. die menschliche Naivität auszunutzen und so solche sensiblen Informationen zu erhalten. Alternativ kann auch der direkte Zugriff auf die Systeme des Opfers angestrebt sein. Dazu zielen sie typischerweise auf sensible Daten wie Konto- und Zugangsdaten, Passwörter und vertrauliche Informationen von Mitarbeitern und Kunden ab. Die Daten von Einzelpersonen werden in der Folge verwendet, um die Konten zu leeren, oder die Geschädigten zu erpressen. Manchmal werden die Datensätze auch weitergegeben, um Identitäten im Internet zu fälschen.
Auch Unternehmen sind betroffen. Dort treten Social Engineering-Attacken im Rahmen von Industriespionage auf. So entwendet man der Konkurrenz wertvolle Firmengeheimnisse und fügt ihr obendrauf noch einen massiven Imageschaden durch das Bekanntwerden des Angriffs zu.
Schütze dein Unternehmen mit Cybersicherheits-Experten
Vetted Pro
Ich bin Unternehmenssicherheitsberater für Information, hipaa, gdpr, iso27001, pci dss, nist
Ab 400 $
Bietet Videoberatung
Vetted Pro
Ich werde Netzwerksicherheit, Website-Sicherheit, Penetrationstests und Malware-Entfernung durchführen
Ab 175 $
Bietet Videoberatung
Level 2
Ich werde Ihre Anwendung oder Website einem Pentest auf Schwachstellen unterziehen
Ab 150 $
Bietet Videoberatung
Vetted Pro
Ich biete Cybersicherheitsdienste, Website-Sicherheit und Infrastruktursicherheit
Ab 100 $
Bietet Videoberatung
Vetted Pro
Ich helfe Ihnen bei der Zertifizierung nach ISO 27001 durch Ihre lokale Prüfstelle.
Ab 400 $
Bietet Videoberatung
Vetted Pro
Ich passe die ISO 27001-Dokumentation an und lasse Sie zertifizieren
Ab 150 $
Bietet Videoberatung
Vetted Pro
Ich führe Penetrationstests und IT-Sicherheit für Ihr Unternehmen durch
Ab 150 $
Bietet Videoberatung
Vetted Pro
Ich werde dein unternehmensweiter technischer Cyber-Sicherheitsberater
Ab 400 $
Bietet Videoberatung
Vetted Pro
Ich führe eine NIST-CSF-Cybersicherheitsbewertung für Ihr Unternehmen durch
Ab 2.000 $
Bietet Videoberatung
Vetted Pro
Ich biete kompetente Beratung zu Cybersicherheitslösungen und digitalen Forensikaufgaben
Ab 200 $
Bietet Videoberatung
Vetted Pro
Ich bin dein Berater für eine Richtlinie, technischen Standard, Prozess oder Verfahren
Ab 500 $
Bietet Videoberatung
Vetted Pro
Ich werde Sicherheitslösungen wie Siem, EDR, IDP, IPs und Firewalls bereitstellen
Ab 250 $
Bietet Videoberatung
Vetted Pro
Ich bin dein iso 27001 Berater im Unternehmens-, Finanz- und Gesundheitssektor
Ab 400 $
Bietet Videoberatung
Vetted Pro
Ich bin dein NIST CSF Compliance-Berater im Unternehmens-, Finanz- und Gesundheitssektor
Ab 400 $
Bietet Videoberatung
Vetted Pro
Ich mache einen Schwachstellen-Scan für Ihre internetfähigen Systeme
Ab 100 $
Bietet Videoberatung
Vetted Pro
Ich werde Wazuh bereitstellen und die Protokollierung aktivieren
Ab 100 $
Bietet Videoberatung
Vetted Pro
Ich werde Ihre Webanwendung, mobile Anwendung oder Ihr Netzwerk pentestieren
Ab 100 $
Bietet Videoberatung
Vetted Pro
Ich werde Experten-Penetrationstests und Sicherheitsüberprüfungen durchführen
Ab 300 $
Bietet Videoberatung
Was sind die Methoden einer Social Engineering-Attacke?
Die Methoden des Social Engineerings sind vielfältig. Gerade MitarbeiterInnen mit viel Kundenkontakt oder neue Teammitglieder, die noch nicht alle Kolleginnen und Kollegen kennen und in der Regel Hilfe beim Einrichten der IT-Systeme brauchen, sind beliebte Ziele. Angriffe können aber jede und jeden treffen. Zu den gängigsten Formen der Taktik gehören diese Methoden:
- Phishing und Spear-Phishing: Das bekannteste Beispiel des Social Engineerings ist die Phishing-Mail, die auf eine gefälschte Webseite lockt. Wer dort seine Daten eingibt, der reicht sie direkt an die Social Engineers weiter. Manchmal spielen diese auch mit der Neugier ihrer Opfer und verschicken Mails mit einem Link. Dort erwartet den Nutzer bzw. die Nutzerin dann nach dem Klick ein Malware-Download. Versucht ein Social Engineer telefonisch an Informationen zu gelangen, nennt man das „Vishing-Anrufe“.
- Baiting: Eine Social Engineering-Attacke durch Baiting ähnelt dem Phishing. Es unterscheidet sich aber von ihm und anderen Social Engineering-Methoden, indem es etwas verspricht. Hierbei wird ein digitaler (z.B. ein E-Mail-Anhang) oder physischer Köder, zum Beispiel ein USB-Stick, eingesetzt. Dahinter verbirgt sich eine Malware. Wird dieser dann geöffnet oder an den Rechner angesteckt, wird die Schadsoftware ausgeführt.
- Quid pro Quo: Ein Beispiel für diese Art des Social Engineering-Angriffs ist, wenn eine Person anruft und vorgibt, ein Mitarbeiter des technischen Kundendienstes zu sein. Er oder sie bietet dir Hilfe. Nimmst du diese an, erhält er oder sie tatsächlich Zugang zu deinem Computer, oder Netzwerk, um Malware einzuschleusen.
- Scareware: Dass Angst fast immer Aktionen hervorruft, wissen auch Kriminelle. Der Begriff „Scareware“ umfasst automatisierte Schadprogramme, die sich dieses Prinzip zunutze machen. Hierbei informieren sie den Anwender oder die Anwenderin über eine Gefahr, die äußerst bedrohlich wirkt, aber gar nicht wirklich existiert. Der User oder die Userin ist natürlich besorgt. Durch das Herunterladen von vermeintlichen Virenschutzprogrammen oder Update von Software soll das Problem dann behoben werden. Mit den Downloads gelangen jedoch gefährliche Trojaner auf das System.
- Pretexting: Um sich Zugang zu einem Computer-Netzwerk zu verschaffen, geben sich Social Engineers beispielsweise als MitarbeiterInnen, KundInnen oder EDV-TechnikerInnen aus. So kontaktieren die AngreiferInnen beispielsweise eine MitarbeiterIn, erwähnen ein angeblich dringendes Problem und fordern den Zugriff auf das Netzwerk, um dieses zu lösen. Eine Abwandlung dieses Beispiels für Social Engineering ist der CEO-Fraud. Dabei wird die E-Mail oder der Anruf eines / einer vermeintlichen Vorgesetzten mit dem Appell der sofortigen Mitteilung wichtiger Daten fingiert. Nicht selten versuchen die BetrügerInnen dabei über längere Zeit ein Vertrauensverhältnis aufzubauen.
Der große Vorteil für die Angreiferinnen und Angreifer ist, dass der Angriff oftmals nicht oder erst viel später registriert wird. Das Eindringen bleibt unbemerkt und die Mitarbeiterin bzw. der Mitarbeiter lassen sich bei der nächsten Gelegenheit erneut für die eigenen Machenschaften ausnutzen.
Wie kann ich mein Unternehmen vor Social Engineering-Angriffen schützen?
Anders als bei anderen Angriffen auf die Systeme eines Unternehmens (mitunter auch denen von Privatpersonen), lässt sich der Schutz vor Social Engineering nicht allein durch umfassende IT-Maßnahmen realisieren. Der Mensch ist das potenzielle Einfallstor und die potenzielle Schwachstelle. Unternehmen sind daher angeraten, MitarbeiterInnen den Wert von Informationen ins Gedächtnis zu rufen, die Bedrohung vor Augen zu führen und sie entsprechend zu schulen. Konkrete Möglichkeiten zum Schutz vor Social Hacking sind zum Beispiel:
- Das Team sensibilisieren: Die AngreiferInnen setzen bei den Methoden von Social Engineering auf menschliche Impulshandlungen. Die eigenen Mitarbeiterinnen und Mitarbeiter müssen über die Bedrohungen und die Herangehensweise von Social Hacking aufgeklärt werden. Vereinbare Richtlinien zum Umgang mit Informationen. Führe regelmäßig Schulungen durch. Zugangsdaten oder vertraulichen Informationen sollen beispielsweise nicht über anonyme Kanäle wie E-Mail, Chats oder Telefon weitergegeben werden.
- Multi-Faktor-Authentifizierung: Gerade bei kritischen Systemen wie etwa im Onlinebanking hat sich die Methode etabliert. Nach Eingabe eines Passwortes muss man die eigene Identität noch mit der Bestätigung eines Codes oder einer Sicherheitsfrage verifizieren. Diese zweite Hürde schmälert die Erfolgsaussichten von Social Engineering-Attacken. Auch unternehmensintern ist ihre Einführung daher bei vielen Systemen sinnvoll. Auf Fiverr lassen sich geeignete Freelancer finden.
- Umfangreiches Rechtemanagement: Nicht jede Mitarbeiterin und jeder Mitarbeiter braucht Zugriff auf jedes System. Zugriffsbeschränkungen auf die Job-Rolle im Rahmen eines Privileged-Access-Managements schränkt die Bewegungsmöglichkeiten von Angreifern ein, wenn ein Social Engineering-Angriff tatsächlich erfolgreich ist.
- Der richtige Umgang mit Social Media: Heute ist es gerade für Unternehmen schwierig, die richtige Balance zwischen der Öffentlichkeitsarbeit als Marketing-Strategie und dem Schutz der sensiblen Unternehmensdaten zu finden. Für einen ausreichenden Schutz vor Social Engineering solltest du daher darauf achten, welche Informationen über soziale Netzwerke (auch die Firmenseite) geteilt werden.
- Penetrationstests: Im Rahmen von Penetrationstests oder Red Teaming stellen Experten dein System und die Sicherheitsmaßahmen auf die Probe. Ziel ist es, Sicherheitslücken oder Schwachstellen zu finden. In aller Regel wird dabei auch auf Social Engineering-Methoden zurückgegriffen. Jede Sicherheitslücke wird dokumentiert. Im Anschluss wird das Gefahrenpotenzial eingestuft und empfohlen, wie die Sicherheitslücken geschlossen werden können.
- Softwaremaßnahmen: Da Social Engineering-Attacken inzwischen ein bekanntes Problem sind, gibt es auch Technologien, um sich so weit möglich davor zu schützen. Mit dem Unterbinden von Spam und einem zuverlässigen Phishing-Schutz kann das Risiko, darauf hereinzufallen, deutlich minimiert werden. Diese sollten im Rahmen des eigenen Cyber-Security-Managements implementiert werden.
Wie erkenne ich eine Social Engineering-Attacke?
Unbekannte Absender sollten dich stutzig machen. Wenn in deinem privaten Posteingang E-Mails unbekannter Absender eingehen, schau dir die Mailadresse genau an. Sieht die Adresse seriös aus? Auch scheinbar bekannte Unternehmen wie Zalando, Amazon oder Facebook werden häufig missbrauch und fälschlicherweise als Absender angegeben. Sei misstrauisch und vorsichtig bei verdächtigen oder unerwarteten Anrufen – auch wenn sie von einer (potenziell) vertrauten Person kommen. Nimm dir einen Moment Zeit und denke nach!
Gibt es einen Grund für die Kontaktaufnahme? Gerade, wenn der Betreff zu gut klingt, um wahr zu sein (Gewinne, Rückzahlungen, etc.), ist er es meistens nicht. Sollte es doch der Fall sein, wird der Absender mehrmals versuchen dich persönlich zu erreichen.
Auch eine generische Ansprache, Schreibfehler im Text, eine Mischung aus mehreren Sprachen oder Anhänge ohne Konkretisierung sind ein Hinweis auf eine potenzielle Social Engineering-Attacke.
Im beruflichen Umfeld verfügen Unternehmen in aller Regel über gute Softwaremaßnahmen, um die Risiken einzuschränken. Aber auch diese schützen nicht zu 100 %, da Social Engineering-Attacken auf die Schwachstelle Mensch setzen.
Bist du dir bei einer Anfrage nicht sicher und dein Gesprächspartner bzw. deine Gesprächspartnerin versucht, dich unter Druck zu setzen, leite die Anfrage an deine Vorgesetzte bzw. deinen Vorgesetzten weiter. Gerade die Versuche das Opfer einzuschüchtern, gehört zum kleinen Einmaleins des Social Engineerings. Immer wenn dringende Handlungen erforderlich sein sollten, ist Skepsis angebracht.
Wenn Daten abgefragt werden, wie etwa Passwörter, solltest du aufpassen. Halte unbedingt Rücksprache mit deinem bzw. deiner IT-Verantwortlichen.
Wie soll ich mich bei einem Social Engineering-Angriff verhalten?
Social Engineering-Attacken lassen sich nie komplett verhindern. Denn selbst, die umfangreichsten und durchdachtesten Sicherheitsmaßnahmen sind eben nur so sicher, wie die Person vor dem Bildschirm es zulässt. Nutze nur sichere bzw. schwer knackbare Passwörter.
Aber was kannst du tun, wenn du tatsächlich einen Angriff bemerkst?
Bleibe standhaft und gebe keine vertraulichen Informationen über dich oder die Firma an Fremde weiter. Auch wenn die Person unhöflich oder wütend wird oder wenn es scheint, dass die Person im selben Unternehmen arbeitet.
Lass dich nicht dazu überreden, eine bestimmte Webseite zu besuchen oder eine bestimmte Software zu installieren.
Streng vertrauliche Informationen solltest du nicht weitergeben – egal, ob per Telefon, per E-Mail oder wie auch immer. Kein seriöser Dienstleistungsanbieter wird je nach einem Passwort und Zugangsdaten fragen, dasselbe gilt für die Systemadministratoren deines Unternehmens.
Frage deinen Gegenüber ruhig nach seiner Identität und passe auf, was er dir sagt.
Erhältst du merkwürdige E-Mails, dann melde diese der IT oder dem Chef bzw. Der Chefin. Antworte nicht darauf. Gib keine Daten ein, klicke keine Links und versuche auch nicht, Anhänge herunterzuladen oder zu öffnen.
Besinne dich auf die Firmen-Policy und deren Richtlinien. Halte dich an die vom Unternehmen definierten Maßnahmen. Hilfe findest du auch im DsiN-Leidfaden zu Social Engineering.
Social Hacking hat da Erfolg, wo Daten unreflektiert weitergegeben werden. Getrieben von Deadlines und Stress reagieren viele Angestellte häufig unüberlegt. So finden AngreiferInnen mit den Methoden von Social Engineering immer wieder einen Weg ihnen Informationen zu entlocken und sich Zugang zu System zu verschaffen. Denn durch Naivität oder unüberlegtes Handeln lassen sich auch die besten Sicherheitssysteme umgehen.
Mit etwas gesundem Menschenverstand und logischem Nachdenken ist es möglich sich davor zu schützen. Dabei solltest du immer auf Nummer sicher gehen: lieber einmal zu viel nachfragen, einen Link zu wenig öffnen und einmal zu wenig Daten eingeben. Dir wird sicher niemand im Unternehmen einen Vorwurf machen, wenn du dich um Sicherheitsaspekte und Datenschutz kümmerst.
