In einer zunehmend digitalen Welt, werden natürlich auch die digitalen Angriffe und Ihre Präsenz in den Medien immer mehr. Die Systeme werden immer schneller, stärker und besser überwacht. Die Software Sicherheitslücken werden geschlossen, sobald sie entdeckt werden und die Zugänge zu wesentlicher Hardware sind stark eingeschränkt. Allerdings scheint es manchmal, als würden dabei andere wichtige Punkte außer Acht gelassen: Zum Beispiel die Mitarbeiter eines Unternehmens. Denn sie haben für gewöhnlich Zugriffe auf gewisse Teile der Unternehmensinfrastruktur, werden häufig aber nicht oder nur unwesentlich in Bezug auf IT Sicherheit geschult. Das bedeutet, dass sie sehr leicht zu einer großen Schwachstelle des Unternehmens werden können. Insbesondere dann, wenn Angreifer dieses Potenzial erkennen, und gezielt die Mitarbeiter mit Social Engineering Angriffen attackieren.
Was ist Social Engineering?
Zuerst jedoch sollten wir den Begriff des Social Engineering erklären. Social Engineering ist Englisch und wird häufig synonym verwendet mit dem Begriff des Human Hacking. Das heißt, die Angriffe auf Computersysteme erfolgen nicht länger über die Computer Systeme selbst, sondern über die User, die diese Systeme verwenden, eben beispielsweise Mitarbeiter eines Unternehmens.
Dabei werden typisch menschliche Verhaltensmuster gnadenlos ausgenutzt, wie Vertrauen, Angst, Respekt vor Autoritäten oder Hilfsbereitschaft. Social Engineering ist seit jeher die Grundlage für Betrugsmaschen, selbst in vor-digitalen Zeitaltern und hat jetzt nur eine weitere Dimension erhalten.
Wie funktioniert Social Engineering?
Grundsätzlich ist allen Social Engineering Angriffen gemein, dass sie in jedem Fall versuchen, die Absichten und die (wahre) Identität des Täters zu verschleiern. Ein ganz einfaches Beispiel wäre, dass sich der Social Engineer als Techniker einer Telekommunikationsfirma ausgibt und damit Zugang zu wesentlichen Informationen bekommt, wie beispielsweise sensible Zugangsdaten oder User dazu bringt auf eine speziell vorbereitete Webseite zu navigieren.
Häufig verwendet wird die Masche des angeblichen Systemadministrators, der dir dabei helfen möchte, ein scheinbares Problem wie eine “Sicherheitslücke” oder einen “Systemfehler” zu beheben. Dafür benötigt er “natürlich” dein Passwort und schon kann er damit tun und lassen was er möchte.
Oft werden für solche Angriffe Phishing Mails verwendet, damit das Opfer auf spezielle Webseiten weitergeleitet wird.
Wie kannst Du Dich schützen?
Da die größte Sicherheitslücke im Social Engineering der Mensch ist, musst du in jedem Fall dich als Privatperson oder deine Mitarbeiter im Unternehmen schulen. Damit ist die Gefahr von Social Engineering natürlich nicht gebannt, aber die Wahrscheinlichkeit einer erfolgreichen Attacke sinkt gewaltig. Wenn du dich nun fragst, wie du damit beginnen kannst, haben wir hier einige wesentliche Punkte, wie du dich und deine Mitarbeiter auf mögliche Social Engineering Angriffe vorbereiten kannst;
Telefon Auskünfte
Regel Nummer eins: Sensible Auskünfte werden nie, nie, NIE über das Telefon erteilt. Damit kann im Schadensfall nämlich nichts mehr bewiesen werden. Das bedeutet, egal welche Anfrage zu beantworten ist, lass dir alle Anfragen immer von deinem Gesprächspartner per Mail schicken. Das mag vielleicht auf den ersten Blick übertrieben klingen, aber häufig ist für Betrüger jede noch so kleine Information wichtig, die ihnen ein immer besseres Bild deines Verhaltens oder deiner Firma liefern, wodurch natürlich auch andere Mitarbeiter in der Firma, oder Freunde und Verwandte von dir leichter getäuscht werden können.
Komplexe und starke Passwörter
Regel Nummer zwei: Du solltest niemals Passwörter verwenden, die leicht zu erraten sind. dazu gehören insbesondere personenbezogene Daten, wie dein Geburtsdatum, dein Name, Spitzname, Mädchenname der Mutter, Dorf aus dem du stammst, oder was auch immer. Das sind alles Informationen, die sich relativ leicht herausfinden lassen.
Anders hingegen verhält sich das bei Passwörtern die komplett zufällig gewählt sind. Diese sind sehr schwer herauszufinden, da sie grundsätzlich alles beinhalten können: Buchstaben, Zahlen, Sonderzeichen und so weiter.
Hier solltest du aber auf jeden Fall darauf achten, dass du nie dasselbe Passwort verwendest. Jeder deiner verwendeten Dienste, sollte mit unterschiedlichen Passwörtern gesichert sein, damit ein Angreifer - sollte er ein Passwort knacken - nur Zugriff auf einen einzigen deiner Dienste hat, aber nicht alle deine Accounts sofort übernehmen kann.
Wenn dir das jetzt sehr kompliziert erscheint: Keine Bange, du kannst für die Aufbewahrung deiner Passwörter einen Passwort Manager benutzen.
Schulung der einzelnen Mitarbeiter
Meistens muss diese Schulung nicht besonders umfangreich sein. Häufig ist es völlig ausreichend, den Mitarbeitern regelmäßig die Bedrohung durch Social Engineering Attacken in Erinnerung zu rufen. Sie sollten zumindest mit den grundlegenden Regeln vertraut sein, wie niemals Links anzuklicken, die ihnen seltsam erscheinen, keine Dateien und Anhänge öffnen aus Emails die von unbekannten Absendern stammen und so weiter.
Gesundes Misstrauen entwickeln
Je größer das Unternehmen ist, desto schwieriger ist es natürlich alle Kollegen persönlich zu kennen. Das führt unweigerlich dazu, dass sich Cyber Kriminelle deutlich leichter tun mit Social Engineering Angriffen, indem sie sich als Mitarbeiter des Unternehmens ausgeben. Dennoch kannst du dich hier ganz einfach schützen, indem du sehr vorsichtig bist gegenüber Personen, die du nicht kennst, und insbesondere dann, wenn sie sehr gezielt nach sensiblen Daten oder Informationen fragen. Dann sollten bei dir sofort alle Alarmglocken schrillen.
Sicherheitsupdates
Auch die technische Seite kann hier nicht ganz außer Acht gelassen werden. Du solltest in jedem Fall deine Systeme und Programme regelmäßig aktualisieren. Natürlich kann es super nervig sein, wenn Updates lange dauern, oder die Arbeit unterbrechen, aber sie sind ein integraler Bestandteil jeglicher IT Sicherheit und werden deinen Computer gut vor möglichen Angriffen schützen.
Welche Methoden werden von Social Engineers häufig verwendet?
Das perfide am Social Engineering ist, dass es nicht die “eine” Methode oder den “einen” Königsweg gibt. Wie auch alle anderen Arten von Cyber Kriminellen sind Social Engineers sehr einfallsreich und denken sich immer wieder neue Angriffe aus.
Die wichtigsten und am häufigsten verwendeten Methoden sollten aber dennoch erwähnt werden:
Phishing
Die wohl bekannteste Form ist die Aussendung von Phishing Mails. Hier gibt es zwei Arten. Das klassische Phishing, das sehr weit gestreut wird, und das Spear-Phishing. Beim klassischen Phishing ist es häufig relativ leicht zu erkennen, dass es sich um Fake-Mails handelt. Häufig ist die Grammatik unpassend, sie sind gespickt mit Rechtschreibfehlern und allgemein wirken sie sehr allgemein gehalten. Das Ziel ist hier, den Angriff möglichst breit zu streuen um möglichst viele potenzielle Opfer zu erreichen.
Anders beim Spear-Phishing. Hier werden gezielt Informationen gesammelt und verwendet, um eine einzige Person möglichst zielsicher zu verleiten, den Anweisungen der Cyber Kriminellen Folge zu leisten, beispielsweise indem vorgegeben wird, dass es sich beim Absender um den Vorgesetzten, oder CEO handelt.
