Social Engineering ist eine der bedeutendsten Bedrohungen für die Sicherheit von Unternehmen. In diesem Artikel soll geklärt werden, was Social Engineering ist und wodurch Social Engineering zum Risikofaktor Ihrer Unternehmens-IT werden kann. Außerdem schlagen wir Ihnen Maßnahmen vor, mit denen Sie sich und Ihre Mitarbeiter besser vor Social-Engineering-Angriffen schützen.

Wie Social Engineering funktioniert

Social Engineering ist ein Oberbegriff für verschiedene Angriffstechniken, die primär nicht-technische Methoden einsetzen, um Zugang zu Gebäuden, Systemen oder Daten zu erhalten. Das erste Ziel dieser Angriffe ist dabei immer ein Mensch. Die menschliche Psychologie auszunutzen, hat dabei Konjunktur: Laut der 9. „Cost of Cybercrime“-Studie, der Unternehmensberatung Accenture und dem Ponemon Institute hat sich die Zahl der Cyber-Angriffe allein im letzten Jahr um 18 Prozent gesteigert, 4 Prozent davon entfielen auf Ransomware-Angriffe. Ransomware stellt in vielen Fällen die eigentliche Attacke dar, wenn das Social Engineering erfolgreich war. Der finanzielle Schaden der 40 befragten deutschen Unternehmen belief sich laut der Umfrage auf 13 Mio. US-Dollar. Der Gesamtschaden der deutschen Wirtschaft dürfte weit darüber liegen.

Es gibt zwei Haupttechniken, an persönliche und unternehmensspezifische Informationen von Mitarbeitern zu kommen: Phishing und Vishing (Voice-Phishing):

Phishing

Phishing (Password Hacking und Fishing) beschreibt eine Reihe von Techniken, die darauf ausgerichtet sind, sensible Daten über Unternehmen und Personen zu erbeuten oder Schadsoftware in Rechner einzuschleusen. Allen Phishing-Techniken ist eigen, dass sie ihrem Phishing-Opfer einen „Köder“ anbieten, der ein bestimmtes Bedürfnis anspricht und das Vertrauen der Zielperson ausnutzt. Als Plattform für das Auslegen der digitalen Köder nutzen Angreifer unter anderem (gefälschte) E-Mails, (gefälschte) Webseiten, Messenger und Social Media sowie in zunehmendem Maße auch Apps auf mobilen Endgeräten. Und während sich viele dieser Attacken in regelrechter Kampagnen-Form auf eine unbestimmte Menschenmenge und häufig auf private Daten richtet, gibt es darüber hinaus auch sehr gezielte Angriffe, die einzelne Personen zum Ziel haben. Man spricht dann von Spear Phishing oder Whaling (wenn das Ziel besonders hochkarätig ist). Diese beiden Formen des Phishings sind für Unternehmen besonders gefährlich, da sie in der Regel das eigentliche Ziel dieser Angriffe sind.

In der Praxis verläuft ein erfolgreicher Phishing-Angriff häufig so: Einer Ihrer Mitarbeiter öffnet eine scheinbar harmlose E-Mail und klickt auf einen Link, der zu einer bösartigen Website führt oder öffnet einen Anhang, der bösartigen Code enthält. Und schon ist Ihr System gefährdet. Dank Social Media und anderer Online-Ressourcen sind persönliche Interessen und andere Informationen zu Ihren Mitarbeitern und Ihrem Unternehmen zu großen Teilen frei verfügbar, wodurch immer persönlichere Ansprachen und täuschend echte Anschreiben möglich werden. All das erhöht die Wahrscheinlichkeit, dass Ihr Mitarbeiter Mails öffnet und Links anklickt, die er oder sie besser in Ruhe gelassen hätte.

Vishing

Vishing geht einen Schritt weiter: Der Angreifer ruft jemanden (meist in ihrem Unternehmen) an, wie z.B. den IT-Helpdesk, und mit ein wenig Informationen über eine Person (z.B. Name und Geburtsdatum) erhält er entweder Zugangsdaten oder weitere Informationen über die Person, z.B. eine Personalnummer oder nicht-öffentliche E-Mail-Adresse. Und mit jedem Anruf findet der Angreifer eine weitere Information heraus, die er nutzen kann, um einen gezielten Angriff auf die Person auszuüben oder sich selbst als diese Person auszugeben, Stichwort „CEO-Fraud“.

Was getan werden kann (und getan werden sollte)

Sicherheitsrichtlinien und Betriebsverfahren allein können kritische Ressourcen nicht ausreichend schützen. Social-Engineering-Angriffe werden immer ausgefeilter und gerade neue Mitarbeiter sind besonders anfällig für Angriffe von außen. Was also tun? Aufgrund der Art der Angriffe empfiehlt sich eine doppelte Strategie, nämlich eine technologische Aufrüstung und eine personelle Sensibilisierung.

Sensibilisierung der Mitarbeiter in drei Schritten

Der Titel dieses Artikels spricht plakativ von der „Schwachstelle Mensch“. Social Engineering nutzt das Vertrauen und die Ängste von Mitarbeitern gezielt aus, um an Informationen zu kommen. Stärken Sie das Wissen um die bekanntesten Angriffstechniken und sensibilisieren Sie Ihre Mitarbeiter in den Themenfeldern Sicherheit und Datenschutz und verwandeln Sie die „Schwachstelle“ in Ihre erste Verteidigungslinie:

  1. Erfassen Sie den Wissensstand zur IT-Sicherheit und zu Social Engineering Ihrer Mitarbeiter. Helfen Sie Ihren Mitarbeitern zu verstehen, warum die Diskretion jedes einzelnen von zentraler Bedeutung für die Sicherheit des Unternehmens ist.
  2. Führen Sie regelmäßige Schulungen und Tests durch, die sich zuerst an die „riskantesten“ Mitarbeiter und/oder die gängigsten Verhaltensweisen richten. Riskant ist dabei nicht gleichbedeutend mit uninformiert: Je mehr Befugnisse und Zugriffe jemand im Unternehmen hat, desto interessanter ist er für Angreifer.
  3. Befähigen Sie Ihre Mitarbeiter, potenzielle Bedrohungen zu erkennen und selbstständig korrekte Sicherheitsentscheidungen zu treffen, indem Sie interaktive Trainingsmethoden und simulierte Social-Engineering-Attacken miteinander kombinieren.

Sofortmaßnahmen: Was Sie unbedingt beachten sollten

Im Folgenden geben wir Ihnen einen Überblick, was Sie beachten sollten, um möglichst kein Opfer einer Social-Engineering-Attacke zu werden:

  • E-Mails, die Social-Engineering-Absichten haben, weisen in der Regel eine oder mehrere der folgenden Eigenschaften auf:
    • In der Mail wird mit großer Dringlichkeit auf die Mitteilung persönlicher oder finanzieller Informationen gedrängt.
    • Der Adressat wird mit Drohszenarien konfrontiert.
    • Es wird auf die Notwendigkeit der Geheimhaltung hingewiesen.
    • Der Absender ist unbekannt. Dies wird möglicherweise sogar begründet („Habe gerade keinen Zugang zum Firmenrechner …“ / „Es soll keiner mitbekommen, daher von meiner Privatadresse …“).
  • Überwachen Sie Ihre Online-Geschäftskonten regelmäßig, um sicherzustellen, dass keine unbefugten Transaktionen durchgeführt wurden, hier kann es sinnvoll sein, das 4-Augenprinzip anzuwenden, sprich: Bei riskanten Überweisungsaufträgen per Mail (bei denen nie mit letzter Sicherheit feststeht, von wem sie kommen, müssen wenigstens zwei Mitarbeiter der Überweisung zustimmen.
  • Signieren Sie Ihre E-Mails digital. Das hat zwei Vorteile: 1. Kann Ihr Adressat durch einen Prüfsummenvergleich verifizieren, dass Sie diese E-Mail tatsächlich gesendet haben und 2. dass die Mail auf dem Weg nicht verändert wurde.
  • Nutzen Sie E-Mail-Verschlüsselung und folgen Sie keinen unbekannten Links, laden Sie keine Dateien herunter und öffnen Sie keine E-Mail-Anhänge von unbekannten Absendern. Das gilt leider auch im Business-Kontext. Wenn man den Kontakt nicht kennt, die Datei nicht angefordert hat oder der Zusendung nicht persönlich zugestimmt hat, ist Vorsicht geboten. Damit ist natürlich nicht der übliche Austausch mit dem Kunden gemeint. Aber beispielsweise Anhänge an Werbemails, die man nicht angefordert hat, insbesondere solche, die im Spam-Ordner gelandet sind, stellen ein erhöhtes Risiko dar. Hier sollte man zunächst Vorsicht walten lassen.
  • Achten Sie auf sichere Verbindungen und führen Sie Online-Transaktionen nur auf Websites durch, die das https-Protokoll verwenden.
  • Geben Sie niemals persönliche Daten am Telefon heraus, wenn Sie einen Anruf erhalten. Misstrauen Sie E-Mails, in denen Sie aufgefordert werden, eine bestimmte Telefonnummer zu kontaktieren, um personenbezogene Daten zu aktualisieren.
  • Teilen Sie keine persönlichen oder finanziellen Informationen per E-Mail.
  • Misstrauen Sie Webformularen, die personenbezogene Daten anfordern, auch wenn E-Mail und Seite seriös wirken. Phishing-Websites sind oft exakte Kopien von echten Websites.
  • Setzen Sie Spamfilter, Antivirensoftware, Firewall ein und halten Sie alle Systeme auf dem neuesten Stand.
  • Achten Sie bei der Nutzung sozialer Netzwerke darauf, niemandem zu vertrauen und nur eine begrenzte Menge an Informationen preiszugeben. Veröffentlichen Sie niemals persönliche Informationen, wie Urlaubsplanung und Hausfotos. Details, die Sie teilen, können genutzt werden, um Ihre Identität zu stehlen.

Diese Maßnahmen oder Grundregeln sind ein guter erster Schritt in einen sicheren Umgang mit Informationen. Halten Sie Ihr Wissen up to date und folgen Sie aktuellen Blogs und Informationsseiten zum Thema Sicherheit – so erfahren Sie schnell von neuen Maschen und Bedrohungen. Ein Tipp: Die Website des Bundesamts für Sicherheit in der Informationtechnik enthält wichtige Informationen.

BYOD absichern

Die oben genannten Vorsichtsmaßnahmen sind vor allem deswegen relevant, da es immer selbstverständlicher geworden ist, die mobilen Endgeräte der Mitarbeiter in die Unternehmens-IT einzubinden.

Das sogenannte BYOD-Modell (Bring your own device) hat verschiedene Vorteile und ein paar entscheidende Nachteile. Zu den Vorteilen: Der Einsatz privater Geräte spart Geld und Zeit. Die Geräte sind bereits angeschafft, verursachen also keine Beschaffungs- und Verwaltungskosten und der Umgang mit den Geräten ist den Mitarbeitern vertraut.

Der Nachteil: Kaum ein Benutzer stellt an seine private Gerätenutzung dieselben Sicherheitsanforderungen wie sie für Unternehmen gelten. Unsichere Passwörter, ggf. die Installation von Apps aus unbekannten Quellen, die Nutzung des Geräts durch Dritte wie Freunde und Familie, all das sind Sicherheitsrisiken, die durch die parallele Nutzung der Geräte im Privatleben entstehen.

Hilfreiche technische Lösungen können nicht vor Social Engineering schützen. Aber richtig angewandt, sind sie in der Lage, Social Engineering zu erschweren und vor allem die Folgen zu minimieren. Gleichzeitig ist ein Mindestmaß an technologischen Sicherheitsvorkehrungen zwingend vonnöten, da die mobilen Endgeräte Ihrer Mitarbeiter in den Händen Ihrer Angreifer sicherheitsrelevante Werkzeuge darstellen.

Der Ansatz von Materna Virtual Solution

Um die technische Sicherheit für das mobile Arbeiten deutlich zu erhöhen, bringt Sie Materna Virtual Solution einen Schritt weiter: Durch die Container-App SecurePIM können Sie auf den Endgeräten Ihrer Mitarbeiter virtuelle Umgebungen erzeugen, die vollständig von der privaten Umgebung der Endgeräte entkoppelt sind. So werden Sicherheitslücken auf den Endgeräten Ihrer Mitarbeiter nicht zu Sicherheitslücken für die Unternehmens-IT. Das Betriebssystem und alle privaten Anwendungen bleiben dank SecurePIM außen vor und können nicht mit den Anwendungen Ihrer IT interagieren.

Falls Sie über aktuelle Blogartikel informiert werden möchten, stehen Ihnen verschiedene Möglichkeiten zur Auswahl, um dem Blog zu folgen:

Newsletter

Alle neuen Beiträge automatisch in Ihr Postfach: