Schwachstelle Mensch: Warum Social Engineering so gefährlich ist

Warum sich lange mit der Technologie herumschlagen, wenn der Weg in ein Unternehmen doch auch über die Mitarbeiter führen kann? So oder so ähnlich dürften inzwischen viele Hacker denken. Denn Fakt ist: Für Cyber-Kriminelle gestaltet es sich aufgrund der immer besser werdenden technischen Abwehr von Unternehmen immer schwieriger, sich in fremde Systeme zu hacken. Die Manipulation eines Mitarbeiters oder eines Kunden erscheint da schon deutlich einfacher.

Dieses Ausnutzen menschlicher Schwachstellen hat sich als sogenanntes Social Engineering einen Namen gemacht. Genauer gesagt geht es dabei darum, Menschen mittels ausgeklügelter Tricks über die eigene Identität und Absicht hinwegzutäuschen. Neu ist Social Engineering dabei allerdings nicht: Auch schon in der Vergangenheit wurden Menschen manipuliert, zum Beispiel über das Telefon – dank des Internets eröffnen sich Betrügern heute jedoch Unmengen neuer, noch einfacherer Betrugsmöglichkeiten.

Welche Strategie verfolgen Täter beim Social Engineering?

Die Absicht, die die Täter mit Social Engineering verfolgen, kann verschiedenster Natur sein: Während der eine versucht, an Unternehmensinterna zu gelangen, möchte der nächste Malware in Umlauf bringen, und wieder ein anderer will Mitarbeiter zur Überweisung von Geld veranlassen.

Das Cyber-Security-Unternehmen Proofpoint veröffentlicht regelmäßig eine Studie namens “Der Faktor Mensch”. In der aktuellen Version von 2018 fasst der Sicherheitsexperte treffend zusammen, wie die Opfer beim Social Engineering im Normalfall hereingelegt werden:

  • Die Täter stellen ein Gefühl der Dringlichkeit her.
  • Die Täter ahmen vertrauenswürdige Marken nach.
  • Die Täter missbrauchen die natürliche Neugier des Menschen.
  • Die Täter nutzen eingeprägte Reaktionen auf häufige Ereignisse, zum Beispiel Software-Updates, aus.

Der Erfolg von Social Engineering ist dabei natürlich in großen Teilen von der Vorgehensweise der Betrüger abhängig. Groß angelegte, allgemein gehaltene Kampagnen sind für die Opfer gewöhnlich einfacher als Betrugsversuch zu erkennen als solche, die sich spezifisch an wenige oder sogar nur einen einzelnen Mitarbeiter richten – Ausnahmen bestätigen hier jedoch die Regel.

Woran erkennt man Social Engineering im Arbeitsalltag?

Sie ahnen es wahrscheinlich schon: Die eine Social-Engineering-Masche gibt es nicht. In der digitalen Geschäftswelt lauern stattdessen unterschiedlichste Bedrohungen, die auf das menschliche Versagen der Mitarbeiter eines Unternehmens, aber auch dessen Kunden, abzielen.

Phishing

Auf die große Gefahr, die von Phishing ausgeht, haben wir in unserem E-Mail Security Whitepaper bereits hingewiesen. Das möglichst originalgetreue Fälschen von E-Mails oder URLs, um an Passwörter, Zahlungsinformationen oder andere sensible Daten eines Nutzers oder eines Unternehmens zu gelangen, war 2018, mit über 210 Millionen bekannten Fällen 2018, laut der Trend-Micro-Studie: Phishing ist die beste Angriffsmethode eine der erfolgreichsten Social Engineering Methoden. Einfluss auf diese Entwicklung dürfte nicht zuletzt auch das Spear Phishing genommen haben, bei dem noch individualisierter und zielgerichteter vorgegangen wird.

CEO Fraud

Ziel des CEO Fraud, einer Abwandlung des klassischen Phishings, ist es, die Mitarbeiter eines Unternehmens so zu manipulieren, dass sie in gutem Glauben Geld an einen Betrüger überweisen. Dies gelingt, indem sich die Täter in einer E-Mail als Geschäftsführer, Bereichsleiter oder ähnliches ausgeben und vortäuschen, aus einem triftigen Grund schnellstmöglich Geld zu benötigen – unter Angabe einer falschen Bankverbindung versteht sich. Bislang sollen CEO Frauds mehr als 3 Milliarden US-Dollar Schaden verursacht haben, was aus dem SEO Fraud Prevention Manual hervorgeht.

Angler-Phishing

Natürlich bietet auch das Social Web Cyber-Kriminellen eine geeignete Plattform, Unternehmen zu schaden. Beim sogenannten Angler-Phishing fangen Betrüger die Kommunikation zwischen Nutzern und Unternehmen ab, um Zugang zu vertrauenswürdigen Informationen zu erhalten. Sie fragen sich, wie das funktionieren soll? Die Täter geben sich als vermeintlicher Unternehmensaccount aus und leiten die Konversation so auf ihr Fake-Profil um. Natürlich betrifft Angler-Phishing in erster Linie den Nutzer, trotzdem stellt es auch für Unternehmen eine große Gefahr dar: Ihnen drohen nämlich in einem solchen Fall Vertrauens-, Image- und Umsatzverluste.

Typosquatting

Bei der Eingabe einer Domain kann sich schnell einmal ein Tippfehler einschleichen – das ist menschlich. Jedoch nutzen einige Cyber-Kriminelle dieses “Fehlverhalten” schamlos aus. Typosquatting heißt die Social-Engineering-Masche, bei der Betrüger Domains registrieren, die wahrscheinliche Tippfehler oder alternative Schreibweisen bekannter Domains berücksichtigen, um so Nutzer auf ihre Webseite zu leiten. Diese Fake-Domains verbreiten nicht selten Malware, phishen nach sensiblen Daten oder verfolgen sonstige kriminelle Zwecke. Aus diesem Grund sind sie ebenso gerne Teil von Phishing-E-Mails. Oft nutzen die Betrüger Typosquatting aber auch dafür, E-Mail-Adressen zu fälschen. Somit liegt die Bedrohung für Unternehmen nicht nur im Verlust von Vertrauen, Image und Umsatz, sondern auch in der potenziellen Täuschung eigener Mitarbeiter durch Typosquatting-Domains und -E-Mails.

Die genannten vier Maschen bilden natürlich nur eine kleine Auswahl der heutigen Social-Engineering-Möglichkeiten ab. Insbesondere durch den technologischen Fortschritt sehen sich Unternehmen immer wieder neuen Formen des Social Engineerings ausgesetzt. Vorsicht ist also oberstes Gebot. 

Maßnahmen gegen Social Engineering

Bleibt die Frage, wie sich Unternehmen vor Social Engineering schützen können. Mitarbeiterschulungen sind hier sicherlich ein guter Anfang. In Anlehnung an die Grundregeln des Bundesamts für Sicherheit in der Informationstechnik empfehlen wir folgendes Wissen an die Belegschaft zu übermitteln:

  • Vertrauliche Informationen, wie Passwörter oder Bankdaten, dürfen keinesfalls per E-Mail oder Telefon weitergegeben werden.
  • Besteht Unschlüssigkeit, ob sich hinter einer E-Mail ein Betrüger verbirgt, lautet die Devise: Lieber nicht reagieren, als auf die Betrugsmasche hereinzufallen. In wichtigen Fällen wird der Absender den Kontakt über einen anderen Weg suchen.
  • Bei vermeintlich dringenden E-Mails empfiehlt es sich, die Authentizität des Absenders telefonisch zu überprüfen.
  • Weder persönliche noch geschäftliche Informationen sollten in sozialen Medien geteilt werden, da diese für Täuschungszwecke missbraucht werden könnten.
  • Auffällige Vorkommnisse müssen unverzüglich der IT-Abteilung gemeldet werden.

Darüber hinaus haben Sie als Unternehmen unter anderem folgende Möglichkeiten:

  • Verschlüsseln und signieren Sie Ihre E-Mail-Kommunikation digital, zum Beispiel über S/MIME-Zertifikate, und schützen Sie sich so vor Phishing unterschiedlicher Art.
  • Registrieren Sie potenzielle Tippfehler-Domains selbst und leiten Sie diese auf Ihre Webseite um, um sich den Gefahren des Typosquattings zu entziehen.
  • Halten Sie Fake-Accounts in sozialen Medien stets im Blick und melden Sie diese unter Umständen, um Angler-Phishing und Social-Web-Bedrohungen zu vermeiden.
  • Und zu guter Letzt: Leben Sie das gewünschte Cyber-Security-Bewusstsein selbst vor.

zurück zur Übersicht