Social Engineering ist eine immer präsenter werdende Bedrohung in der Welt der Informationssicherheit. Indem Angreifer psychologische Manipulationstechniken nutzen, um vertrauliche Informationen zu erlangen, stellen sie eine ernsthafte Gefahr für Unternehmen aber auch für Einzelpersonen dar. In diesem Artikel beleuchten wir die unterschätzte Gefahr des Social Engineerings und betrachten Beispiele und echte Fälle, um Aufmerksamkeit in diesem Bereich zu schaffen.
«Beim Social Engineering nutzt der Täter den "Faktor Mensch" als vermeintlich schwächstes Glied der Sicherheitskette aus, um seine kriminelle Absicht zu verwirklichen.»
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Beim Social Engineering handelt es sich nicht um technische Schwachstellen, sondern um die psychologische Manipulation menschlicher Emotionen und Verhaltensweisen. Menschliche Eigenschaften wie Vertrauen, Angst, Hilfsbereitschaft oder Respekt vor Autorität werden ausgenutzt, damit die Angreifer ihre Ziele erreichen können. Die Absicht besteht meistens darin, das Opfer zu verleiten, um vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren. Dies geschieht häufig so, dass das Opfer auch nach der durchgeführten Handlung nicht weiss, dass es getäuscht wurde.
Phishing ist eine Art von Social Engineering. Beim Phishing tritt der Angreifer üblicherweise per E-Mail mit seiner Zielperson in Kontakt. Er täuscht vor, eine andere Person zu sein und Vertrauen aufzubauen. Mit einer Handlungsaufforderung häufig gefolgt von guten Begründungen, Zeitdruck und möglichen Konsequenzen soll die Zielperson schliesslich zur Ausführung einer schädlichen Aktion bewegt werden.
Social Engineering ist der Überbegriff für solche Vorgehensweisen und ist viel weitreichender als Phishing. Die Kontaktaufnahme mit der Zielperson kann auch per SMS (Smishing), Telefon (Vishing) und in direktem Kontakt stattfinden.
Stellen Sie sich folgendes Szenario in Ihrem Unternehmen vor:
- Eine gut gekleidete Person betritt den Unternehmensstandort und gibt sich als Investor aus, der zu früh vor Ort ist und auf ein Meeting mit der Geschäftsleitung wartet. Er bittet um das WLAN-Passwort und möchte bereits im Sitzungszimmer warten, um weiterarbeiten zu können.
Oder eine andere Situation:
- Eine Vertretung der Feuerwehr zeigt ihren Feuerwehr-Ausweis und verlangt den Schlüssel, um eine Wasserleitung im Serverraum überprüfen zu können.
Die möglichen Szenarien sind unzählig und vielfältig. Viel wichtiger ist es zu wissen, wie man Angreifer in solchen Situationen entlarven kann und das Risiko für einen Schadensfall minimieren kann.
In erster Linie gilt es, organisatorische Massnahmen zu implementieren, um direkte Social Engineering Angriffe so früh wie möglich abzuwehren. Als grundlegendes Beispiel sollten Besuche und Termine immer mit Namen und Zeitangaben vorangekündigt und protokolliert werden. Zudem sollten Besucher nie allein gelassen werden, es sei denn, man richtet einen spezifischen Wartebereich mit einem gesonderten WLAN-Netz ein, das nur für Besucher zugelassen ist.
Im zweiten Schritt ist es wichtig, alle Mitarbeitenden bezüglich diesen Massnahmen sowie auch weiterem Verhalten zu sensibilisieren.
Weitere Bereiche des Social Engineerings, zu welchen Sensibilisierung notwendig ist:
- Hacking-Gadgets
- Clean Desk Policy
- Passwörter
- Datenschutz
- fremde USB-Sticks und Kabel
- korrekte Entsorgung von Dokumenten und Datenträgern
- verschiedene Themen der künstlichen Intelligenz (KI). KI ermöglicht Angreifern eine Vielzahl neuer und auch besserer Angriffsmethoden wie zum Beispiel Voice-Cloning.
Möchten Sie gerne mehr über Social Engineering erfahren? Wir haben eine Reihe von detaillierten Security-Awareness-Kursen erstellt, welche Sie sich komplett kostenlos ansehen können. Fördern Sie Ihre Aufmerksamkeit und Ihr Bewusstsein im Unternehmen als auch privat um sich proaktiv vor Social Engineering und auch anderen Gefahren schützen.
Schauen Sie vorbei unter www.cyberphant.com.