Social Engineering: Die Königsdisziplin der Cyber-Kriminalität

  • in der Kategorie Security
  • veröffentlicht.
Cybercrime
Das unrechtmässige Erlangen firmenspezifischer, sensibler Daten ist mittlerweile Hauptgeschäft der meisten Verbrechen im Netz. Denkt man hier in erster Linie doch oft an aggressive Hackingmethoden, gibt es jedoch ein Werkzeug, das viele Unternehmen gerne unterschätzen. Es handelt sich um den Menschen oder, im erweiterten Sinne, den eigenen Mitarbeiter. Mit oft einfachen Manipulationsmethoden wird dieser zum Instrument und der Zugriff auf wertvolle Daten wie zum Beispiel Bankverbindungen oder sensible Kundeninformationen hergestellt. Doch wie funktioniert Social Engineering wirklich? Wie können Unternehmen sich erfolgreich schützen?

Was bedeutet Social Engineering?

Als Social Engineering versteht man sozialwissenschaftlich die zwischenmenschliche Beeinflussung zur Hervorrufung bestimmter Verhaltensweisen. Wird diese soziale Manipulation dazu verwendet, in fremde Computersysteme oder Netzwerke einzudringen, dann spricht man auch von Social Hacking. Der Mensch bildet hierbei die Schwachstelle und dient als Instrument für die Umgehung komplexer Sicherheitstechnologien. Diese gezielte Verhaltensbeeinflussung dient der Beschaffung sicherheitsrelevanter Daten oder anderer vertraulicher Informationen.
Menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft, Autoritätshörigkeit, Neugier oder Unsicherheit werden dabei gezielt ausgenutzt, um die gewünschten Daten zu erlangen. Angreifer treten auf diversen Wegen mit Opfern in Kontakt und sind, meist durch eine vorherige allgemeine Informationsbeschaffung, gut getarnt. Die Methoden gehen hier weit über Phishing und falsche Webseiten hinaus. Kontaktaufnahmen erfolgen über Chats, Telefon und oft auch in Person selbst. Sie sind nicht unüblich und verschaffen den Tätern eine grosse Bandbreite an Handlungsmöglichkeiten. Resultat ist, dass diese gut geschützten Daten ahnungslos von den eigenen Mitarbeitern weitergegeben werden.

Social Engineering belegt ersten Platz der Cyberverbrechen

Trotz moderner Sicherheitssysteme werden die Vorgehensweisen von Kriminellen im Netz immer effizienter. Verschiedenste Methodik wird flexibel an die Gegebenheiten des anvisierten Unternehmens angepasst und macht die geplanten Attacken oft schwer vorhersehbar.
Die Ergebnisse aus dem aktuellsten Global Security Report von Trustwave, einer der führenden Anbieter von Cybersicherheits- und verwalteten Sicherheitsdiensten, sind hier eindeutig. Unternehmen sind mit 54 % die beliebtesten Ziele von Cyberattacken. E-Commerce folgt mit 22 % und Angriffe auf Cloud-Dienste mit 20 %. Das Ergebnis basiert auf einer Analyse von über einer Billionen registrierten Fällen im Jahr 2019.

Bei über der Hälfte aller von Trustwave investigierten Fälle war Social Engineering die favorisierte Angriffsmethode. 2018 waren es im Vergleich noch knapp 33 %. CEO des Sicherheitsunternehmens Arthur Wong warnt vor einer globalen Gefahr. Seiner Aussage nach finden Täter immer „kreativere“ Wege, in Sicherheitssysteme einzudringen, da gleichzeitig auch die möglichen Angriffsflächen der Unternehmen immer mehr wachsen. Im Kampf gegen Cyberkriminalität sieht er es als absolute Notwendigkeit, Gefahren möglichst schnell festzustellen und zu eliminieren.

Vielfältige Methodik der Täuschungsmeister

Wie sieht ein derartiger Social Engineering Angriff nun aber wirklich aus? Welche aktuellen Vorgehensweisen der Täter sind bekannt? Die Liste an Beispielen ist lang, doch in der Praxis sind besonders folgende Methoden häufig vertreten:

  • Baiting:
    Baiting bezeichnet den Einsatz von physischen Ködern, wie zum Beispiel einem USB-Flash-Laufwerk. Dieser wird an einem bestimmten Ort im anvisierten Unternehmen gut sichtbar zurückgelassen. Verbindet ein Mitarbeiter das Laufwerk mit seinem Computer, wird auf diesem heimlich Malware installiert.
  • Phishing:
    Die Cyberkriminellen verstecken sich hier hinter einer vertrauenswürdigen Quelle und versuchen, gezielt Informationen zu erlangen oder Malware zu installieren. Die Kommunikationstools reichen von E-Mail über Chat-Anwendungen bis hin zu gefälschten Webseiten. Aktuelle Ereignisse wie zum Beispiel Naturkatastrophen werden ausgenutzt, um durch falsche Spendenaufrufe an Zahlungsinformationen der hilfsbereiten Opfer zu kommen.
  • Vishing (Voice Phishing):
    Die Täter versuchen per Telefon und mit zielgerichteter Kommunikation, detaillierte Informationen über ein bestimmtes Unternehmen zu sammeln. Zu den bekanntesten Beispielen zählen Vorfälle mit falschen Microsoft-Support-Mitarbeitern mit dem Versuch, sich auf die Weise Zugang zu fremden Rechnern zu verschaffen.
  • Watering-Hole-Attacke:
    Täter wählen Webseiten mit regelmässigen Besuchen aus. Präpariert mit Malware ist die Falle ist gestellt. Ein Beispiel wäre die Webseite eines Restaurants, bei dem viele Mitarbeiter gerne in ihrer Mittagspause Essen bestellen.

Die Liste weiterer Strategien innerhalb des Social Engineering ist lang und führt zu dem Schluss, dass ein Unternehmen sich nur durch Schulung der eigenen Mitarbeiter effizient schützen kann.

Vorsicht ist die Mutter der Porzellankiste

Doch wie können sich Unternehmen wirklich effizient gegen die sich rasch entwickelnden Methoden der Social Hacker schützen? Grundprinzip ist der sorgsame Umgang mit wertvollen Informationen. Zusätzlich gilt es, Bewusstsein im Unternehmen für die Gefahr zu schaffen. Jeder kann sich in einem Menschen täuschen beziehungsweise von jedem getäuscht werden. Eine gezielte Auseinandersetzung mit allen Formen des Social Hackings und die Sensibilisierung aller Mitarbeiter für die diversen Methoden ist der Schlüssel für effiziente Präventivmassnahmen.

Für eine umfassende Analyse aller unternehmensinternen Sicherheitsprozesse gibt es die Möglichkeit eines fachlichen Audits. Sicherheitsexperten überprüfen dabei die Security Awareness aller Mitarbeiter. Aufgrund dieser Ergebnisse werden zukünftige Schulungen für die Mitarbeiter erstellt und optimiert. Als reaktive Massnahmen hingegen bezeichnet man die Analyse der Schwachstellen nach einem Angriff. Der Social Engineering Audit Report dient als zusammenfassender Abschlussbericht aller Ergebnisse. Ein erfolgreiches Schutzkonzept basiert somit auf holistischer Unternehmenssensibilisierung und umfassender Bestandsanalyse. Denn nur geschulte Mitarbeiter können Social Engineers entlarven und potentielle Cyberattacken abwehren.
1. April 2025Webseite

Warum deine Webseite 2025 fit für die Zukunft sein muss

Im Jahr 2025 entscheidet deine Webseite darüber, ob du online erfolgreich bist – gerade in der Schweiz, wo hohe Standards

31. März 2025SEO

Wenn organischer Traffic zurückgeht: 10 Gründe und was zu tun ist

Organischer Traffic ist das Herzstück einer erfolgreichen SEO-Strategie. Wenn die Zugriffszahlen plötzlich einbrechen, kann das viele verschiedene Ursachen haben. Hier

Weiterlesen
25. März 2025Security

Cybermobbing im Visier: Wie die Schweiz auf digitale Belästigung reagieren will

Cybermobbing – eine Form der digitalen Belästigung, die immer mehr Menschen betrifft. Nicht nur in der Schweiz ist es zu

Weiterlesen
12. März 2025KI

Scam Anrufe? Nicht mit Daisy – Wie die KI-Oma von O2 Betrügern die Zeit stiehlt

Wer kennt sie nicht, die nervigen Scam Anrufe, bei denen vermeintliche Banken oder Behörden versuchen, uns mit leeren Versprechungen, Vorwänden

Weiterlesen
Zum Inhalt springen