Social Engineering: Die Königsdisziplin der Cyber-Kriminalität

  • in der Kategorie Security
  • veröffentlicht.
Cybercrime
Das unrechtmässige Erlangen firmenspezifischer, sensibler Daten ist mittlerweile Hauptgeschäft der meisten Verbrechen im Netz. Denkt man hier in erster Linie doch oft an aggressive Hackingmethoden, gibt es jedoch ein Werkzeug, das viele Unternehmen gerne unterschätzen. Es handelt sich um den Menschen oder, im erweiterten Sinne, den eigenen Mitarbeiter. Mit oft einfachen Manipulationsmethoden wird dieser zum Instrument und der Zugriff auf wertvolle Daten wie zum Beispiel Bankverbindungen oder sensible Kundeninformationen hergestellt. Doch wie funktioniert Social Engineering wirklich? Wie können Unternehmen sich erfolgreich schützen?

Was bedeutet Social Engineering?

Als Social Engineering versteht man sozialwissenschaftlich die zwischenmenschliche Beeinflussung zur Hervorrufung bestimmter Verhaltensweisen. Wird diese soziale Manipulation dazu verwendet, in fremde Computersysteme oder Netzwerke einzudringen, dann spricht man auch von Social Hacking. Der Mensch bildet hierbei die Schwachstelle und dient als Instrument für die Umgehung komplexer Sicherheitstechnologien. Diese gezielte Verhaltensbeeinflussung dient der Beschaffung sicherheitsrelevanter Daten oder anderer vertraulicher Informationen.
Menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft, Autoritätshörigkeit, Neugier oder Unsicherheit werden dabei gezielt ausgenutzt, um die gewünschten Daten zu erlangen. Angreifer treten auf diversen Wegen mit Opfern in Kontakt und sind, meist durch eine vorherige allgemeine Informationsbeschaffung, gut getarnt. Die Methoden gehen hier weit über Phishing und falsche Webseiten hinaus. Kontaktaufnahmen erfolgen über Chats, Telefon und oft auch in Person selbst. Sie sind nicht unüblich und verschaffen den Tätern eine grosse Bandbreite an Handlungsmöglichkeiten. Resultat ist, dass diese gut geschützten Daten ahnungslos von den eigenen Mitarbeitern weitergegeben werden.

Social Engineering belegt ersten Platz der Cyberverbrechen

Trotz moderner Sicherheitssysteme werden die Vorgehensweisen von Kriminellen im Netz immer effizienter. Verschiedenste Methodik wird flexibel an die Gegebenheiten des anvisierten Unternehmens angepasst und macht die geplanten Attacken oft schwer vorhersehbar.
Die Ergebnisse aus dem aktuellsten Global Security Report von Trustwave, einer der führenden Anbieter von Cybersicherheits- und verwalteten Sicherheitsdiensten, sind hier eindeutig. Unternehmen sind mit 54 % die beliebtesten Ziele von Cyberattacken. E-Commerce folgt mit 22 % und Angriffe auf Cloud-Dienste mit 20 %. Das Ergebnis basiert auf einer Analyse von über einer Billionen registrierten Fällen im Jahr 2019.

Bei über der Hälfte aller von Trustwave investigierten Fälle war Social Engineering die favorisierte Angriffsmethode. 2018 waren es im Vergleich noch knapp 33 %. CEO des Sicherheitsunternehmens Arthur Wong warnt vor einer globalen Gefahr. Seiner Aussage nach finden Täter immer „kreativere“ Wege, in Sicherheitssysteme einzudringen, da gleichzeitig auch die möglichen Angriffsflächen der Unternehmen immer mehr wachsen. Im Kampf gegen Cyberkriminalität sieht er es als absolute Notwendigkeit, Gefahren möglichst schnell festzustellen und zu eliminieren.

Vielfältige Methodik der Täuschungsmeister

Wie sieht ein derartiger Social Engineering Angriff nun aber wirklich aus? Welche aktuellen Vorgehensweisen der Täter sind bekannt? Die Liste an Beispielen ist lang, doch in der Praxis sind besonders folgende Methoden häufig vertreten:

  • Baiting:
    Baiting bezeichnet den Einsatz von physischen Ködern, wie zum Beispiel einem USB-Flash-Laufwerk. Dieser wird an einem bestimmten Ort im anvisierten Unternehmen gut sichtbar zurückgelassen. Verbindet ein Mitarbeiter das Laufwerk mit seinem Computer, wird auf diesem heimlich Malware installiert.
  • Phishing:
    Die Cyberkriminellen verstecken sich hier hinter einer vertrauenswürdigen Quelle und versuchen, gezielt Informationen zu erlangen oder Malware zu installieren. Die Kommunikationstools reichen von E-Mail über Chat-Anwendungen bis hin zu gefälschten Webseiten. Aktuelle Ereignisse wie zum Beispiel Naturkatastrophen werden ausgenutzt, um durch falsche Spendenaufrufe an Zahlungsinformationen der hilfsbereiten Opfer zu kommen.
  • Vishing (Voice Phishing):
    Die Täter versuchen per Telefon und mit zielgerichteter Kommunikation, detaillierte Informationen über ein bestimmtes Unternehmen zu sammeln. Zu den bekanntesten Beispielen zählen Vorfälle mit falschen Microsoft-Support-Mitarbeitern mit dem Versuch, sich auf die Weise Zugang zu fremden Rechnern zu verschaffen.
  • Watering-Hole-Attacke:
    Täter wählen Webseiten mit regelmässigen Besuchen aus. Präpariert mit Malware ist die Falle ist gestellt. Ein Beispiel wäre die Webseite eines Restaurants, bei dem viele Mitarbeiter gerne in ihrer Mittagspause Essen bestellen.

Die Liste weiterer Strategien innerhalb des Social Engineering ist lang und führt zu dem Schluss, dass ein Unternehmen sich nur durch Schulung der eigenen Mitarbeiter effizient schützen kann.

Vorsicht ist die Mutter der Porzellankiste

Doch wie können sich Unternehmen wirklich effizient gegen die sich rasch entwickelnden Methoden der Social Hacker schützen? Grundprinzip ist der sorgsame Umgang mit wertvollen Informationen. Zusätzlich gilt es, Bewusstsein im Unternehmen für die Gefahr zu schaffen. Jeder kann sich in einem Menschen täuschen beziehungsweise von jedem getäuscht werden. Eine gezielte Auseinandersetzung mit allen Formen des Social Hackings und die Sensibilisierung aller Mitarbeiter für die diversen Methoden ist der Schlüssel für effiziente Präventivmassnahmen.

Für eine umfassende Analyse aller unternehmensinternen Sicherheitsprozesse gibt es die Möglichkeit eines fachlichen Audits. Sicherheitsexperten überprüfen dabei die Security Awareness aller Mitarbeiter. Aufgrund dieser Ergebnisse werden zukünftige Schulungen für die Mitarbeiter erstellt und optimiert. Als reaktive Massnahmen hingegen bezeichnet man die Analyse der Schwachstellen nach einem Angriff. Der Social Engineering Audit Report dient als zusammenfassender Abschlussbericht aller Ergebnisse. Ein erfolgreiches Schutzkonzept basiert somit auf holistischer Unternehmenssensibilisierung und umfassender Bestandsanalyse. Denn nur geschulte Mitarbeiter können Social Engineers entlarven und potentielle Cyberattacken abwehren.
6. Mai 2025Security

Fake Abmahnungen erkennen: So schützt du dich vor betrügerischen Forderungen

Immer mehr Unternehmen und Privatpersonen erhalten Abmahnungen, Rechnungen oder Zahlungsaufforderungen, die auf den ersten Blick offiziell wirken – bei genauerem

2. Mai 2025Allgemein

Die Wirtschafts-ID in Deutschland: Alles, was du wissen musst

Seit November 2024 ist sie da: die neue Wirtschafts-ID. Mit der Einführung durch das Bundeszentralamt für Steuern beginnt ein neues

Weiterlesen
29. April 2025Social Media

Facebook werbefrei: Die Funktion im Überblick

Facebook werbefrei – für viele klingt das zu schön, um wahr zu sein. Doch Meta macht es inzwischen möglich: Wer

Weiterlesen
25. April 2025SEO

Content Plan in 5 Schritten erstellen

Ein klar strukturierter Content Plan ist das Herzstück für erfolgreiches Content Marketing. Ohne ihn verlierst du schnell den Überblick, deine

Weiterlesen
Zum Inhalt springen