Das unrechtmässige Erlangen firmenspezifischer, sensibler Daten ist mittlerweile Hauptgeschäft der meisten Verbrechen im Netz. Wer hier zuerst an aggressive Hackingmethoden denkt, übersieht ein Werkzeug, das viele Unternehmen unterschätzen: den Menschen — genauer gesagt, den eigenen Mitarbeiter. Mit oft einfachen Manipulationsmethoden wird dieser zum Instrument, über das Angreifer Zugriff auf wertvolle Daten wie Bankverbindungen oder sensible Kundeninformationen erlangen. Doch wie funktioniert Social Engineering wirklich? Und wie schützt du dein Unternehmen?
Was bedeutet Social Engineering?
Als Social Engineering bezeichnet man sozialwissenschaftlich die zwischenmenschliche Beeinflussung, um bestimmte Verhaltensweisen auszulösen. Wird diese soziale Manipulation eingesetzt, um in fremde Computersysteme oder Netzwerke einzudringen, spricht man auch von Social Hacking. Der Mensch bildet dabei die Schwachstelle — er dient als Instrument zur Umgehung komplexer Sicherheitstechnologien.
Menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft, Autoritätshörigkeit, Neugier oder Unsicherheit werden gezielt ausgenutzt, um die gewünschten Daten zu erlangen. Angreifer nehmen auf diversen Wegen Kontakt mit Opfern auf — und kommen dank vorheriger Informationsbeschaffung gut getarnt. Die Methoden gehen weit über Phishing und falsche Webseiten hinaus. Kontaktaufnahmen erfolgen über Chats, Telefon, manchmal sogar persönlich. Resultat: gut geschützte Daten werden von ahnungslosen Mitarbeitenden einfach weitergegeben.
Social Engineering belegt ersten Platz der Cyberverbrechen
Trotz moderner Sicherheitssysteme werden Angriffsmethoden immer effizienter. Kriminelle passen ihre Vorgehensweise flexibel an die Gegebenheiten des anvisierten Unternehmens an — das macht Attacken schwer vorhersehbar. Die Ergebnisse des Global Security Report von Trustwave, einem der führenden Anbieter von Cybersicherheits- und verwalteten Sicherheitsdiensten, sind eindeutig: Unternehmen sind mit 54 % die beliebtesten Ziele von Cyberattacken. E-Commerce folgt mit 22 %, Angriffe auf Cloud-Dienste mit 20 %. Grundlage ist eine Analyse von über einer Billion registrierten Fällen aus dem Jahr 2019.
Bei über der Hälfte aller von Trustwave untersuchten Fälle war Social Engineering die favorisierte Angriffsmethode. 2018 waren es im Vergleich noch knapp 33 %. CEO Arthur Wong warnt vor einer globalen Gefahr: Täter finden immer „kreativere“ Wege, weil gleichzeitig die Angriffsflächen der Unternehmen wachsen. Im Kampf gegen Cyberkriminalität sieht er es als absolute Notwendigkeit, Gefahren schnell zu erkennen und zu eliminieren.
Vielfältige Methodik der Täuschungsmeister
Wie sieht ein Social-Engineering-Angriff konkret aus? Die Liste ist lang — in der Praxis sind besonders folgende Methoden verbreitet:
- Baiting:
Baiting bezeichnet den Einsatz von physischen Ködern, zum Beispiel einem USB-Stick. Dieser wird im anvisierten Unternehmen gut sichtbar platziert. Verbindet ein Mitarbeiter das Laufwerk mit seinem Rechner, wird heimlich Malware installiert. - Phishing:
Die Angreifer tarnen sich als vertrauenswürdige Quelle und versuchen, gezielt Informationen zu erlangen oder Malware zu installieren. Die Kanäle reichen von E-Mail über Chat-Anwendungen bis zu gefälschten Webseiten. Aktuelle Ereignisse wie Naturkatastrophen werden ausgenutzt — etwa durch falsche Spendenaufrufe, über die Zahlungsinformationen abgegriffen werden. - Vishing (Voice Phishing):
Täter sammeln per Telefon detaillierte Informationen über ein Unternehmen. Bekannte Beispiele sind Vorfälle mit falschen Microsoft-Support-Mitarbeitenden, die sich so Zugang zu fremden Rechnern verschaffen wollen. - Watering-Hole-Attacke:
Täter wählen Webseiten, die regelmässig besucht werden, und präparieren sie mit Malware. Ein typisches Beispiel: die Webseite eines Restaurants, über das viele Mitarbeitende in der Mittagspause Essen bestellen.
Die Liste weiterer Strategien ist lang — und führt zu einem klaren Schluss: Effektiver Schutz setzt bei der Schulung der eigenen Mitarbeitenden an.
Vorsicht ist die Mutter der Porzellankiste
Wie schützt du dein Unternehmen wirklich effizient gegen sich rasch entwickelnde Social-Hacking-Methoden? Das Grundprinzip ist der sorgsame Umgang mit wertvollen Informationen — kombiniert mit einem echten Bewusstsein für die Gefahr. Jede Person kann getäuscht werden. Eine gezielte Auseinandersetzung mit allen Formen des Social Hackings und die Sensibilisierung aller Mitarbeitenden für die diversen Methoden ist der Schlüssel für wirksame Präventivmassnahmen.
Für eine umfassende Analyse der unternehmensinternen Sicherheitsprozesse bietet sich ein fachliches Audit an. Sicherheitsexperten prüfen dabei die Security Awareness aller Mitarbeitenden. Auf Basis dieser Ergebnisse werden zielgerichtete Schulungen entwickelt und optimiert. Als reaktive Massnahmen gilt die Analyse von Schwachstellen nach einem Angriff. Der Social Engineering Audit Report fasst alle Ergebnisse zusammen. Ein tragfähiges Schutzkonzept kombiniert beides: ganzheitliche Sensibilisierung und saubere Bestandsanalyse. Nur wer seine Mitarbeitenden schult, kann Social Engineers entlarven — und Cyberattacken abwehren.
Tags:
Cybercrime