Wir reichen mal weiter:

Blog.

Vorsicht Falle: Was ist Social Engineering?

Picture of von Michael Zelkin

von Michael Zelkin

Um Zugriff auf ein Unternehmensnetzwerk zu erhalten und an vertrauliche Daten zu gelangen, greifen Angreifer häufig auf Social Engineering zurück.

Social Engineering ist eine ernste, aber oft übersehene Bedrohung für Unternehmen. Während die meisten Unternehmen ihre Sicherheitsbemühungen auf technische Schwachstellen konzentrieren, bleiben menschliche Faktoren das schwächste Glied. Immer wieder kommt es zu Vorfällen, die zeigen, dass ein einfacher Anruf bei einem*einer Mitarbeiter*in oder das Versenden einer geschickt gestalteten E-Mail für Hacker ausreicht, um selbst in die sichersten Netzwerke einzudringen.

Hier erfahren Sie, was Social Engineering ist und warum es so wichtig ist, dass Ihr Unternehmen sich dieses ernstzunehmenden Risikos bewusst ist. Zudem zeigen wir Ihnen, wie Sie sich effektiv dagegen schützen können.

Was ist Social Engineering?

Social Engineering ist eine Manipulationsmethode, bei der das Hauptziel darin besteht, Menschen zu täuschen, um entweder an vertrauliche Informationen zu gelangen oder sie zu Handlungen zu bewegen, die sie normalerweise nicht ausführen würden.

Warum ist Social Engineering so verbreitet?

Es handelt sich um eine Form der psychologischen Manipulation, die auf der menschlichen Natur beruht und dem Wunsch nachkommt, gemocht zu werden, vertraulich oder nützlich zu sein.

Wie funktioniert Social Engineering?

Social Engineering nutzt das menschliche Verhalten aus.

 

  • Schmeichelei: ein Social Engineer lobt den*die IT-Support-Mitarbeiter*in, indem er dessen*ihre Fachkenntnisse betont. So fühlt sich der*die Mitarbeiter*in geschmeichelt und ist eher bereit, vertrauliche Informationen preiszugeben oder Zugriffe zu gewähren.

 

  • Gefühl der Schuld: als freundlicher Berater, der einem*einer Mitarbeiter*in bei einem technischen Problem geholfen hat, fordert der Betrüger später eine Gegenleistung ein, wie z.B. den Zugriff auf sensible Dateien. Das Gefühl, dem Angreifer etwas zu schulden, erleichtert die Manipulation.

 

  • Ausnutzen von Ängsten: Betrüger verbreiten falsche Nachrichten über einen angeblichen Datenverlust oder Sicherheitsvorfall im Unternehmen, um Mitarbeiter zu veranlassen, ihre Zugangsdaten an einen vermeintlichen Sicherheitsdienstleister weiterzugeben.

 

  • Gefühl der Dringlichkeit: ein Angreifer gibt sich als Cloud-Support aus und behauptet, das Kundenkonto sei wegen eines „kritischen Fehlers“ gesperrt. Der*die IT-Mitarbeiter*in wird aufgefordert, sofort auf eine E-Mail zu reagieren und einen Link zu klicken, um die Kontoinformationen zu bestätigen. Durch die vermeintliche Dringlichkeit und den vertrauenswürdigen Absender wird er*sie dazu verleitet, seine*ihre Zugangsdaten auf einer gefälschten Seite einzugeben, ohne es zu bemerken.

 

  • Anruf eines „Vorgesetzten“: als Abteilungsleiter getarnt, fordert der Betrüger den Zugriff auf Unternehmensdaten und behauptet, der Vorgesetzte habe die Genehmigung erteilt. Diese Behauptung führt dazu, dass der*die Mitarbeiter*in weniger hinterfragt.

 

  • Vortäuschung von Autorität: ein Social Engineer gibt sich als externer Compliance-Manager aus und verlangt von Mitarbeitern, bestimmte Sicherheitsprotokolle zu umgehen oder sensible Informationen bereitzustellen. Die Mitarbeiter befolgen die Anweisungen, weil sie glauben, dass sie mit einer autorisierten Person sprechen.

Der Faktor Mensch ist in den meisten Fällen die größte Schwachstelle und leichte Beute für Social Engineers.

Die gängigsten Arten von Social Engineering-Angriffen

Um ein besseres Verständnis für die Bedrohungen durch Social Engineering zu gewinnen, ist es wichtig, die gängigsten Angriffstechniken zu kennen.

  • Phishing: gefälschte E-Mails oder Textnachrichten (SMS, WhatsApp) wirken, als kämen sie von vertrauenswürdigen Unternehmen. Sie enthalten Links zu täuschend echt aussehenden, aber gefälschten Websites, auf denen Opfer ihre Daten wie z.B. Passwörter oder Kreditkarten eingeben.
    Beispiel: eine E-Mail von der „IT-Abteilung“ fordert auf, Zugangsdaten auf einer gefälschten Website einzugeben.

     

  • Spear-Phishing: gezielte Angriffe auf Einzelpersonen oder Abteilungen, oft mit personalisierten Informationen, um den Angriff glaubwürdig erscheinen zu lassen.


    Beispiel: eine personalisierte E-Mail bezieht sich auf ein bevorstehendes Meeting und enthält Details wie Name und Abteilung. Die angehängte „Meeting-Vorbereitung.pdf“ enthält jedoch Schadsoftware.

  • Vishing (Abk. für „Voice Phishing“): Angreifer geben sich am Telefon als Mitarbeiter vertrauenswürdiger Unternehmen aus und fordern sensible Daten.

    Beispiel: ein Anruf vom „IT-Support“ verlangt Anmeldedaten zur Lösung eines angeblichen Problems.

    Kevin Mitnick, einer der bekanntesten Social Engineers und meistgesuchten Hacker der 90er, führte zwei legendäre Streiche durch. Er hackte das FBI-Telefonsystem und verspottete die Agenten, indem er ihre Suche offenlegte. Außerdem gab Mitnick sich als Filialleiter einer Donut-Kette aus, um kostenlos Donuts zu erhalten.

  • Ködern (engl. Baiting): verlockende Angebote oder Belohnungen verleiten zu unüberlegten Handlungen.

    Beispiel: ein*eine Mitarbeiter*in steckt einen gefundenen USB-Stick in den Rechner, der Malware enthält.

  • Shoulder Surfing: Informationen werden gestohlen, indem jemandem beim Eingeben von Passwörtern, PIN usw. über die Schulter geschaut wird.

    Beispiel: in der Bahn wird heimlich ein Passwort auf einem Laptop abgelesen.

  • Pretexting: der Angreifer erfindet ein überzeugendes Szenario, um Opfer zur Preisgabe von Informationen zu bewegen.

    Beispiel: E-Mail eines angeblichen „nigerianischen Prinzen“ verspricht hohe Geldsummen gegen finanzielle Unterstützung.

  • Spoofing: manipulierte E-Mail-Adressen oder Telefonnummern täuschen eine Identität vor.

    Beispiel: Eine E-Mail mit einer fast identischen Absenderadresse führt zu einer gefälschten Login-Seite.

Reales Beispiel

In Japan wurde im Jahr 2020 ein Finanzmanager der Sumitomo Mitsui Trust Bank Opfer eines raffinierten Social-Engineering-Angriffs, bei dem eine Kombination aus KI-Technologie und Manipulation zum Einsatz kam. Die Angreifer nutzten Deepfake-Technologie, um täuschend echte virtuelle „Kollegen“ zu erstellen, die an einem Teams-Call teilnahmen. Während dieses Meetings interagierten die KI-generierten Avatare wie echte Mitarbeiter und diskutierten scheinbar legitime Geschäftsthemen.

In diesem Call bat die Gruppe von „Kollegen“ den Finanzmanager um eine dringende Geldüberweisung, die angeblich für das Unternehmen unerlässlich war. Die gefälschten Kollegen agierten überzeugend und schufen ein Gefühl von Dringlichkeit, was dazu führte, dass der Manager die Anfrage ohne Überprüfung der Echtheit erfüllte. Er überwies das Geld auf die Konten der Angreifer, die es rasch abheben konnten.

Dieser Vorfall verdeutlicht, wie moderne Technologien wie KI und Deepfakes dazu verwendet werden können, um das Vertrauen von Menschen auszunutzen und sie zu betrügerischen Handlungen zu verleiten. Er zeigt auch die Notwendigkeit, strenge Sicherheitsvorkehrungen zu treffen und das Bewusstsein der Mitarbeiter für solche Risiken zu schärfen, um ähnliche Angriffe in der Zukunft zu verhindern.

Wie kann man sich schützen?

Es ist wichtig zu verstehen, dass es keinen 100 %igen Schutz gibt. Eine Kombination aus menschlichen und technischen Schutzmaßnahmen ist erforderlich, um das Risiko zu minimieren.

Menschliche Schutzmaßnahme: die Mitarbeiterschulung

Sie ist ein wichtiger Bestandteil des Sicherheitskonzepts jedes Unternehmens. Mitarbeiter müssen wissen, wie sie Social-Engineering-Angriffe erkennen und darauf reagieren können. Ein ebenso zentraler Schutzfaktor ist das Bewusstsein für den Schutz persönlicher und vertraulicher Unternehmensdaten.

Um die Mitarbeiter über die neuesten Bedrohungen auf dem Laufenden zu halten, sollten mindestens einmal im Jahr Sicherheitsschulungen durchgeführt werden. Zusätzlich sollten Unternehmen eine Sicherheitskultur fördern, indem sie die Sicherheitsrichtlinien und -verfahren kommunizieren und die Mitarbeiter ermutigen, Sicherheitsvorfälle zu melden.

Technische Lösungen zur Abwehr von Social Engineering

  1. Multi-Faktor-Authentifizierung (MFA): erhöht die Sicherheit, da mehrere Authentifizierungsfaktoren benötigt werden, was den Zugriff auf Konten, selbst bei gestohlenen Passwörtern, erschwert.

  2. E-Mail-Sicherheitslösungen: verhindern das Erreichen und die Ausführung von Phishing-E-Mails und anderen bösartigen Nachrichten durch Spam-Filter und Phishing-Scanner.

  3. Verhaltensbasierte Sicherheitslösungen: erkennen anormale Verhaltensmuster, wie z.B. den Abruf sehr großer Datenmengen, die auf einen Social Engineering-Angriff hinweisen könnten, und ermöglichen eine schnelle Reaktion.

  4. Rechte- und Rollenstrukturen: beschränken den Zugriff auf sensible Daten und Systeme auf autorisierte Personen, was das Risiko durch kompromittierte Konten verringert.

  5. Endpoint-Schutz: schützt Geräte vor Schadsoftware, die durch Social Engineering-Angriffe verbreitet wird.

  6. Netzwerksicherheit: überwacht und schützt den Netzwerkverkehr, um unautorisierte Zugriffe und verdächtige Aktivitäten zu verhindern.

Zusammenfassung

Social Engineering stellt eine bedeutende und oft unterschätzte Bedrohung für die Sicherheit von Unternehmen dar. Durch geschickte Manipulation nutzen Angreifer menschliche Schwächen aus, um an vertrauliche Informationen zu gelangen oder Zugang zu Netzwerken zu bekommen. Während technische Schutzmaßnahmen wie Multi-Faktor-Authentifizierung, E-Mail-Sicherheitslösungen und Netzwerkschutz wichtig sind, sind Schulungen der Mitarbeiter die effektivste Verteidigung gegen diese Angriffe. Die kontinuierliche Schulung sensibilisiert Mitarbeiter für die Risiken und Methoden von Social Engineering, stärkt ihre Fähigkeit, verdächtige Aktivitäten zu erkennen und richtig zu reagieren. Ein gut geschultes Team kann weit mehr zur Sicherheitslage eines Unternehmens beitragen als jede technische Lösung allein. In einer Zeit, in der Cyberangriffe nun auch durch KI immer raffinierter werden, ist es unerlässlich, den Fokus auf umfassende Mitarbeiterschulungen zu legen, um Social Engineering effektiv entgegenzuwirken.

 

Die alpha IT Solutions hat Ihre Antworten!

Wir machen Ihr Unternehmen fit für alles rund um das Thema Schutzmaßnahmen vor Social Engineering. 
Diesen Beitrag teilen

FAQs

Social Engineering ist die Kunst, Menschen durch Täuschung zu manipulieren, um vertrauliche Informationen zu erhalten oder sie zu bestimmten Handlungen zu bewegen. Es nutzt psychologische Tricks, um den natürlichen Wunsch nach Hilfsbereitschaft oder Vertrauen auszunutzen.

Achten Sie auf unerwartete Kontaktaufnahmen, Druck zur schnellen Entscheidung, ungewöhnliche Anfragen oder Kommunikationswege sowie fehlende Verifizierung der Identität. Auch wenn jemand übertriebene Freundlichkeit oder Dringlichkeit zeigt, kann das ein Warnzeichen sein.

Zu den häufigsten Angriffen gehören Phishing (gefälschte E-Mails, die persönliche Daten abfragen), Spear-Phishing (gezielte Angriffe auf Einzelpersonen oder Organisationen), Vishing (Telefonangriffe zur Datensammlung) und Pretexting (vorgetäuschtes Szenario, um die Opfer zu ködern).

Um sich vor Social Engineering zu schützen, sind Mitarbeiterschulungen entscheidend. Mitarbeiter sollten lernen, Angriffe zu erkennen und ermutigt werden, diese zu melden. Während klare Sicherheitsrichtlinien und ein gesundes Risikobewusstsein die Sicherheitskultur stärken.

 

Michael Zelkin​

Michael Zelkin ist seit 4 Jahren Teil des Teams von alpha IT Solutions und verantwortet den Vertriebsinnendienst. Als Quereinsteiger aus dem E-Commerce bringt er IT-Affinität und wertvolle digitale Erfahrung mit. Auch abseits der Arbeit bleibt er neugierig und beschäftigt sich mit den neuesten Entwicklungen in der
IT-Welt.