Blog

Informativ, aktuell und spannend – der Oneconsult Cybersecurity Blog.

Social Engineering – Gefahren und Prävention für Unternehmen
Autor J D
J D
|
26.11.2024
(aktualisiert am: 26.11.2024)

Weltweit erleiden Unternehmen jährlich Milliardenschäden durch Social-Engineering-Angriffe. Da Firmen in den letzten Jahren technisch stark gegen klassische Cyberattacken aufgerüstet haben, suchen sich Angreifer neue Wege, um in Netzwerke einzubrechen und unrechtmässig an Daten zu gelangen. Genau genommen ist es kein Beschreiten neuer Pfade, sondern eher eine Besinnung auf «back to the roots».

Die Schwachstelle Mensch rückt wieder verstärkt in den Fokus von Angreifern. Die Angreifer versuchen, Mitarbeitende von Unternehmen mittels verschiedener manipulativer Methoden dazu zu bewegen, ihnen vertrauliche Daten zu übermitteln oder (physischen) Zugang zu sensiblen Bereichen zu gewähren. Dabei nutzen sie gezielt die psychologischen Schwächen und sozialisierten Verhaltensweisen des Menschen aus.

Unternehmen sind deshalb gut beraten, ihren Schutzgrad im Bereich Social Engineering im Rahmen einer Standortbestimmung zu überprüfen und bei Bedarf adäquate Schutzmassnahmen zu ergreifen, bevor es zu spät ist.

Inhaltsverzeichnis

Bedeutung von Social Engineering – die Gegenseite

Um die Bedeutung von Social-Engineering-Prävention richtig einschätzen zu können, ist es wichtig, sich zunächst bewusst zu machen, wer die potenziellen Angreifer sind, nämlich:

  • Staatliche Nachrichtendienste
  • Parastaatliche Gruppierungen
  • Politische Interessengruppen
  • Kriminelle Organisationen

Bereits ein Blick auf die Liste der möglichen Gegner macht deutlich, dass es sich bei Social Engineering um ein nicht zu vernachlässigendes Sicherheitsrisiko für Unternehmen handelt. Sodann lassen sich für die Gefahrenanalyse zwei Erkenntnisse ableiten:

  • Der Angreifer verfügt über erhebliche Zeit und Mittel, um seine Ziele zu erreichen.
  • Der Angreifer setzt nur deshalb so viele Ressourcen ein, weil im Erfolgsfall ein grosser Gewinn winkt.

Dabei ist ein grosser Gewinn für den Angreifer immer gleichbedeutend mit einem grossen Schaden für das betroffene Unternehmen.

Auswirkungen von Social Engineering – die Unternehmensseite

Die verschiedenen Angreifer verfolgen unterschiedliche Ziele – gemeinsam ist ihnen jedoch, dass sie vermehrt Social Engineering einsetzen, um an sensible Daten zu gelangen oder in Geschäftsräume oder IT-Netzwerke von Unternehmen einzudringen.

Staatliche Nachrichtendienste und parastaatliche Gruppierungen

Staatliche Nachrichtendienste und parastaatliche Gruppierungen sind klassische Akteure von Sabotage und Spionage. Mit Sabotageaktionen wird meist versucht, die Produktion bzw. die Versorgung zu unterbrechen. Ein Brand in der Fertigungshalle, eine Fehlkonfiguration der Maschinen oder eine Verunreinigung der Rohstoffe sind nur einige der zahlreichen Möglichkeiten, schwerwiegenden Schaden anzurichten. Spionageangriffe bezwecken primär, an wertvolle Geschäftsgeheimnisse und Spezialtechnologien zu gelangen. Beides sind in den meisten Fällen immaterielle Kernvermögenswerte eines Unternehmens. Besonders exponiert sind selbstverständlich die Rüstungsindustrie, IT-Unternehmen und Halbleiterhersteller sowie ihre Zulieferer. Für Angriffe interessant sind jedoch auch zahlreiche weitere Betriebe in systemrelevanten Branchen (Bankwesen, Energie, Transport, Lebensmittel etc.).

Politische Interessengruppen

Politische Interessengruppen führen aktuell eher triviale Angriffe durch. Das bedeutet jedoch nicht, dass das Schadensausmass gering wäre. Wird beispielsweise für Klimaproteste die Startbahn eines geschäftigen Flughafens blockiert, hat dies international grosse Auswirkungen auf den Luftverkehr und verursacht schnell einmal Schäden in Millionenhöhe.

Kriminelle Organisationen

Für private Unternehmen stellen kriminelle Organisationen mittlerweile ebenfalls ein grosses Problem dar. Im Vordergrund stehen zwei Vorgehensweisen.

  1. Das betrügerische Erlangen von Zugangsdaten zu Bankkonten oder das listige Veranlassen von Banktransaktionen.
  2. Die Erpressung von Geldern nach der Kompromittierung von Unternehmensdaten. Hierbei werden betriebsnotwendige Daten und Accounts verschlüsselt, um die Geschäftstätigkeit eines Unternehmens zu blockieren, was schnell zu Schäden in Millionenhöhe führen kann.

Problematisch ist aber auch die Ausleitung von Geschäftsgeheimnissen wie Konstruktionsplänen, Preislisten, Strategieabsichten, rufschädigenden Interna etc. Die Erpresser drohen der Unternehmensleitung anschliessend mit dem Verkauf oder der Publikation dieser sensiblen Daten und verlangen zuweilen horrende Geldbeträge als Lösegeld. Gerade bei einer Datenexfiltration sind Unternehmen durch die Zahlung des Lösegelds aber nicht vor Schaden gefeit, zumal keine Gewähr dafür besteht, dass die Täterschaft die Informationen danach nicht doch verkauft oder publiziert. Mit anderen Worten: Ist der Schaden erst einmal angerichtet, ist er da. Die mit Social Engineering einhergehenden Risiken sind oftmals nur teuer oder mit wesentlichen Ausschlüssen versicherbar. Folglich ist der konkrete versicherungsrechtliche Nachweis von Social-Engineering-Schäden in vielen Fällen schwierig.

Elektronische Geräte erleichtern uns unsere Arbeit und sind aus dem Alltag nicht mehr wegzudenken. Das sogenannte Internet of Things (IoT) bietet viele Vorteile. Die digitale Vernetzung schafft aber auch zunehmend eine Abhängigkeit von der Technik. Deshalb ist IT-Sicherheit mittlerweile beinahe für jedes Unternehmen und jede Institution zentral geworden. Dass sich längst nicht mehr nur grosse Unternehmen um ihre Cybersicherheit und Social Engineering kümmern müssen, belegt das jüngste Beispiel eines Schweizer Bauers. Dieser konnte die vom Melkroboter gelieferten und für den Milchkuhbetrieb essenziellen Daten auf seinem Computer aufgrund einer Kompromittierung durch Ransomware nicht mehr abrufen.

Wie erkennt man eine Social-Engineering-Attacke?

Die ehrlichste Antwort lautet wohl: oftmals gar nicht, zumindest nicht rechtzeitig. Am einfachsten ist noch Phishing zu erkennen. Ungewöhnliche Absender und bösartige Links können in der Regel eindeutig erkannt werden. Wird Social Engineering physisch vor Ort eingesetzt, ist eine Verifizierung meist schwierig. Angreifer bereiten stets «Exit-Strategien» vor, um sich herauszureden, falls sie entdeckt werden. Wird der Social Engineer in einem Bürotrakt angetroffen, gibt er beispielsweise an, sich verlaufen zu haben. Vielleicht führt er als Alibi verschiedene gefälschte «Auftragsschreiben» mit sich: eines der betroffenen Firma, um Einlass zu erhalten, und eines von einem Nachbarunternehmen als Exit-Alibi. Gegebenenfalls verfügt er zusätzlich über Fake-Visitenkarten mit Kontaktangaben der angeblich beauftragten Firma – wobei tatsächlich eine Homepage besteht und der Telefonanschluss durch einen Komplizen bedient wird.

Bei erfolgreichen Social-Engineering-Attacken ist eine nachträgliche Rückverfolgung äusserst schwierig. Meist ist ein Angriff nur dann offensichtlich, wenn Erpresserschreiben eingehen. Bei Sabotageaktionen bedarf es umfassenden Ermittlungen, bis ein mutwilliger Angriff überhaupt erst feststeht. Professionelle Gruppen sind meisterlich darin, ihre physischen oder digitalen Spuren zu verwischen. Hinzu kommt, dass die den Sabotageakt ausführende Person teils nur als Strohmann angeheuert wird und die wahren Drahtzieher unentdeckt bleiben.

Noch schwieriger sind Spionageaktionen zu erkennen. Technologiediebstahl kann meist nicht mit Sicherheit auf Social Engineering zurückgeführt werden, da das Auftauchen entsprechender Produkte auf dem Markt schlicht auch das Ergebnis von Forschung und Entwicklung sein könnte. Selbst wenn ein entsprechender Verdacht der Industriespionage gehegt wird, lässt sich dieser in vielen Fällen nicht belegen. Ohne Identifizierung des «Lecks» gestaltet sich dann auch die Behebung desselben schwierig. Die Unternehmen sind in einer solchen Situation oft gezwungen, aufwändige Abklärungen zu tätigen, weil unklar bleibt, ob der Informationsabfluss nach wie vor stattfindet.

Entscheidend ist, dass Mitarbeitende und Sicherheitspersonal eines Unternehmens den Sachverhalt sehr genau abklären, wenn sie ungewöhnliche Vorkommnisse bemerken. Ein gängiger Fehler ist es, die Ausreden eines Eindringlings nicht eingehend genug zu prüfen und die Person ohne weitere Massnahmen aus dem Gebäude zu begleiten. Im Zweifelsfall sollte stets die Polizei beigezogen werden, die über erweiterte Abklärungsmöglichkeiten verfügt. In jedem Fall sollte eine mögliche Social-Engineering-Attacke – physisch oder als Cyberangriff – umgehend gründlich aufgeklärt werden, um eine allfällige (weitergehende) Netzwerkinfiltration oder Kompromittierung von Unternehmensdaten zu verhindern. Unser Incident Response Team steht Ihnen hierfür rund um die Uhr zur Verfügung. Darüber hinaus hilft Ihnen unser Digital Forensic Service, einen möglichen Angriff für Versicherungen und Gerichte beweissicher zu rekonstruieren.

Schutz vor Social Engineering: Wie Sie Ihr Unternehmen schützen

Der Schutz vor Social Engineering basiert auf drei Säulen:

  • Aufmerksame Mitarbeitende
  • Technische Massnahmen
  • Organisatorische Vorkehrungen

Aufmerksame Mitarbeitende

Den wichtigsten Beitrag zu einem funktionierenden Abwehrdispositiv leisten Ihre Mitarbeitenden. Jede und jeder kann und muss mithelfen, Social-Engineering-Angriffe unmöglich zu machen, indem sich die Mitarbeitenden zunächst strikt an die diesbezüglichen Unternehmensvorgaben halten und beispielsweise keiner unbekannten Person Zugang zu einer geschützten Zone gewähren. Da Tailgating und Piggybacking nach wie vor die beliebtesten Methoden darstellen, um sich Zugang zu verschaffen, müssen Mitarbeitende unbedingt darauf achten, dass ihnen am Eingang niemand Unbekanntes folgt.

Von grosser Wichtigkeit ist darüber hinaus, das individuelle Verantwortungsgefühl der Mitarbeitenden zu stärken und Hemmschwellen abzubauen. Social-Engineering-Prävention muss hinter der ersten Eintrittspforte eine Fortsetzung finden. Sie ist nicht nur eine Aufgabe von Sicherheitsangestellten oder Wachdiensten. Werden unbekannte Personen in geschützten Bereichen festgestellt, müssen diese unbedingt angesprochen und ihre Berechtigung geklärt werden. Alibis sollten eingehend geprüft und im Zweifelsfall der interne Sicherheitsdienst beigezogen werden. Am nachhaltigsten lässt sich das Mitarbeiterverhalten durch Awareness-Kampagnen und eine entsprechende Unternehmenskultur verbessern.

Technische Massnahmen

Unterstützend können technische Massnahmen wie Vereinzelungsschleusen, Türöffnungsalarme, Phishing-Detektionsprogramme usw. eingesetzt werden. Solche Lösungen sind jedoch meist kostenintensiv und nicht für alle Unternehmen gleichermassen sinnvoll. Darüber hinaus hängt ihre Wirksamkeit oftmals von den weiteren Begleitmassnahmen (z. B. organisatorischer Natur) ab. Zudem können sie den Arbeitsbetrieb und somit die Wirtschaftlichkeit des Unternehmens beeinträchtigen.

Die technischen Vorkehrungen sollten für die Mitarbeitenden auch deshalb praktikabel bleiben, weil sie sich sonst schnell in «Unsicherheitsmassnahmen» verwandeln. Menschen tendieren zur Umgehung von Prozessen, wenn ihnen diese zu mühselig erscheinen. Wird eine Tür zu stark gesichert, schieben Mitarbeitende für Rauchpausen oder Warenanlieferungen einfach einen Keil darunter. Wenn die Passwortanforderungen zu kompliziert sind, werden Kennwörter kurzerhand auf einem Post-it notiert und unter der Tastatur aufbewahrt. Es gibt noch unzählige weitere solche «Klassiker».

Organisatorische Vorkehrungen

Typischerweise nutzen kriminelle Social Engineers unklare Zuständigkeiten und schlecht abgestimmte Prozesse aus. Besonderes Augenmerk ist auf das Besuchermanagement zu legen. Die Abläufe sollten auch bei unerwarteten Ereignissen klar bleiben. Was ist etwa zu tun, wenn ein Besucher während einer Führung plötzlich über Unwohlsein klagt? Regelmässig kann beobachtet werden, dass dieser dann einfach zum Ausgang geschickt wird, da der Referierende weiterhin eine Besuchergruppe zu betreuen hat. Bestenfalls erfolgt eine kurze Meldung an den Wachdienst am Eingang, wo die betreffende Person irgendwann auch vorstellig wird. Was aber hat sie in der Zwischenzeit getan? Das Auslegen eines Road Apples oder Installieren einer Mini-Überwachungskamera dauert meist nur wenige Sekunden.

social engineering_organizational strategies

Entscheidend bleibt: Die genannten Bereiche der Prävention können nie isoliert betrachtet werden. Nur wenn alle drei Säulen stabil sind und insbesondere auch das Zusammenspiel der verschiedenen Schutzmassnahmen gut funktioniert, ist Ihr Unternehmen solide gegen Social Engineering geschützt!

Ob dies tatsächlich der Fall ist, lässt sich nicht allein am Reissbrett bewerten. Die Präventionsvorkehrungen müssen unter realistischen Bedingungen einem Praxistest unterzogen werden, um deren Tauglichkeit zu beurteilen. Hierfür haben sich die realitätsnahen Attack Simulations unseres Red Teams bewährt.

Fazit

Immer mehr Unternehmen – von klein bis gross – werden Opfer von kriminellen Social-Engineering-Angriffen. Für Firmen steht nicht nur ihr guter Ruf, sondern auch viel Geld auf dem Spiel. Ein einziger Vorfall kann ein Unternehmen bereits in seiner Existenz bedrohen.

Das Geschäft mit Social-Engineering-Attacken ist lukrativ, weshalb Angreifer kaum Aufwände scheuen. Dementsprechend zuverlässig müssen die diesbezüglichen Sicherheitsvorkehrungen funktionieren. Angesichts des verheerenden Schadenpotentials lohnen sich die Investitionen in den Schutz der IT-Sicherheit allemal.

Die einzelnen Schutzmassnahmen müssen präzise aufeinander abgestimmt sein, da sie ansonsten wirkungslos bleiben. Wir unterstützen Sie gerne dabei, Ihr Abwehrdispositiv «wasserdicht» zu machen. Ob Social Engineering, Phishing, Physical Access Assessment oder OSINT Assessment – unsere Red-Teaming-Spezialisten decken mit einer individuell auf Ihr Unternehmen zugeschnittenen Angriffssimulation verbleibende Sicherheitslücken auf und helfen Ihnen, diese zu schliessen. Lassen Sie Kriminellen keine Chance!

Kategorien

Alle Kategorien
Active Directory / Entra ID
Attack Simulation / Red Teaming
Cybersecurity
Cybersecurity Awareness
Digital Forensics
Incident Response
IoT/OT-Security
News & Advisories
Penetration Testing

Vulnerability Management

Dies könnte Sie ebenfalls interessieren:

Interessiert an einem Social Engineering Test?
Kontaktieren Sie uns
Autor J D

Autor

Der Autor ist Social Engineer und Physical Security Specialist bei der Oneconsult AG. Der Master of Law war zuvor als Polizist tätig und absolvierte je einen CAS in Forensik und Krisenkommunikation.

Nie mehr Aktuelles über Cyber-Security-Themen verpassen?

Dann abonnieren Sie jetzt unseren Newsfeed auf LinkedIn und melden sich für den Newsletter an

Anmeldung Newsletter
Datenschutzerklärung

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

  • Was und wer ist betroffen?
  • Wer hat den Vorfall entdeckt und gemeldet?
  • Wie und wann wurde der Vorfall bemerkt?
  • Was haben Sie beobachtet?
  • Was bereitet Ihnen Sorgen im Zusammenhang mit dem Vorfall?
  • Welche Massnahmen wurden bereits eingeleitet?

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen