Der Siegeszug des Internets sowie immer leistungsfähigere Rechner läuteten das digitale Zeitalter in der Geschäftswelt ein. Gleichzeitig brachte dieser technologische Fortschritt neue Bedrohungen im Cyberspace mit sich, die Unternehmen vor grosse Herausforderungen stellten. Infolgedessen lag der Fokus oftmals auf der Härtung der Informationsinfrastruktur und «alte» Gefahren gerieten dabei grösstenteils in Vergessenheit.
Erst seit einige prominente Betrugsvorfälle grosse Aufmerksamkeit in den Medien erregt haben und mit dem Aufkommen künstlicher Intelligenz ist das Thema Social Engineering wieder verstärkt auf die Agenda der Sicherheitsverantwortlichen gerückt. Angesichts der Milliardenschäden, die der Wirtschaft durch Social Engineering jährlich entstehen, ist dies eine längst überfällige Entwicklung.
Dieser Artikel widmet sich dem Faktor Mensch als zentrales Sicherheitsrisiko und beleuchtet die Gefahren von Social-Engineering-Attacken für Unternehmen. Er erläutert die dahinterliegenden Mechanismen und stellt effektive Präventionsmassnahmen vor.
Inhaltsverzeichnis
Was ist Social Engineering?
Eine allgemeingültige Definition von Social Engineering, zuweilen auch «human hacking» genannt, existiert nicht. Am treffendsten lässt sich Social Engineering als die gezielte Ausnutzung psychologischer Effekte und sozialisierten Verhaltens beschreiben, die Menschen zu einer unbewussten selbstschädigenden Handlung verleiten soll.
Im beruflichen Kontext bedeutet dies oftmals die Preisgabe von vertraulichen Informationen an Kriminelle. Ein typisches Ziel von Social-Engineering-Angriffen ist der unautorisierte Zugang zu sensiblen Bereichen sowohl im virtuellen Raum als auch physisch vor Ort. Im Gegensatz zu einem eigentlichen Einbrecher überwindet der kriminelle Social Engineer Sicherheitsmassnahmen jedoch nicht mit Gewalt. Stattdessen setzt er auf Manipulation, Täuschung und List, um Zugang zu erhalten oder Schadsoftware zu installieren.
Was bedeutet das konkret in der Praxis? Stellen Sie sich das folgende Szenario vor: Sie arbeiten am Empfang eines betriebssamen Notfallspitals und führen gerade ein wichtiges Telefonat. Währenddessen betreten zwei Personen mit weissem Kittel und Stethoskop fachsimpelnd das Gebäude. Würden Sie Ihr Gespräch unterbrechen, um die beiden nach einem Personalausweis zu fragen? Wahrscheinlich nicht – sei es, weil Sie beschäftigt sind oder Hemmungen vor einer pikierten Reaktion der Ärzteschaft haben. Einmal in den vermeintlich geschützten Bereich eingedrungen, ist es für die verdeckten Eindringlinge dann ein Leichtes, sich Zugriff auf sensible Patientendaten zu verschaffen oder Geräte zu manipulieren.
Neue Bedrohungen durch KI: Social Engineering in der digitalen Welt
Social Engineering, also die bewusste Beeinflussung menschlichen Verhaltens zum eignen Vorteil, ist so alt wie die Menschheit selbst. Es wird heutzutage nicht nur von staatlichen Institutionen, sondern auch von kriminellen Organisationen genutzt. Diese versuchen, auf immer raffiniertere Art und Weise Zugriff auf sensible Unternehmensdaten zu erlangen. Dabei setzen sie verschiedene – auch technische – Methoden ein, um an die gewünschten Informationen oder Unternehmenswerte zu gelangen. Besonders perfide Möglichkeiten für bösartige Social-Engineering-Attacken eröffnen sich neuerdings durch künstliche Intelligenz. So kann beispielsweise die Stimme eines Vorgesetzten am Computer so treffgenau nachgebildet werden, dass Angestellte den telefonischen Anweisungen der Angreifer ohne Weiteres nachkommen und bedenkenlos grössere Beträge auf fremde Konten überweisen.
Arten und Methoden von Social Engineering
Social Engineering kann sowohl physisch vor Ort als auch unter Einbezug von Kommunikationsmitteln wie Internet oder Telefon angewandt werden. Die dabei eingesetzten Methoden sind nicht nur vielseitig, sondern oftmals auch schwer zu erkennen. Sie reichen von der Ausnutzung einfacher menschlicher Schwächen bis hin zu ausgeklügelten Manipulationstechniken mit technischer Unterstützung.
Im Sinne eines punktuellen Einblicks in die Thematik sind nachfolgend einige der wichtigsten Social-Engineering-Methoden beschrieben. Diese werden in der Praxis üblicherweise nicht isoliert genutzt. Vielmehr werden für eine erfolgsversprechende Social-Engineering-Operation verschiedene Techniken miteinander kombiniert.
Phishing
Beim Phishing versuchen Betrüger in der Regel per E-Mail mit dem Opfer in Kontakt zu treten und dabei den Anschein eines legitimen Geschäftspartners zu erwecken. Oftmals geben sie sich als ein Vertreter eines bekannten und vertrauenswürdigen Unternehmens aus. Eine beliebte Technik ist die Nutzung einer leicht abgewandelten E-Mail-Domain, die dem Original täuschend ähnlich sieht. So könnte beispielsweise anstelle von «HumanResources@Online.com» eine Nachricht von «HumanResources@0nline.com» gesendet werden. Der Unterschied zwischen dem Buchstaben «O» und der Zahl «0» ist je nach Schriftart und in der Hektik des Alltags leicht zu übersehen. In der E-Mail wird dann ein Link zu einer gefälschten Website eingefügt, die dem Original ähnelt und das Opfer dazu auffordert, persönliche Daten wie Benutzernamen oder Passwörter einzugeben.
Spear Phishing
Spear Phishing ist eine weitere Social-Engineering-Methode und unterscheidet sich von herkömmlichem Phishing dadurch, dass sich der Angriff gegen eine bestimmte Person richtet. Hilfreiche Informationen über eine Person finden sich oft frei zugänglich im Internet. Ist beispielsweise aus den sozialen Medien ersichtlich, dass sich jemand beruflich umorientieren möchte, wird er sich womöglich eher für eine E-Mail der Personalabteilung eines vermeintlichen Unternehmens interessieren. Da die Person auf solche Kontaktaufnahmen wartet, ist die Wahrscheinlichkeit höher, dass sie in die Falle tappt. (Spear) Phishing ist besonders effektiv, weil es einerseits die bestehende Erwartungshaltung und andererseits die Neugier und Hoffnung des Opfers als Triebfeder nutzt.
Whaling
Whaling-Angriffe richten sich gezielt gegen hochrangige Unternehmensverantwortliche. Dazu werden im Vorfeld meist noch eingehender Informationen zur Zielperson gesammelt, um die Erfolgsaussichten der Attacke zu erhöhen. Whaling erfordert zwar ein hohes Mass an Vorbereitung, verspricht jedoch im Erfolgsfall wertvollere Daten und führt unternehmensseitig zu grösseren Schäden.
Vishing
Vishing, auch «Voice Phishing» genannt, funktioniert nach demselben Prinzip wie Phishing. Die betrügerische Kontaktaufnahme erfolgt jedoch telefonisch statt per E-Mail. Der Kreativität sind hierbei keine Grenzen gesetzt. Vielleicht ruft die «Polizei» unter der landestypischen Notfallnummer – die selbstverständlich «gespooft», also gefälscht ist – an und verlangt nach bestimmten vertraulichen Auskünften. Eventuell ist es aber auch der «Sanitärbetrieb», der den angeblich dringend bestellten «Servicetechniker» ankündigt, um sich so den Einlass ins Gebäude zu erleichtern. Schliesslich ist auch an den bereits zuvor erwähnten Anruf der «Vorgesetzten» zu denken. Oftmals wird das Opfer mit der Dringlichkeit des Anliegens überrumpelt oder mit der Autorität der anrufenden Person dazu verleitet, die Sachlage nicht eingehend zu überprüfen.
Tailgating
Tailgating bezeichnet das simple (dichte) Nachlaufen hinter einer autorisierten Person, die beispielsweise durch eine mit Badge gesicherte Tür geht. Dies erfolgt so diskret, dass der berechtigten Person das «Durchschlüpfen» des bösartig agierenden Social Engineers entgeht. Wenn nach dem Mittagessen grössere Gruppen zusammen aus der Pause zurückkehren, wird im Regelfall nur die erste Person den Zutrittsbadge benutzen. Es wäre sozial unüblich, wenn der Erste die Tür hinter sich schliessen und die anderen so dazu nötigen würde, ihren Badge ebenfalls einzusetzen. Im Strom der Gruppe lässt es sich als Angreifer dann einfach mitschwimmen.
Piggybacking
Im Gegensatz zu Tailgating tritt der Angreifer beim Piggybacking direkt an die berechtigte Person heran. Diese gewährt ihm anschliessend aufgrund eines Vorwands bewusst Einlass. Klassischerweise kann zu diesem Zweck die Hilfsbereitschaft der Menschen ausgenutzt werden. Dem verschwitzten und vollgepackten Postboten hält man gerne die Tür auf, um ein paar Karmapunkte für den Tag zu sammeln. Aber war es wirklich ein echter Paketbote oder versteckte sich in Wahrheit nicht doch ein getarnter Industriespion dahinter?
Selbstredend sind Tailgating und Piggybacking in einem Kleinstbetrieb, wo jeder jeden kennt, kaum ein Problem. Bei mittleren sowie vor allem grossen Unternehmen sind dies jedoch bewährte und beliebte Social-Engineering-Techniken. Typischerweise nimmt in grösseren Sozialgefügen das individuelle Verantwortlichkeitsgefühl ab und die Anonymität zu, was die Erfolgsaussichten von Tailgating und Piggybacking begünstigt. Es sind wohl die einfachsten und gleichwohl effizientesten Methoden, um sich unbefugten Zutritt zu einem Gebäude oder sensiblen Bereich zu verschaffen.
Pretexting
Der Pretext ist die vom Angreifer erfundene Geschichte, welche die bösartigen Absichten vor dem Opfer verbergen und den Angriff glaubwürdig erscheinen lassen soll. Zu denken ist etwa an den angeblichen IT-Techniker, der Zugang zu den Büroräumlichkeiten begehrt, weil er einen Bildschirm austauschen müsse. Pretexting kann sich auf eine simple Falschaussage beschränken oder auf einem komplex aufgebauten Lügengebäude basieren. Der falsche Techniker hat womöglich ein T-Shirt der IT-Support-Firma an und trägt einen Bildschirm. Vielleicht erhielt die Empfangsperson aber schon Wochen im Voraus eine gefälschte Informations-E-Mail und am betreffenden Tag von einer gespooften Telefonnummer eine «Service-SMS» mit der Ankunftszeit des vermeintlichen Technikers. Gemäss dem Motto «kein Aufwand ist zu gross» hängt die investierte Zeit vor allem davon ab, ob die Betrüger bei gutem Gelingen wertvolle Daten erwarten.
Baiting
Eine beliebte Variante zur Infiltration eines Unternehmensnetzwerks ist das Baiting («Ködern»), auch unter dem Begriff «Road Apple Attack» bekannt. Hierbei werden Mitarbeitende dazu verleitet, unbeabsichtigt bösartige Software auf den Endgeräten zu installieren. Dies kann auch physisch erfolgen, indem beispielsweise USB-Sticks mit angeblich wichtigen Informationen eines Geschäftspartners verschickt werden. Zusammen mit einem kurzen Begleitschreiben, das den Briefkopf eines glaubwürdigen Korrespondenzpartners trägt, erweckt eine solche Sendung kaum Misstrauen. Auf diese Weise können bösartige Social Engineers Malware in das Unternehmen einschleusen, was verheerende Folgen haben kann. Sobald Mitarbeitende den USB-Stick dann an ihr Gerät anschliessen, infizieren sie unwissentlich das gesamte Unternehmensnetzwerk.
Schutz vor Social Engineering
Der Schutz vor Social Engineering beginnt mit dem Gefahrenbewusstsein («Awareness») jedes einzelnen Mitarbeitenden. Die Mitarbeitenden sollten durch technische und digitale Massnahmen unterstützt werden, die beispielsweise potenziell betrügerische E-Mail-Absender und Anrufer erkennen und markieren. Ebenso wichtig sind organisatorische Massnahmen in den Betriebsabläufen, um mögliche Schwachstellen zu schliessen.
Viele Unternehmen haben bereits verschiedene Schutzmassnahmen gegen Social-Engineering-Angriffe getroffen. Diese entfalten ihre Wirkung jedoch nicht isoliert, sondern nur im Zusammenspiel. Um verbleibende Schwachstellen zu identifizieren, ist es daher empfehlenswert, die Sicherheitsvorkehrungen unter Realbedingungen in ihrer Gesamtheit zu testen. Weiterführende Informationen dazu finden Sie in unserem Blogartikel «Red Teaming verstehen: Was ist der Nutzen und für wen ist es sinnvoll?«
Für einen solchen integralen Test empfiehlt sich eine Attack Simulation unseres Red Teams. In realistischen Szenarien setzen wir Ihre Schutzvorkehrungen einem Stresstest aus. Unser erfahrenes und interdisziplinäres Red Team agiert als gutartige Hacker digital im Cyberspace sowie live vor Ort als verdeckte Social Engineers. Wir identifizieren und infiltrieren anfällige Schnittstellen, zeigen Handlungsbedarf auf und helfen Ihnen mit gezielten Massnahmenvorschlägen, sich gegen Social-Engineering-Attacken abzusichern!
Fazit
Da es Angreifern aufgrund des allgemein hohen Bewusstseins für Cybersicherheit immer schwerer fällt, über technische Angriffsvektoren erfolgreich in ein Unternehmensnetzwerk einzubrechen, gewinnt Social Engineering bei böswilligen Angriffen wieder zunehmend an Bedeutung. Der Mensch war, ist und bleibt der kritische Schwachpunkt in der Abwehr von Risiken für Informationen und Infrastruktur.
Regelmässige Angriffssimulationen und Awareness-Kampagnen sind entscheidend, um Schwachstellen zu identifizieren und zu beheben sowie die Aufmerksamkeit der Mitarbeitenden für Social-Engineering-Attacken hoch zu halten. Jede Massnahme nützt nur so gut, wie sie von den Mitarbeitenden umgesetzt wird.
Oneconsult bietet Ihnen umfassende Dienstleistungen zur Stärkung Ihrer Resilienz gegen Social Engineering an. Unser Red Team deckt mit Social Engineering, Phishing-Simulationen, Physical Access Assessments sowie OSINT Assessments Sicherheitslücken auf und hilft Ihnen, gezielt Massnahmen zu implementieren. Mittels unseren Security-Awareness-Kampagnen können Ihre Mitarbeitenden Social-Engineering-Angriffe live erleben.
