Social Engineering: wie sicher sind Ihre Informationen?

Social Engineering wird von vielen Experten als die effektivste und effizienteste Möglichkeit zur Überwindung von Sicherheitstechnologien angesehen. Grundlage dieser raffinierten Methode ist die Manipulation von Menschen mit dem Ziel, durch Sie an sensible Daten zu gelangen und unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen.

Es sind Klassiker, aber stellen Sie sich folgende Fragen gewissenhaft?

  • Der USB-Stick, den Sie gerade nutzen möchten, wo ist der eigentlich her?
  • Super, dass Sie zufällig über ein soziales Netzwerk jemanden kennenglernt haben, der exakt in der gleichen Branche tätig ist. So ein Austausch unter „Kollegen“ ist doch immer eine gute Sache. Oder?
  • Die Aushilfe vom Paket-Service – war das Logo auf der Jacke nicht irgendwie anders als gestern? Na was soll es, wird schon passen?
  • Wer war die junge Dame, die zuletzt den Fahrstuhl verlassen hat und der Sie eben die Tür aufgehalten haben? Hatte Sie überhaupt eine Zugangskarte?

Diese Auflistung lässt sich vermutlich bis in alle Ewigkeiten fortführen. Was sie aber in jedem Fall klar zum Ausdruck bringt. Menschen neigen gerade in Stresssituation oder Momenten des Leichtsinns dazu, auf den ersten Blick unkritische Sachverhalte nicht aus mehreren Blickwinkeln zu beatrachten. Angreifer wären schön blöd, wenn sie daraus keinen Nutzen ziehen würden.

Social Engineers wissen um bestimmte Phänomene wie Reziprozität, Autoritätsgehorsam oder Verantwortungsdiffusion und richten ihre Handlungen danach aus. Sie nutzen die Emotionen, Motive und Bedürfnisse ihrer Opfer, um sie zu manipulieren wie z. B. Angst, Vertrauen, Unsicherheit, Scham, Konfliktvermeidung, Hilfsbereitschaft, Kunden­freundlichkeit, Wunsch ein guter Teamplayer zu sein.

Die Vorgehensweise der Angreifer folgt meist einem bestimmten Muster

Mit Recherchen im Umfeld von Unternehmen, Behörden und Organisationen spionieren Social Engineers auf Basis öffentlich zugänglicher Datenquellen das persönliche Umfeld ihres Opfers aus. Soziale Netzwerke und Firmenwebseiten geben hier in der Regel eine gute Möglichkeit einer umfangreichen Recherche über die Zielpersonen. Der Täter nutzt diese Informationen, um potentielle Opfer zu identifizieren oder mehr über eine bereits gewählte Zielperson zu erfahren.

Unser Partner HP hat das Thema 2017 mit seiner Secure-Kampagne sehr plakativ aufgegriffen:

Wie im Video gesehen, ermöglichen die gesammelten Informationen dem Social Engineer personalisierte Attacken. Zu den üblichen Methoden gehören Phishing Attacken per E-Mail, Telefon oder SMS, der Einsatz von Scareware, USB Drop oder auch Dumpster Diving.

Der Betrug ist eine spezielle Form von Social Engineering Angriffen. Eine umfangreiche Recherche und gezielte Informationen über Mitarbeiter des Unternehmens ermöglichen den Angreifern, als CEO getarnte E-Mails zu versenden und berechtigte Mitarbeiter zu Sonderzahlungen aufzufordern. Die Angreifer scheuen auch den persönlichen Kontakt mit den Zielpersonen nicht. Sie versuchen z. B. sich durch vorgetäuschte Identitäten (Impersonation) Zugang zu gesicherten Bereichen zu verschaffen.

Schulung: Werden Ihre Sicherheitsbemühungen von Ihren Kollegen mitgetragen?

Das Ziel des Angreifers ist es, auf das Erleben und Verhalten der Zielpersonen durch gezielte Handlungen so Einfluss zu nehmen, dass es ihm gelingt, im besten Falle gänzlich unbemerkt, in den Besitz der sensiblen Daten zu gelangen.

Wir halten fest: Ein Social Engineer weiß um die „Schwachstelle Mensch“ und ist seinen Opfern dadurch oft einen Schritt voraus.

Aber

Eine Möglichkeit zum Schutz gegen Social Engineering Angriffe ist die Sensibilisierung, Schulung und Training der Mitarbeiter im Umgang mit Informationssicherheit. Kernaspekte der Informationssicherheit sind die Aufrecht­erhaltung der Verfügbarkeit, Integrität und der Vertraulichkeit von Informationen.

Der Umgang mit Informationssicherheit ist Teil jeder Unternehmenskultur und daher von großer Bedeutung. Die gesamte Organisation und die Mitarbeiter sollten in die Maßnahmen zur Informationssicherheit mit einbezogen werden.

Workshop: Mitarbeitersensibilisierungskampagnen planen und durchführen

Logo neam IT-Services mit SloganWir bieten im Rahmen der Implementierung eines ISMS innerhalb unserer Penetrations­tests spezielle Module zum Bereich Social Engineering an. Mit Phishing-Attacken oder z. B. dem USB-Drop testen wir Ihr ISMS auf diese „Lücke“ hin durch eine realitätsnahe Simulation.

Unser Ziel ist es, die Schwachstellen im ISMS unserer Kunden zu finden, um durch Aufklärung und Schulung zukünftige Angriffe zu verhindern oder zumindest zu erschweren. Dabei sind wir uns bewusst, dass es gerade im Bereich Social Engineering immer wieder möglich sein wird, einen erfolgreichen Angriff auszuführen.

Der Social Engineer gehört nicht zur Gemeinschaft der Ethical Hacker, sondern nutzt positive Eigenschaften wie Hilfsbereitschaft und Vertrauen aus, um Menschen für seine Zwecke zu manipulieren. Eine Unternehmenskultur von Misstrauen und Angst halten wir dennoch nicht für erstrebenswert.

Im Gegenteil, unser Ziel ist es, die Mitarbeiter in Ihrem Unternehmen für Social Engineering Attacken zu sensibilisieren und das Bewusstsein für Informationssicherheit zu stärken, damit Ihre Mitarbeiter besser informiert und Ihre Daten in Zukunft sicherer sind.

Wir beraten und unterstützen Sie gern bei der Implementierung Ihres ISMS. Einfach das folgende Kontaktformular ausfüllen.

Möchten Sie uns etwas mitteilen?