Fehler zu machen ist menschlich. Doch wenn (Cyber-)Kriminelle typisch menschliche Verhaltensweisen gezielt manipulieren und für ihre Zwecke ausnutzen, wird es für Unternehmen gefährlich. Durch das methodische Manipulieren von Mitarbeitern verschaffen Angreifer sich Zugang zu Systemen und erbeuten sensible Daten. Wie gehen Angreifer dabei vor und wie kann man sich schützen?
Was ist Social Engineering?
Unter Social Engineering versteht man die gezielte psychologische Manipulation von Menschen, um typische Verhaltensweisen für eigene Zwecke einzuspannen. Der Begriff „Engineering“ aus dem Ingenieurwesen spielt darauf an, dass es sich dabei um eine systematische und sehr zielgerichtete Vorgehensweise handelt – und nicht etwa um einen breit angelegten Angriff wie bei Brute-Force-Angriffen, die zum Beispiel auf dem Ausprobieren sämtlicher Passwort-Kombinationen beruhen.
Die Vorgehensweise des Social Engineerings ist deshalb so perfide, weil sie zutiefst menschliche Eigenschaften wie Neugierde oder Hilfsbereitschaft ausnutzt und als Eintrittskarte ins Unternehmen instrumentalisiert. Das Vorgehen wird deshalb auch als „Human Hacking“ bezeichnet, weil statt technischer Systeme die menschliche Psyche „gehackt“ wird. Das Opfer wird dazu gebracht, Informationen preiszugeben, die es eigentlich für sich behalten würde, oder Taten auszuführen, die es normalerweise nicht ausführen würde.
Schwachstelle Mensch – Wer ist besonders gefährdet
Für Unternehmen stellt Social Engineering eine reale Gefahr dar. Denn oft werden zwar große Summen in die digitale Sicherheit und technische Abwehrmechanismen investiert – aber beim Social Engineering suchen Angreifer die Schwachstellen bei einem anderen Glied in der Sicherheitskette: Dem Faktor Mensch. Ahnungslose Mitarbeiter werden so unwissentlich zu Mittätern. Die Angriffe sind komplex und können am Ende jeden treffen.
Zahlreiche Unternehmen in Deutschland wurden bereits Opfer solcher Attacken. Die Wirtschaftsschutz-Studie 2020 des Branchenverbands Bitkom zeigt, dass 37 Prozent der befragten Unternehmen bereits von Social Engineering betroffen waren. Zusätzliche 49 Prozent vermuten, ebenfalls Opfer von Social Engineering Angriffen geworden zu sein, ohne konkrete Beweise dafür zu haben. Das zeigt, dass Social Engineering eine wachsende Gefahr darstellt und ein Themenbereich ist, der akuten Handlungsbedarf von Unternehmen fordert.
So gehen Angreifer beim Social Engineering vor
Social Engineering Angriffe sind komplex und reichen von einzelnen, gezielten Phishing-Mails bis hin zu ausgeklügelten Angriffen, die sowohl digital als auch analog erfolgen. Und genau das macht die Betrugsmasche so gefährlich, weil sie keinem mechanischen System folgt, das einfach zu erkennen wäre.
Sehr verbreitet ist zum Beispiel die Taktik über Phishing Mails. Dabei wird über eine gefälschte E-Mail-Adresse Kontakt zum Mitarbeiter aufgenommen und sehr seriös wirkend um Informationen, Zugänge oder bestimmte Tätigkeiten gebeten. Diese E-Mails stammen vermeintlich von Freunden, dem Vorgesetzten, dem IT-Verantwortlichen oder einer wichtigen Institution und wirken täuschend echt.
Häufig wird zusätzlich geschickt mit Angst, Autorität, Zeitdruck oder auch Humor gearbeitet, um das Opfer dazu zu bringen, Informationen preiszugeben oder eine Handlung auszuführen. Manchmal reicht schon der Klick auf einen Link oder Anhang der E-Mail aus, um unwissentlich Schadsoftware oder Spyware auf dem Gerät zu installieren und den Angreifern somit sprichwörtlich Tür und Tor zu öffnen.
Social Engineering kann online und offline erfolgen
Doch Social Engineering Angreifer nutzen nicht nur digitale Methoden, sondern wählen auch den analogen Weg, häufig sogar beides in Kombination. Über Anrufe im Unternehmen oder Ausspähen des Unternehmensstandortes gelangen Angreifer an gewünschte Informationen und können Mitarbeiter so ganz gezielt und sehr glaubwürdig überzeugen.
Wie das aussehen kann, wird in folgendem Video-Beitrag eindrücklich deutlich. Darin hat Galileo mit versteckter Kamera eine professionelle Sicherheitsfirma bei einem Einsatz begleitet, bei dem diese aktiv die Security Maßnahmen ihres Auftraggebers auf die Probe stellt. Wie die Profi-Knacker, darunter auch unser Referent Herr Willer, dabei vorgegangen sind, sehen Sie in folgendem Video.
Wie kann man sich gegen Social Engineering schützen?
Die Thematik des Social Engineerings macht deutlich, dass IT-Sicherheit nicht nur auf technischer Ebene ausreicht, sondern ganzheitlich betrachtet werden muss. Um ein Unternehmen zu sichern, ist eine Achtsamkeit auf technischer und menschlicher Ebene erforderlich. Um das zu gewährleisten, ist es von essentieller Bedeutung, die eigenen Mitarbeiter für das Thema zu sensibilisieren.
Für diesen Zweck bieten wir ein neues Seminar an, bei dem unser Referent Herr Willer Ihnen einen Überblick über Angriffsmethoden und -szenarien und Einblicke in die menschliche Wahrnehmung und psychologische Manipulation gibt. Das Seminar hat die Sensibilisierung Ihrer Mitarbeiter zum Ziel und Sie können es als Inhouse-Schulung buchen, um Ihre Belegschaft im eigenen Unternehmenskontext zu schulen. Zusätzlich findet das Seminar am 29. Juni 2021 als buchbares Web-Seminar statt. Alle Informationen und aktuellen Daten finden Sie hier: Zum Social Engineering Web-Seminar.
Melden Sie sich bereits jetzt an, oder fragen Sie Ihre Inhouse-Schulung an! Wir freuen uns auf Sie.
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security
