Vermummter Mensch in Kapuzenjacke am Laptop hinter Zahlencodes

Faktor Mensch in der IT-Sicherheit – Social Engineering und Co. in Unternehmen

Trickbetrug ist seit Menschengedenken eine klassische Form des Betrugs in Form von Täuschung und Ausnutzung menschlicher Verhaltensweisen. Im Zuge der Digitalisierung erhält diese Betrugsform jedoch neue Dimensionen und Cyberkriminelle können sehr effektive Möglichkeiten einsetzen, um zahlreiche potenzielle Opfer zu erreichen. Cyberangriffe, die ganz gezielt menschliche Verhaltensweisen ausnutzen, sind daher eine reale Gefahr für Unternehmen. Doch wie äußert sich diese Gefahr konkret und wie kann man sich davor schützen?


Der Mensch als Schwachstelle in der IT-Sicherheit?

Beim Thema IT-Sicherheit in Unternehmen geht es nicht nur um Computersysteme und Netzwerke. Mindestens ebenso wichtig sind diejenigen, die diese Technologien letztendlich im Arbeitsalltag anwenden. Denn Cyberkriminalität hat viele Formen und fast alle setzen an irgendeiner Stelle auf menschliche Interaktionen wie das Öffnen einer Datei oder eines Dokuments oder das Klicken auf einen Link.

Ziel dieser Angriffe ist, das vermeintlich schwächste Glied in der Sicherheitskette auszunutzen, um darüber Zugriff auf Daten und Systeme zu erhalten. Viele Cyberangriffe zielen daher ganz direkt auf Menschen ab, statt auf technische Systeme oder Infrastrukturen. Denn dieses Vorgehen ist häufig wesentlich einfacher und profitabler und führt schneller zum gewünschten Ziel als die aufwändige Entwicklung von technik-basierten Methoden. Dabei ist es unerheblich, ob Cyberkriminelle auf den Diebstahl von sensiblen Daten aus sind oder auf die Sammlung von Informationen, über die sich im zweiten Schritt ein finanzieller Gewinn erzielen lässt.


Social Engineering: Manipulation mit System

Social Engineering ist eine besonders raffinierte Form des Betrugs. Der Begriff stammt ursprünglich aus der Philosophie und beschreibt das Prinzip, dass der Mensch durch soziologische und psychologische Elemente wie eine Maschine optimiert werden kann. Heute versteht man unter „Social Engineering“ eine betrügerische Form der gezielten Manipulation. Ziel von Social Engineering ist, Menschen für die eigenen Zwecke zu instrumentalisieren – im Kontext der Cyberkriminalität für den Zugriff auf sensible Daten und Informationen.

Social Engineering ist eine sehr erfolgreiche Methode des Trickbetrugs, weil es sich typisch menschliche Denk- und Verhaltensweisen zunutze macht. Oft wird Social Engineering auch als „Human Hacking“ bezeichnet. Der Unterschied zum Computerhacking liegt darin, dass Computer rational funktionieren, während Menschen primär von Emotionen geleitet werden. Genau diesen Umstand nutzen Cyberkriminelle beim Social Engineering aus. 


Die drei verbreitetsten Methoden des Social Engineerings in Unternehmen

Social Engineering hat viele Formen, die zum Teil sehr unterschiedlich sind. Am bekanntesten ist das sogenannte „Phishing“, also massenhaft versendete Nachrichten, die vorgeben, von realen Dienstleistern, Banken oder gar dem Systemadministrator zu sein. In dieser Nachricht wird dazu aufgefordert, Anmeldedaten oder Passwörter auf einer gut gefälschten Webseite einzugeben, oder einen Link oder Anhang zu öffnen, hinter denen sich ein Malware Download verbirgt. Professionelle Phishing-Nachrichten sind schwer als solche zu erkennen und deshalb sehr gefährlich.

Eine Sonderform des Phishings ist das sogenannte „Spear Phishing“, das einen sehr gezielten und individualisierten Angriff auf ein spezifisches Unternehmen bezeichnet. Hierfür wird das Angriffsziel im Vorfeld eingehend beobachtet und gegebenenfalls über weitere Social-Engineering-Methoden ausspioniert. Hierbei kommt zunehmend Malware zum Einsatz, die das System zwar intakt lässt, aber auf dem Gerät bleibt und kontinuierlich Daten für einen zukünftigen Nutzen sammelt.

Eine weitere Form des Social Engineering im digitalen Bereich ist das „Pretexting“, was häufig die Grundlage für weitere Betrugsmethoden bildet. Hierbei wird mit einer ausgeklügelten Identität eine bestehende persönliche oder geschäftliche Beziehung zum Unternehmen vorgegaukelt. Ziel ist, an persönliche oder geschäftliche Daten zu kommen. Der Angreifer gibt sich hier beispielsweise als Dienstleister, Techniker oder Lieferant aus und gibt vor, bestimmte Daten zu benötigen, um Identitäten zu bestätigen oder eine Dienstleistung auszuführen.


Wer ist besonders durch Social Engineering gefährdet?

Grundsätzlich kommt Social Engineering überall dort zum Einsatz, wo Menschen der Schlüssel zu Geld oder wertvollen Informationen sind. Das Bundeskriminalamt spricht daher auch von der „Schwachstelle Mensch“. Die primäre Zielgruppe von Social Engineering befindet sich in der Mitte von Unternehmen. Das sind Mitarbeiter, über die per Google, Social Media oder Veröffentlichungen recht einfach Daten wie die E-Mail-Adresse oder auch persönliche Informationen herauszufinden sind und die Zugang zu Unternehmensressourcen und sensiblen Daten haben.

In Bezug auf die Branchen sind insbesondere das Bildungs- und Finanzwesen sowie die Maschinenbau- und Automobilindustrie gefährdet. Hier gibt es hochwertige Ziele und besonders in der Industrie komplexe und zunehmend vernetzte Lieferketten. Wer hier über Social Engineering einmal hinter die Firewall und andere technische Sicherheitsmaßnahmen kommt, der kann über internes Phishing und das Sammeln weiterer Daten großen Schaden anrichten. Laut dem deutschen Digitalverband Bitkom verursachen digitale Wirtschaftsspionage, Sabotage und Datendiebstahl jährlich einen Schaden von rund 51 Milliarden Euro.


Social Engineering in Unternehmen: Sicherheit beginnt bei den Mitarbeitern

Die raffinierten Techniken von Social Engineering zeigen: IT-Sicherheit beginnt beim Menschen. Nur wenn jedes Glied in der Sicherheitskette möglichen Angriffen standhält, kann die Gefährdung durch Cyberkriminalität minimiert werden. Um das Risiko solcher Angriffe zu reduzieren, ist ein ganzheitlicher Ansatz essenziell, der sowohl technische Aspekte als auch die Sensibilisierung der Mitarbeiter berücksichtigt. Jeder Endanwender sollte darin geschult werden, mögliche Social Engineering Attacken zu erkennen und entsprechend zu reagieren. Ein effektives Security Awareness Training, das Mitarbeiter sowohl sensibilisiert als auch technisch schult, bildet hier das zentrale Element einer umfassenden Strategie.

Hinzu kommt, dass Cyberkriminelle stetig ihre Werkzeuge und Techniken verfeinern und von technischen Fortschritten ebenfalls profitieren. Deshalb ist es wichtig, die Sicherheitsmaßnahmen im Unternehmen immer aktuell zu halten – sowohl auf technischer Ebene als auch in der Sensibilisierung und Schulung der Mitarbeiter.



geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security