Social Engineering: Was es ist und wie man sich schützt

Social Engineering wird eingesetzt, um sicherheitstechnisch relevante Daten durch das Ausnutzen menschlichen Verhaltens zu gewinnen. Die Täter und Täterinnen fokussieren den Menschen als vermeintlich schwächstes Glied der Sicherheitskette, um ihre kriminellen Absichten in die Tat umzusetzen. Dabei nutzen sie Eigenschaften wie Vertrauen, Hilfsbereitschaft, Angst oder Respekt vor Autorität aus, um die Opfer zu manipulieren.

Social Engineering dient als Grundlage für verschiedenste Betrugsmaschen. Im Zeitalter der digitalen Kommunikation stehen den Kriminellen viele Möglichkeiten zur Verfügung, Millionen von Opfer zu erreichen. Dabei verleiten sie jemanden dazu, vertrauliche Informationen preiszugeben, Überweisungen zu tätigen, Schadsoftware auf den privaten PC oder den Rechner im Firmennetzwerk herunterzuladen und Sicherheitsfunktionen ausser Kraft zu setzen.

Wie funktioniert Social Engineering?

Bei Angriffen mithilfe von Social Engineering liegt der Fokus auf dem zentralen Merkmal der Täuschung bezüglich der Identität und der Absicht der Täter. Beispielsweise geben sich Cyberkriminelle als Techniker oder Mitarbeiter eines Telekommunikationsunternehmens aus, um das Opfer dazu zu bringen, vertrauliche Kontoinformationen preiszugeben oder eine bestimmte präparierte Webseite zu besuchen. Ein Klassiker ist zum Beispiel der angebliche Systemadministrator, der im Unternehmen anruft, weil er zur Behebung eines Systemfehlers oder einer Sicherheitslücke das Passwort benötigt.

Häufig werden auch Phishing-E-Mails verwendet, um das Opfer auf eine bestimmte Webseite zu leiten. Das Opfer, das in die Falle tappt, handelt dabei im Glauben, das Richtige zu tun. Dabei spielt es dem wahren Motiv der Kriminellen in die Hände, Zugangsdaten zu erlangen oder Schadsoftware einzuschmuggeln. Im schlimmsten Fall erlangen die Täter und Täterinnen dadurch Zugang zu dem ansonsten gut geschützten Sicherheitsnetzwerk eines Unternehmens. Abhängig vom Autoritätslevel des Opfers entstehen bei diesem, durch erfolgreiches Social Engineering, erhebliche Schäden.

Beim Dumpster Diving fokussieren sich die Täter und Täterinnen sowohl online als auch offline auf das Erlangen von Informationen über das Opfer. Social Engineers durchsuchen dabei den Müll der Zielperson, um zum Beispiel Informationen über das Verhalten und die Interessen des Opfers zu erlangen. Das können beispielsweise Pizzakartons des Lieblingsrestaurants oder Medikamentenschachteln sein. Aus solch vermeintlichen Kleinigkeiten können Angreifer und Angreiferinnen wichtige Informationen ableiten.

Gezielte und ungezielte Angriffe

Generell unterscheidet man in der IT-Security zwischen gezielten und ungezielten Angriffen. Vor allem in Bezug auf Social Engineering ist es wichtig, diesen Unterschied zu kennen:

• Ungezielte Angriffe: Diese finden kontinuierlich statt und haben das Ziel, die Rechner möglichst vieler Opfer zu infizieren. Beispiele dafür sind Spam-E-Mails oder Banking-Trojaner.

• Gezielte Angriffe: Der Social Engineer handelt mit einer klaren Absicht, beispielsweise dem Diebstahl von geistigem Eigentum oder dem Erlangen vertraulicher Informationen über ein bestimmtes Unternehmen. Währenddessen will der Täter möglichst lange unentdeckt bleiben. Dabei spricht man auch von Advanced Persistent Threats (APT).

Social-Engineering-Attacken: die häufigsten Methoden

• Phishing: Eine Phishing-E-Mail kann beispielsweise eine gefälschte Rechnung oder ein verlockendes Angebot sein. Häufig verlangt der Text dazu eine sofortige Handlung, um jemanden dazu zu bringen, ein gefälschtes Formular auszufüllen, den Link zu einer gefälschten Webseite anzuklicken oder einen infizierten Anhang zu öffnen.

• Spear-Phishing: Beim Spear-Phishing handelt es sich um einen gezielten Phishing-Angriff auf eine bestimmte Person oder ein Unternehmen. Dabei verwenden die Kriminellen persönliche Informationen, die auf das Opfer abgestimmt sind, um dessen Vertrauen zu gewinnen.

• Baiting: Beim sogenannten Baiting wird das Opfer mit einem physischen Köder in die Falle gelockt. Beispielsweise wird dabei ein mit Malware infizierter USB-Stick an einem Ort zurückgelassen, an dem er sicher gefunden wird.

• Pretexting: Beim Pretexting erschafft der Täter ein sinnvoll erscheinendes Szenario, um Zugang zu persönlichen Daten oder dem System des Opfers zu erlangen, etwa zu Zugangsdaten für ein Bankkonto.

• Tailgating: Der Täter versucht sich beim Tailgating Zugang zu einem gesicherten Ort zu verschaffen, indem er einer zugangsberechtigten Person folgt und beispielsweise vorgibt, seine Zugangskarte vergessen zu haben. Ist der Zugang zum gesicherten Ort so erfolgreich, schleust der Täter dabei Schadsoftware auf ein Gerät oder stiehlt Daten eines Nutzers oder einer Nutzerin.

• Quid pro Quo (Locken mit einer Gegenleistung): Bei einem Quid-pro-quo-Angriff (Lateinisch: "dies für das") locken Kriminelle die Opfer mit einer vermeintlichen Gegenleistung oder Entschädigung in eine Falle. Dies kann beispielsweise in einer offiziell wirkenden Umfrage passieren, wobei vorgetäuscht wird, dass es als Dankeschön für die Teilnahme ein Geschenk oder einen Geldbetrag gibt.

• Watering-Hole: Bei einer Watering-Hole-Attacke (Auflauern am Wasserloch) konzentrieren sich die Angreifer auf eine bestimmte Webseite, von der sie wissen, dass das Opfer sie häufig besucht, und infizieren diese mit Malware. Das kann beispielsweise die Menükarte eines Restaurants sein, in dem Mitarbeitende eines Unternehmens häufig zu Mittag essen.

Schutzmassnahmen gegen Social Engineering

Da sich Social Engineering um den Menschen als Sicherheitslücke dreht, ist es wichtig, sich als Privatperson sowie Mitarbeitenden im Unternehmen für mögliche Angriffe zu schulen, obwohl die Gefahr durch Social Engineering über Präventivmassnahmen nie gänzlich gebannt werden kann. Einige Schutzmassnahmen gegen Social Engineering sind:

• Nutzung von starken und komplexen Passwörtern.

• Ein gesundes Misstrauen gegenüber Unternehmensfremden.

• Auskunft am Telefon: Grundsätzlich sollen sensible Informationen nicht am Telefon weitergeben werden.

• Schulung der Mitarbeitenden: Der Mensch ist beim Social Engineering das Hauptangriffsziel. Deshalb sollte das gesamte Betriebspersonal regelmässig geschult und sensibilisiert werden. Häufig reicht es schon aus, ein grundlegendes Verständnis dafür zu entwickeln, nicht sorglos Links anzuklicken und Anhänge zu öffnen.

• Regelmässig Betriebssysteme aktualisieren.

• Ein geschultes Auge entwickeln: Sorgfältiges Lesen der E-Mails, die man erhält.

• Bei Zweifel an der Echtheit einer E-Mail oder eines Anrufs: Bei Absendern sowie Vorgesetzten nachfragen.

• Datenschutz in sozialen Netzwerken: Je mehr ein Mitarbeitender im Internet über sich preisgibt, desto angreifbarer macht er sich für die Gefahren von Social Engineering. Dabei hilft es, die Mitarbeitenden auf die Möglichkeit von Privatsphäre-Einstellungen in den sozialen Netzwerken hinzuweisen und klare Regeln für den Umgang mit unternehmensbezogenen Informationen aufzustellen.

Fazit

Social Engineering ist eine ständige und wachsende Bedrohung, der sowohl Privatpersonen als auch Unternehmen ausgesetzt sind. In einem ansonsten gut geschützten Sicherheitsnetzwerk wird beim Social Engineering der Mensch als schwächstes Glied der Sicherheitskette zum Hauptangriffsziel gemacht. Durch Schulung und Sensibilisierung der Mitarbeitenden, verbunden mit entsprechenden IT-Sicherheitsvorkehrungen, können Unternehmen die Risiken durch Social Engineering senken.