Scattered Spider: Social Engineering erfolgreich wegen Drittanbietersoftware

Ein zentrale Herausforderung für Sicherheitsteam ist der Umstand, dass sich Unternehmen zu oft auf Drittanbieter verlassen, um wichtige Sicherheitsfunktionen wie Identitäts- und Zugriffskontrolle bereitzustellen. Infolgedessen ist es schwierig, schnelle taktische Änderungen zur Bekämpfung aktueller Bedrohungen vorzunehmen.

Ein Kommentar von Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

[datensicherheit.de, 31.07.2025] Je mehr Aufmerksamkeit Cyberkriminelle erhalten, desto erfolgreicher scheinen sie zu sein. Scattered Spider ist aufgrund seines gekonnten Einsatzes von Social Engineering besonders interessant. Das liegt daran, dass Abwehrmaßnahmen sich oft zu sehr auf technische Angriffe und technische Lösungen konzentrieren. Die Angreifer wie Scattered Spider setzen jedoch einfache Telefonanrufe oder SMS-Nachrichten und in einigen Fällen sogar Bestechungsgelder ein, um Insider zur Mithilfe zu bewegen. Die Gruppe agiert laut Informationen der CISA ähnlich wie „Lapsus$“ vor zwei Jahren, allerdings konnte Lapsus$ inzwischen im Wesentlichen zerschlagen  werden und einige Mitglieder wurden verhaftet.

Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute, Bild: SANS

Herausforderung Drittanbietersoftware

Die Herausforderung für Sicherheitsteam ist, dass sich Unternehmen zu oft auf Drittanbieter verlassen, um wichtige Sicherheitsfunktionen wie Identitäts- und Zugriffskontrolle bereitzustellen. Infolgedessen ist es schwierig, schnelle taktische Änderungen zur Bekämpfung aktueller Bedrohungen vorzunehmen. Detaillierte Einblicke in Autorisierungsaktivitäten sind oft begrenzt, was die ordnungsgemäße Erkennung und Abwehr dieser Bedrohungen verlangsamt oder sogar verhindert.

Qualifiziertes internes Fachwissen nötig

Eine genaue Identitätsverwaltung und -überwachung muss eng auf die Geschäftsprozesse eines Unternehmens abgestimmt sein, was in der Regel am besten mit ausreichend qualifiziertem internem Fachwissen erreicht werden kann. Moderne, segmentierte Netzwerke verkomplizieren die Sache noch weiter und machen die detaillierte Überwachung, die erforderlich ist, um diese Angriffe frühzeitig zu erkennen, fast unmöglich. Einige Unternehmen profitieren davon, dass aufrichtige Insider verdächtige Aktivitäten melden, beispielsweise einen erhaltenen Anruf. Schulungen für Security Awareness legen oft mehr Wert auf die Meldefunktionen als auf altmodische Anti-Phishing-Schulungen.

Weitere Informatione zum Thema:

datensicherheit.de, 11.05.2025
SANS Institute benennt Top 5 der gefährlichsten neuen Angriffstechniken