Aktuelles, Branche - geschrieben von am Montag, März 5, 2018 18:20 - ein Kommentar

Einfallstor Mensch: Social Engineering als oft unterschätzter Risikofaktor im Unternehmen

Cyber-Kriminelle beeinflussen mit Raffinesse Mitarbeiter und dringen so in das Firmennetzwerk ein

[datensicherheit.de, 05.03.2018] Es gibt viele Möglichkeiten, um einen IT-Verantwortlichen ins Schwitzen zu bringen: Malware, Fehlkonfigurationen der Systeme oder DDoS-Attacken… Ein oft unterschätzter Faktor auf das Firmennetzwerk ist „Social Engineering“. G DATA zeigt in einer aktuellen Stellungnahme, auf welche Faktoren zu achten ist und erklärt anhand eines Szenarios, wie Cyber-Kriminelle bei einem Angriff vorgehen könnten.

„Social Engineering“ als Angriffsvektor oft unterschätzt

Im Jahr 2017 habe es im Mittel jede Minute 16 neue Malwaretypen für den Computer gegeben – so die Erkenntnisse der Analysten der G DATA Software AG. Kriminelle aus dem Internet bedienten sich aber auch anderer perfider Tricks, um durch Manipulation von Mitarbeitern, im Fachjargon „Social Engineering“ genannt, an vertrauliche Informationen des Unternehmens zu gelangen.
Unternehmen fokussierten meistens auf den Schutz vor spezifischen, auf das Firmennetzwerk zielenden Angriffsvektoren. Angefangen bei Malware wie Ransomware, Trojaner oder Viren, über Fehlkonfigurationen der Systeme bis hin zu DDoS-Attacken. Eine Schwachstelle, die von IT-Security-Verantwortlichen als Einfallstor häufig unterschätzt werde, sei eben das „Social Engineering“.

Cyber-Kriminelle bereiten Angriffe besser vor

Längst seien die Tage vorbei, an denen Mitarbeiter in Personalabteilungen kryptische E-Mail-Bewerbungen von vermeintlichen Interessenten erhielten. Eine schlechte Grammatik oder Rechtschreibfehler hätten früher als Indikator für eine unseriöse oder gefährliche Nachricht ausgereicht.
Heutzutage bereiteten sich Cyber-Kriminelle auf einen Angriff besser vor, denn auch sie hätten dazugelernt. Laut Erkenntnissen aus der Studie „Social Engineering Attack Framework“ gebe es sechs Schritte eines solchen Angriffs:

  • Schritt 1: Angriffsformulierung
  • Schritt 2: Sammeln von Informationen
  • Schritt 3: Vorbereitung
  • Schritt 4: Beziehung herstellen
  • Schritt 5: Beziehung manipulieren
  • Schritt 6: Debriefing

Fake-Profile als Köder

Ein gutes Beispiel ist laut G DATA ein Recruiter eines Unternehmens, der häufig auf Social-Media-Plattformen zugreift, um nach geeigneten Bewerbern zu suchen – „Scouting“ lautet das Stichwort:
Scheint ein geeigneter Kandidat gefunden zu sein, so werde mit ihm Kontakt aufgebaut. Auch Kriminelle wüssten das und erstellten sich ein Fake-Profil, um mit diesem im passenden Moment mit dem Personalverantwortlichen in Kontakt zu treten. Der Täter versuche sich Informationen über den HR-Angestellten zu verschaffen bevor er Vertrauen bei seinem Gegenüber aufbaut und sende ein Bewerbungsschreiben, bezugnehmend auf die sympathische Konversation über „Social Media“, an den HR-Angestellten.
Dieses Konzept sei mehr erfolgsversprechend als initiativ eine standardisierte Bewerbung zu verfassen. Darin enthalten seien ein kurzer und knapper Text sowie ein Bild- und ein PDF-Anhang. Die E-Mail sowie die Anhänge würden geöffnet und die Malware auf dem Computer ausgespielt. Der Angreifer habe den Mitarbeiter folglich zum Öffnen der Dateien beeinflusst. Dahinter könnte sich nun eine Ransomware zur Verschlüsselung wichtiger Dateien mit folgender Lösegeldforderung zum Entschlüsseln befinden.
Das könne aber auch ein Trojaner sein, um die Tastaturanschläge aufzuzeichnen und an den Angreifer zu übersenden. In anderen Worten: Anmeldepasswörter würden aufgenommen und stünden fortan dem Cyber-Kriminellen zur Verfügung.

Awareness-Trainings für Mitarbeiter!

„Social Engineering“ werde überall dort eingesetzt, wo Menschen beeinflusst werden können und ein passender Schlüssel Geld für den Angreifer verspricht.
Das könnten sowohl wertvolle Mitarbeiter-Informationen sein, direkte Zugangsdaten oder Zugriff zu geheimen Dokumenten, die ein Betriebsgeheimnis preisgeben. Laut einer Studie des IT-Branchenverbands Bitkom von 2017 verursache die digitale Spionage, Sabotage oder Datendiebstahl deutscher Unternehmen jedes Jahr einen Schaden von rund 55 Milliarden Euro. Da der Trend dieser Angriffsart aber an Beliebtheit gewinne und somit steige, sei inzwischen mit höheren Schadenssummen zu rechnen. Die Lösung gegen dieses Angriffsszenario seien Awareness-Trainings für Mitarbeiter:
Der erste Schritt sei es, als IT-Verantwortlicher seine Mitarbeiter für „Social Engineering“ zu sensibilisieren. Beispielsweise lernten Mitarbeiter dort, dass E-Mails kritisch begutachtet werden sollten, am Telefon keine sensiblen Daten preisgegeben und keine Links angeklickt werden sollten, welche beispielsweise auf eine Login-Seite führen.

Sicherheitssoftware mit Phishing-Schutz zur Unterstützung!

Ein weiterer, ebenso wichtiger Schritt sei eine gute Sicherheitssoftware, die einen Phishing-Schutz bereitstellt. Viele Angriffe ließen sich so bereits im Vorfeld abfangen.
Dadurch würden die Mitarbeiter deutlich entlastet und relevante, für die tägliche Arbeit wichtige E-Mails könnten schneller bearbeitet werden. In anderen Worten: Das Risiko werde minimiert, auf einen Social-Engineering-Angriff hereinzufallen, der finanzielle Schäden verursachen könnte.

Weitere Informationen zum Thema:

ResearchGate, August 2014
Social Engineering Attack Framework



ein Kommentar

Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

Heinz
Mrz 6, 2018 10:45

Hallo,
ich betreibe seit Jahren zwei Webseiten zu diesem Thema (http://socialengineering24.de und https://socialengineeringbook.squeezefunnels.com). Die Informationen auf diesen Seiten sind in mehrere Kategorien untergliedert. Leider musste ich in den letzten Jahren feststellen, dass im deutschsprachigen Raum dieses Thema weiterhin nicht ernst genommen wird und das Interesse sich in erschreckenden Grenzen hält.
Egal welche Nachrichten in den Medien veröffentlicht werden (z.B. Einbruch in das super gesicherte Netz unserer Regierung), das Thema Social Engineering wird kaum erwähnt. Auf meiner Webseite gibt es Artikel, die zeigen, dass es diese Art der Angriffe auch in Deutschland gibt.

Kommentieren

Kommentar

Current ye@r *

Kooperation

TeleTrusT – Bundesverband IT-Sicherheit e.V.

Schulungsangebot

mITSM ISO 27001 Zertfifizierungs Audit

Partner

ZIM-BB
fit4sec

Gefragte Themen


Datenschutzhinweis