Einfallstor Mensch: Social Engineering als oft unterschätzter Risikofaktor im Unternehmen

Cyber-Kriminelle beeinflussen mit Raffinesse Mitarbeiter und dringen so in das Firmennetzwerk ein

[datensicherheit.de, 05.03.2018] Es gibt viele Möglichkeiten, um einen IT-Verantwortlichen ins Schwitzen zu bringen: Malware, Fehlkonfigurationen der Systeme oder DDoS-Attacken… Ein oft unterschätzter Faktor auf das Firmennetzwerk ist „Social Engineering“. G DATA zeigt in einer aktuellen Stellungnahme, auf welche Faktoren zu achten ist und erklärt anhand eines Szenarios, wie Cyber-Kriminelle bei einem Angriff vorgehen könnten.

„Social Engineering“ als Angriffsvektor oft unterschätzt

Im Jahr 2017 habe es im Mittel jede Minute 16 neue Malwaretypen für den Computer gegeben – so die Erkenntnisse der Analysten der G DATA Software AG. Kriminelle aus dem Internet bedienten sich aber auch anderer perfider Tricks, um durch Manipulation von Mitarbeitern, im Fachjargon „Social Engineering“ genannt, an vertrauliche Informationen des Unternehmens zu gelangen.
Unternehmen fokussierten meistens auf den Schutz vor spezifischen, auf das Firmennetzwerk zielenden Angriffsvektoren. Angefangen bei Malware wie Ransomware, Trojaner oder Viren, über Fehlkonfigurationen der Systeme bis hin zu DDoS-Attacken. Eine Schwachstelle, die von IT-Security-Verantwortlichen als Einfallstor häufig unterschätzt werde, sei eben das „Social Engineering“.

Cyber-Kriminelle bereiten Angriffe besser vor

Längst seien die Tage vorbei, an denen Mitarbeiter in Personalabteilungen kryptische E-Mail-Bewerbungen von vermeintlichen Interessenten erhielten. Eine schlechte Grammatik oder Rechtschreibfehler hätten früher als Indikator für eine unseriöse oder gefährliche Nachricht ausgereicht.
Heutzutage bereiteten sich Cyber-Kriminelle auf einen Angriff besser vor, denn auch sie hätten dazugelernt. Laut Erkenntnissen aus der Studie „Social Engineering Attack Framework“ gebe es sechs Schritte eines solchen Angriffs:

• Schritt 1: Angriffsformulierung
• Schritt 2: Sammeln von Informationen
• Schritt 3: Vorbereitung
• Schritt 4: Beziehung herstellen
• Schritt 5: Beziehung manipulieren
• Schritt 6: Debriefing

Fake-Profile als Köder

Ein gutes Beispiel ist laut G DATA ein Recruiter eines Unternehmens, der häufig auf Social-Media-Plattformen zugreift, um nach geeigneten Bewerbern zu suchen – „Scouting“ lautet das Stichwort:
Scheint ein geeigneter Kandidat gefunden zu sein, so werde mit ihm Kontakt aufgebaut. Auch Kriminelle wüssten das und erstellten sich ein Fake-Profil, um mit diesem im passenden Moment mit dem Personalverantwortlichen in Kontakt zu treten. Der Täter versuche sich Informationen über den HR-Angestellten zu verschaffen bevor er Vertrauen bei seinem Gegenüber aufbaut und sende ein Bewerbungsschreiben, bezugnehmend auf die sympathische Konversation über „Social Media“, an den HR-Angestellten.
Dieses Konzept sei mehr erfolgsversprechend als initiativ eine standardisierte Bewerbung zu verfassen. Darin enthalten seien ein kurzer und knapper Text sowie ein Bild- und ein PDF-Anhang. Die E-Mail sowie die Anhänge würden geöffnet und die Malware auf dem Computer ausgespielt. Der Angreifer habe den Mitarbeiter folglich zum Öffnen der Dateien beeinflusst. Dahinter könnte sich nun eine Ransomware zur Verschlüsselung wichtiger Dateien mit folgender Lösegeldforderung zum Entschlüsseln befinden.
Das könne aber auch ein Trojaner sein, um die Tastaturanschläge aufzuzeichnen und an den Angreifer zu übersenden. In anderen Worten: Anmeldepasswörter würden aufgenommen und stünden fortan dem Cyber-Kriminellen zur Verfügung.

Awareness-Trainings für Mitarbeiter!

„Social Engineering“ werde überall dort eingesetzt, wo Menschen beeinflusst werden können und ein passender Schlüssel Geld für den Angreifer verspricht.
Das könnten sowohl wertvolle Mitarbeiter-Informationen sein, direkte Zugangsdaten oder Zugriff zu geheimen Dokumenten, die ein Betriebsgeheimnis preisgeben. Laut einer Studie des IT-Branchenverbands Bitkom von 2017 verursache die digitale Spionage, Sabotage oder Datendiebstahl deutscher Unternehmen jedes Jahr einen Schaden von rund 55 Milliarden Euro. Da der Trend dieser Angriffsart aber an Beliebtheit gewinne und somit steige, sei inzwischen mit höheren Schadenssummen zu rechnen. Die Lösung gegen dieses Angriffsszenario seien Awareness-Trainings für Mitarbeiter:
Der erste Schritt sei es, als IT-Verantwortlicher seine Mitarbeiter für „Social Engineering“ zu sensibilisieren. Beispielsweise lernten Mitarbeiter dort, dass E-Mails kritisch begutachtet werden sollten, am Telefon keine sensiblen Daten preisgegeben und keine Links angeklickt werden sollten, welche beispielsweise auf eine Login-Seite führen.

Sicherheitssoftware mit Phishing-Schutz zur Unterstützung!

Ein weiterer, ebenso wichtiger Schritt sei eine gute Sicherheitssoftware, die einen Phishing-Schutz bereitstellt. Viele Angriffe ließen sich so bereits im Vorfeld abfangen.
Dadurch würden die Mitarbeiter deutlich entlastet und relevante, für die tägliche Arbeit wichtige E-Mails könnten schneller bearbeitet werden. In anderen Worten: Das Risiko werde minimiert, auf einen Social-Engineering-Angriff hereinzufallen, der finanzielle Schäden verursachen könnte.

Weitere Informationen zum Thema:

ResearchGate, August 2014
Social Engineering Attack Framework

datensicherheit.de, 25.09.2012
Angriffe auf Unternehmensnetze: Cyber-Kriminelle betreiben verstärkt Social Engineering