Mitarbeitende als Firewall: Social-Engineering-Angriffe ins Leere laufen lassen

Social Engi­nee­ring ist eine effek­ti­ve Metho­de, um Men­schen aus­zu­trick­sen und Unter­neh­men zu scha­den. Angrei­fer nut­zen dafür nicht die Schwach­stel­len in der IT-Infra­struk­tur, son­dern im mensch­li­chen Ver­hal­ten. Autor Tho­mas Wil­ken zeigt, wie Mit­ar­bei­ten­de selbst zu einer wirk­sa­men Gegen­maß­nah­me wer­den können.

Mit dem Eta­blie­ren einer Unter­neh­mens­kul­tur, in der Sicher­heit nicht die Auf­ga­be ein­zel­ner Exper­ten ist, son­dern in der Mit­ar­bei­ten­de aller Abtei­lun­gen gemein­sam auf die­ses Ziel hin­ar­bei­ten, kön­nen Unter­neh­men einen wirk­sa­men Schutz­schild aufbauen.

Was ist Social Engineering?

Im Kern geht es beim Social Engi­nee­ring dar­um, Men­schen zu mani­pu­lie­ren, damit sie ver­trau­li­che Infor­ma­tio­nen preis­ge­ben oder bestimm­te Hand­lun­gen aus­füh­ren. Die Angrei­fer machen sich dabei ganz natür­li­che mensch­li­che Ver­hal­tens­wei­sen und Reak­ti­ons­mus­ter zunut­ze. Oft wird auf Ver­trau­en und Hilfs­be­reit­schaft abge­zielt, aber auch Unsi­cher­heit und Angst kön­nen im Fokus der Angrei­fer ste­hen. Wäh­rend vie­le Cyber-Bedro­hun­gen tech­ni­sche Schwach­stel­len wie unsi­che­re Soft­ware oder Netz­werk­lü­cken aus­nut­zen, zielt Social Engi­nee­ring auf den „Fak­tor Mensch“ ab, der häu­fig das schwächs­te Glied in der Sicher­heits­ket­te ist. Vie­le Sicher­heits­maß­nah­men wie Fire­walls, Anti­vi­ren­soft­ware oder Ver­schlüs­se­lung bie­ten oft kei­ne direk­te Abwehr gegen Social-Engineering-Angriffe.

Beispiele für Social-Engineering-Angriffe

Ver­folgt man das The­ma in den Medi­en, ent­steht leicht der Ein­druck, dass Cyber-Angrif­fe auf Unter­neh­men bestimmt sind von raf­fi­nier­ten Hacker­an­grif­fen mit moderns­ter Tech­nik. Doch die Rea­li­tät sieht oft ganz anders aus. Schau­en wir uns eini­ge der von Angrei­fern am häu­figs­ten genutz­ten Schwach­stel­len und spe­zi­fi­schen Tech­ni­ken an.

• Phis­hing (E-Mai, SMS, Social Media): eine der bekann­tes­ten For­men, bei der Angrei­fer gefälsch­te E-Mails oder Nach­rich­ten ver­sen­den, die ver­trau­ens­wür­dig aus­se­hen. Das Ziel ist es, den Emp­fän­ger dazu zu brin­gen, auf einen Link zu kli­cken oder Infor­ma­tio­nen preiszugeben.
• Vis­hing (Voice Phis­hing): Hier­bei han­delt es sich um Betrugs­ver­su­che am Tele­fon, bei denen Angrei­fer vor­ge­ben, eine ver­trau­ens­wür­di­ge Per­son oder Insti­tu­ti­on zu sein, um sen­si­ble Infor­ma­tio­nen zu erlangen.
• Spear-Phis­hing: Im Unter­schied zum all­ge­mei­nen Phis­hing sind die­se Angrif­fe gezielt und auf eine bestimm­te Per­son oder Per­so­nen­grup­pe inner­halb eines Unter­neh­mens aus­ge­rich­tet. Die Angrei­fer sam­meln vor­ab spe­zi­fi­sche Infor­ma­tio­nen, um den Angriff glaub­wür­di­ger zu gestalten.
• Pre­texting: Eine Tech­nik, bei der der Angrei­fer eine fal­sche Iden­ti­tät oder eine erdach­te Geschich­te ver­wen­det, um das Ver­trau­en der Ziel­per­son zu gewin­nen und sie dazu zu brin­gen, in sei­nem Sin­ne zu handeln.
• Bai­ting: Beim Bai­ting set­zen Angrei­fer auf die mensch­li­che Neu­gier oder Gier. Eine oft ver­wen­de­te Metho­de besteht dar­in, einen USB-Stick an einem öffent­li­chen Ort „zu ver­lie­ren“. Die Neu­gier kann durch eine pas­sen­de Auf­schrift wie „Gehalts­lis­ten“ noch ver­stärkt wer­den. Nimmt ein Mit­ar­bei­ten­der den Stick mit und öff­net ihn an einem Fir­men­com­pu­ter, kön­nen Daten gestoh­len oder Schad­soft­ware instal­liert wer­den. Auch ver­meint­lich attrak­ti­ve Down­load-Ange­bo­te im Netz kön­nen als Köder dienen.
• Tail­ga­ting: In die­sem Arti­kel ste­hen Cyber-Bedro­hun­gen im Mit­tel­punkt. Es soll aber nicht uner­wähnt blei­ben, dass es Social-Engi­nee­ring-Atta­cken durch­aus auch im „Real Life“ gibt. Beim soge­nann­ten Tail­ga­ting zum Bei­spiel ver­schafft sich ein Angrei­fer phy­si­schen Zugang zu einem gesi­cher­ten Bereich, indem er sich ein­fach hin­ter einen befug­ten Mit­ar­bei­ten­den „hängt“, der gera­de das Gebäu­de oder einen gesi­cher­ten Bereich betritt.

Auswirkungen erfolgreicher Social-Engineering-Angriffe

Was pas­siert, wenn ein Social-Engi­nee­ring-Angriff auf ein Unter­neh­men erfolg­reich ist? Die Fol­gen kön­nen ver­hee­rend sein:

• Daten­dieb­stahl: Sen­si­ble Daten wie Kun­den­da­ten oder Fir­men­ge­heim­nis­se kön­nen in fal­sche Hän­de geraten.
• Daten­ver­lust: Daten aller Art kön­nen im Zuge eines Angriffs ver­lo­ren gehen. Ran­som­wa­re-Atta­cken zie­len sogar direkt dar­auf ab, Daten mit­tels einer Ver­schlüs­se­lung unzu­gäng­lich für das ange­grif­fe­ne Unter­neh­men zu machen.
• Finan­zi­el­le Schä­den: Ent­wen­de­te Daten kön­nen für Betrugs­zwe­cke genutzt wer­den oder direkt zu finan­zi­el­len Ver­lus­ten füh­ren. Auch ver­lo­re­ne Daten kön­nen finan­zi­el­le Schä­den ver­ur­sa­chen. Wenn kein Back-up exis­tiert, müs­sen die Kos­ten einer Daten­ret­tung getra­gen werden.
• Repu­ta­ti­ons­ver­lust: Ein Daten­leck kann das Ver­trau­en von Kun­den und Geschäfts­part­nern mas­siv schädigen.
• Recht­li­che Fol­gen und Com­pli­ance-Ver­let­zun­gen: Unter­neh­men könn­ten haft­bar gemacht wer­den und recht­li­che Kon­se­quen­zen sowie Stra­fen erlei­den, wenn sie nicht aus­rei­chen­de Sicher­heits­vor­keh­run­gen getrof­fen haben.

Präventions- und Abwehrmaßnahmen gegen Social Engineering

Oft ste­hen tech­ni­sche und infra­struk­tu­rel­le Maß­nah­men im Fokus, wenn es dar­um geht, Unter­neh­men bes­ser gegen Cyber-Angrif­fe abzu­si­chern. Das ist nicht falsch, der eigent­li­che Schlüs­sel zur Abwehr sol­cher Angrif­fe liegt aber oft bei den Mit­ar­bei­ten­den. Im Fol­gen­den wer­fen wir des­halb einen Blick auf ver­schie­de­ne Maß­nah­men, die Unter­neh­men ergrei­fen kön­nen, um Mit­ar­bei­ten­de resi­li­en­ter gegen Social-Engi­nee­ring-Angrif­fe zu machen.

#1 Regel­mä­ßi­ge Schu­lun­gen und Work­shops: Eine der effek­tivs­ten Maß­nah­men zur Prä­ven­ti­on von Social-Engi­nee­ring-Angrif­fen sind kon­ti­nu­ier­li­che Schu­lun­gen. Die­se soll­ten pra­xis­nah und inter­ak­tiv gestal­tet wer­den, um das Bewusst­sein für die The­ma­tik zu schär­fen. Inhal­te könn­ten bei­spiels­wei­se sein:

• Erken­nen von Phis­hing-E-Mails und ver­däch­ti­gen Anhängen
• Umgang mit uner­war­te­ten Tele­fon­an­ru­fen, die nach ver­trau­li­chen Infor­ma­tio­nen fragen
• Ver­hal­tens­re­geln für den siche­ren Umgang mit Social Media

Regel­mä­ßi­ge Auf­fri­schungs­kur­se hel­fen, das Wis­sen aktu­ell zu hal­ten und das Bewusst­sein ste­tig zu schärfen.

#2 Simu­lier­te Angrif­fe mit Phis­hing-Tests: Ein wei­te­res wirk­sa­mes Mit­tel zur Sen­si­bi­li­sie­rung kön­nen simu­lier­te Angrif­fe sein wie Phis­hing-Tests. Hier­bei ver­sen­det die IT-Abtei­lung oder ein exter­ner Anbie­ter gezielt Phis­hing-E-Mails an Mit­ar­bei­ten­de, um deren Reak­tio­nen zu tes­ten. Sol­che Übun­gen tra­gen dazu bei, Wei­ter­bil­dungs­be­darf bes­ser abschät­zen zu kön­nen, und kön­nen dar­über hin­aus eine Kul­tur der Wach­sam­keit fördern.

#3 Richt­li­ni­en für den Umgang mit sen­si­blen Daten: Kla­re und umfas­sen­de Sicher­heits­richt­li­ni­en sind essen­zi­ell. Die­se soll­ten ein­deu­ti­ge Vor­ga­ben dazu beinhal­ten, wie mit sen­si­blen Daten umzu­ge­hen ist, wie Zugän­ge ver­wal­tet und wie auf ver­däch­ti­ge Akti­vi­tä­ten reagiert wird. Umso mehr poten­zi­ell kri­ti­sche Ent­schei­dun­gen im Rah­men eines defi­nier­ten Pro­zes­ses fal­len, des­to gerin­ger wird das Risi­ko, dass ein Mit­ar­bei­ten­der eine fol­gen­schwe­re Ein­zel­ent­schei­dung trifft.

#4 Kla­re Kom­mu­ni­ka­ti­ons­we­ge und Veri­fi­ka­ti­ons­pro­zes­se: Wir an so vie­len Stel­len der moder­nen Arbeits­welt ist eine gelin­gen­de Kom­mu­ni­ka­ti­on im Büro auch hier einer der Schlüs­sel zu Erfolg. Es ist bei­spiels­wei­se wich­tig, dass Mit­ar­bei­ten­de wis­sen, wel­che Kom­mu­ni­ka­ti­ons­we­ge für wel­che Anlie­gen geeig­net sind und wie sie ggf. die Iden­ti­tät von Anru­fern oder E-Mail-Absen­dern veri­fi­zie­ren kön­nen. Unter­neh­men soll­ten kla­re Pro­zes­se für die Veri­fi­zie­rung von Anfra­gen eta­blie­ren, wie:

• Rück­ruf bei der offi­zi­el­len Num­mer des Anrufers
• Bestä­ti­gung von Anfra­gen durch eine zwei­te, unab­hän­gi­ge Person
• Nut­zung offi­zi­ell dekla­rier­ter Kommunikationskanäle

#5 Not­fall­plä­ne und Reak­ti­ons­stra­te­gien: Ein aus­ge­ar­bei­te­ter IT-Not­fall­plan kann den Scha­den im Fal­le eines Angriffs mini­mie­ren. Mit­ar­bei­ten­de soll­ten wis­sen, wie sie ver­däch­ti­ge Akti­vi­tä­ten mel­den und wel­che Schrit­te sofort ein­ge­lei­tet wer­den müs­sen, um die Aus­wir­kun­gen eines Vor­falls zu begrenzen.

#6 Imple­men­tie­rung tech­ni­scher Schutzmaßnahmen

• E-Mail-Fil­ter und Spam-Erken­nung: Tech­ni­sche Lösun­gen allein kön­nen Social-Engi­nee­ring-Angrif­fe nicht ver­hin­dern, doch sind selbst­ver­ständ­lich eben­falls ein wesent­li­cher Bestand­teil jeder Sicher­heits­stra­te­gie. Moder­ne E-Mail-Fil­ter und Spam-Erken­nungs­sys­te­me kön­nen poten­zi­ell schäd­li­che E-Mails iden­ti­fi­zie­ren und iso­lie­ren, bevor sie ihr Ziel erreichen.
• Mul­ti-Fak­tor-Authen­ti­fi­zie­rung (MFA): Die Imple­men­tie­rung von Mul­ti-Fak­tor-Authen­ti­fi­zie­rung (MFA) ist eine wei­te­re wich­ti­ge Schutz­maß­nah­me. Selbst wenn Angrei­fer Zugangs­da­ten durch Social Engi­nee­ring erlan­gen, kön­nen sie ohne den zwei­ten Authen­ti­fi­zie­rungs­fak­tor – wie eine Bestä­ti­gung über das Smart­phone oder einen spe­zi­el­len Sicher­heits-Token – kei­nen Zugang zu den Sys­te­men erhalten.
• Zugriffs­kon­trol­len und Berech­ti­gungs­ma­nage­ment: Eine effi­zi­en­te Ver­wal­tung von Zugriffs­rech­ten stellt sicher, dass Mit­ar­bei­ten­de nur auf die Infor­ma­tio­nen und Sys­te­me zugrei­fen kön­nen, die sie für ihre Arbeit benö­ti­gen. Dies mini­miert das Risi­ko, dass ver­trau­li­che Infor­ma­tio­nen in die fal­schen Hän­de gelan­gen, wenn Mit­ar­bei­ten­de Opfer eines Social-Engi­nee­ring-Angriffs wird.

Best Practices für Unternehmen

Zusam­men­ar­beit mit exter­nen Sicher­heits­exper­ten und -diens­ten: Exter­nes Fach­wis­sen kann wert­voll sein, um die eige­nen Sicher­heits­stra­te­gien zu über­prü­fen und zu ver­bes­sern. Sicher­heits­exper­ten kön­nen Schwach­stel­len iden­ti­fi­zie­ren und maß­ge­schnei­der­te Schu­lungs­pro­gram­me ent­wi­ckeln, die spe­zi­ell auf die Bedürf­nis­se und Schwä­chen Ihres Unter­neh­mens zuge­schnit­ten sind.

Kon­ti­nu­ier­li­che Wei­ter­bil­dung und Anpas­sung der Sicher­heits­maß­nah­men: Die Bedro­hungs­land­schaft ändert sich stän­dig. Unter­neh­men müs­sen daher sicher­stel­len, dass ihre Schu­lun­gen und Sicher­heits­maß­nah­men regel­mä­ßig über­prüft und aktua­li­siert wer­den. Dies kann durch Teil­nah­me an Fach­kon­fe­ren­zen, den Aus­tausch mit ande­ren Unter­neh­men und die Ein­be­zie­hung von Exper­ten geschehen.

För­de­rung einer Unter­neh­mens­kul­tur der Wach­sam­keit und Ver­ant­wor­tung: Mehr als jede tech­ni­sche Lösung kann eine Unter­neh­mens­kul­tur der Wach­sam­keit und Ver­ant­wor­tung dazu bei­tra­gen, Social Engi­nee­ring zu bekämp­fen. Ein aus­ge­präg­tes Bewusst­sein für Sicher­heit unter den Ange­stell­ten trägt nicht nur dazu bei, die Wahr­schein­lich­keit von Sicher­heits­vor­fäl­len zu ver­rin­gern, son­dern schafft auch eine Atmo­sphä­re des Ver­trau­ens und der Team­ar­beit, in der alle Mit­ar­bei­ten­den aktiv dar­an betei­ligt sind, die Daten­si­cher­heit aufrechtzuerhalten.