Social Engineering: Wenn der Mensch das schwächste Glied in der Kette ist

Aug. 08, 2021

Es wäre sicher möglich, einen Text über Social Engineering und Social Hacking zu schreiben, in dem die Weisheit "Wo Menschen arbeiten, werden Fehler gemacht!" nicht vorkommt.

Andererseits beschreibt der Satz die zugrunde liegende Problematik einfach zu treffend. Stress, Bequemlichkeit, Angst vor Vorgesetzten und verwirrende Zuständigkeiten können Faktoren sein, die derartige Angriffe auf Unternehmen fördern.

Hacker scheitern zunehmend an technischen Schutzmaßnahmen im IT-Bereich. Klassische Schadsoftware wird vermehrt von Virenscannern entdeckt oder lässt sich erst gar nicht auf einem Rechner ausführen. Daher verlagern Cyber-Kriminelle ihre Aktivitäten häufig dahingehend, Berechtigte dazu zu bringen, Sicherheitsmechanismen zu unterlaufen oder zu deaktivieren. Verantwortliche sollten sich neben der Härtung der eigenen IT-Infrastruktur deswegen auch mit der Sensibilisierung eigener Mitarbeiter befassen, um Social Hacking zu erschweren.

Social Engineering vs. Social Hacking

Die Begriffe "Social Engineering" und "Social Hacking" werden oft synonym verwendet. Inhaltlich sind sie eng miteinander verwandt. Beide Formen haben gemeinsam, dass sie auf eine Manipulation von Menschen setzen. Dazu bauen Kriminelle, häufig mit viel Aufwand, eine bedrohliche Kulisse auf. Diese soll Betroffene unter Druck setzen und so zu einem unbedachten Handeln verleiten. Werden bei einem Angriff Sicherheitsmechanismen des IT-Netzwerks umgangen und so Zugriff erlangt, spricht man explizit vom Social Hacking. Es mag Menschen geben, die tatsächlich immun gegen derartige "soziale" Attacken sind. Realistischer ist aber die Annahme, dass fast jeder in einer entsprechenden Situation "auf dem falschen Fuß" erwischt werden könnte.

Kriminelle setzen beim Social Engineering schlicht auf Masse. Einstiegspunkt sind häufig frei verfügbare Informationen aus dem Internet oder gar dem Telefonbuch. Abseits der Cyberkriminalität funktioniert beispielsweise seit Jahren der sogenannte Enkel-Trick. Hierbei rufen Täter ältere Menschen an und geben sich als deren Enkel aus. Schaffen sie es, das Vertrauen des Angerufenen zu gewinnen, bitten sie diesen meist um Geld, das sie wegen einer angeblichen Notlage dringend benötigten. Trotz entsprechender Aufklärungskampagnen funktioniert diese Methode nach wie vor. Wenn man davon ausgeht, dass heutzutage nicht mehr jeder Mensch im Rentenalter anhand seines unmodernen Vornamens erkennbar ist, kann man sich vorstellen, wie viele Anrufe notwendig sind, um geeignete Opfer zu finden.

Diese Erkenntnis lässt sich auf die Cyber-Kriminalität und das Social Hacking übertragen. Durch systematische Recherchen im Internet können Kriminelle problemlos unzählige Firmen aus bestimmten Branchen ermitteln. Zu vielen existieren auch ausreichend frei verfügbare Informationen. Hilfreiche Fakten sind etwa Namen von Abteilungsleitern und Geschäftsführern. Wertvoll ist auch das Wissen, wer für die Administration des Firmen-Netzwerks zuständig ist.

Danach stellt es für die Täter eine Fleißarbeit dar, ausreichend Unternehmen zu kontaktieren und darauf zu hoffen, dass Mitarbeiter ihrem ausgedachten Szenario folgen und beispielsweise Zugangsdaten an den vermeintlichen Mitarbeiter eines IT-Dienstleisters herausgeben.

Wie funktioniert ein Social-Hacking-Angriff?

Social-Engineering-Angriffe setzen auf bekannte menschliche Reaktionen. Angst, Neugier oder auch bloßes Mitleid für eine vermeintlich in Not befindliche Person können eine Basis sein. Bestimmte Szenarien zeigen bei Menschen aus jeglicher sozialen Schicht und unabhängig von ihrem Bildungsstand Wirkung. Opfer von Anlagebetrügern, die im Vorfeld marktunübliche Gewinne versprachen, waren in der Vergangenheit oft Ärzte, Rechtsanwälte und sogar Psychologen. Die Aussicht auf hohe finanzielle Gewinne, in Verbindung mit einer aufwändig aufgebauten Fassade, sorgte in vielen bekanntgewordenen Fällen dafür, dass hochintelligente Menschen Betrügern auf den Leim gingen. Daher wird es der Problematik nicht gerecht, das Funktionieren eines Social-Engineering-Angriffs als Versagen einzelner Personen abzutun.

Kriminelle haben einige Szenarien entwickelt, die regelmäßig zu einem erfolgreichen Social Hacking führen:

  • CEO-Fraud: Bei dieser Variante geben sich Betrüger als ranghohe Führungskräfte aus dem Unternehmen aus. Sie teilen dem Mitarbeiter zum Beispiel mit, dass ein wichtiges Termingeschäft anstehe und umgehend eine Überweisung vorgenommen werden müsse. Daher sei etwa der normalerweise vorgesehene Kommunikationsweg nicht einzuhalten. Erfolgt die Kontaktaufnahme per Telefon, so täuschen die Kriminellen auch mittels Call-ID-Spoofing die tatsächliche Rufnummer des vermeintlichen Anrufers vor. Es zeigte sich in der Vergangenheit, dass Mitarbeiter in einer solchen Situation häufig nicht den Mut haben, die aufgetragene Transaktion zu hinterfragen. Zudem haben Täter oftmals die Möglichkeit, tatsächliche Kooperationspartner im Vorfeld auszukundschaften. Die Verwendung von real existierenden Namen und Projektbezeichnungen aus dem Umfeld der Geschäftspartner erhöhen die Glaubwürdigkeit enorm.

  • Phishing: Dieses Phänomen widmet sich der Erlangung von Zugangsdaten zu wichtigen Accounts. Bekannt ist es bereits aus dem Bereich des Online-Banking-Betrugs. Eine vergleichbare Masche findet aber auch im Firmenumfeld Anwendung. Die Kontaktaufnahme erfolgt per Mail oder Telefon. Oft setzen Betrüger eine Kombination ein. So versenden sie beispielsweise zunächst eine verfälschte E-Mail, in der dringende IT-Wartungsarbeiten angekündigt werden. Dort können auch Namen und Telefonnummern angeblich berechtigter Mitarbeiter aufgeführt sein. Im Anschluss erfolgt ein Anruf eines vermeintlichen IT-Mitarbeiters. Dieser fordert dann beispielsweise die Preisgabe von Zugangsdaten, um remote Wartungsarbeiten durchführen zu können.

  • Ransomware: Derartige Angriffe erfolgen inzwischen häufig sehr planvoll und über einen längeren Zeitraum. Erklärlich ist dies unter anderem durch die hohen Gewinne, die Kriminelle auf diese Weise in der Vergangenheit erzielen konnten. Ziel ist es zunächst, einen Mitarbeiter dazu zu bringen, die Anlage einer E-Mail auszuführen. In diesem Zusammenhang haben auch Makroviren innerhalb von Office-Dokumenten wieder Bedeutung erlangt. Da deren Ausführung in Firmennetzwerken standardmäßig in der Regel deaktiviert ist, benötigen die Angreifer etwa einen Berechtigten, der dies manuell zulässt. Dafür eignen sich Szenarien aus dem Bereich des CEO-Fraud, bei denen aus vermeintlicher Dringlichkeit die Sicherheitsvorgaben kurzfristig zu missachten seien. Ebenso aber auch schlichte Hilfsbereitschaft, wenn etwa ein Kunde den Mitarbeiter höflich darum bittet, aus wichtigen Gründen eine Anlage einzusehen. Durch Ausführung der Schadsoftware erfolgt eine Verschlüsselung von Firmendaten. Das übergeordnete Ziel der Kriminellen ist es, die Entschlüsselung gegen die Zahlung eines hohen Lösegeldes anzubieten.

  • Die "Günstige Gelegenheit": Natürlich werden regelmäßig neue Betrugsmaschen erfunden. Vorsicht ist entsprechend bei unnatürlichen Gewinnchancen und vermeintlich einmaligen Gelegenheiten geboten. In den meisten Menschen steckt vermutlich ein Schnäppchenjäger, dem es schwerfällt, gute Angebote auszulassen. Gerade im Bereich des Social Hacking ist es eben nicht erforderlich, direkt auf das Vermögen des Angegriffenen zuzugreifen. Das Einschleusen von Schadsoftware in ein Firmennetzwerk kann initial für zahlreiche kriminelle Handlungen sein. Dies sind unter anderem Computersabotage, Datendiebstahl und Erpressungen. Auslöser dafür ist häufig das voreilige Öffnen einer E-Mail-Anlage.

Begünstigende Faktoren für Social Hacking beseitigen

Ein gesundes Misstrauen und das Mitdenken von Angestellten sind wichtige Bausteine, um Social-Engineering-Angriffe ins Leere laufen zu lassen. Einige Voraussetzungen hierfür sind:

  • Regelmäßige Schulung und Sensibilisierung von Mitarbeitern
  • Vorgaben wie Vier-Augen-Prinzip und Zwei-Faktor-Authentifizierung bei wichtigen Transaktionen
  • Ermunterung zu Rückfragen bei Vorgesetzten
  • Positives Herausstellen kritischer Nachfragen
  • Technisches Unterbinden von kritischen Handlungen per Gruppenrichtlinie
  • Nutzung von SPF (Sender Policy Framework) oder Verschlüsselung von E-Mails zur Verhinderung der Verfälschung von Absendern

Sensibilisierung als dauerhafte Aufgabe

Der Branchenverband bitkom schätzte die durch Cybercrime entstandenen Schäden für die Wirtschaft bereits für das Jahr 2019 auf über 100 Milliarden Euro. Darin enthalten sind ca. 10 Milliarden Euro an mutmaßlich erzielten Lösegeldern aus Erpressungen. Bei derartig hohen Gewinnaussichten ist nicht davon auszugehen, dass das Phänomen der Cyberkriminalität in den nächsten Jahren weniger relevant wird.

Gleichzeitig rücken aufgrund verbesserter technischer Schutzmaßnahmen vermehrt Mitarbeiter in den Fokus von Kriminellen. Dies beweisen zahlreiche erfolgreich verlaufene Social-Hacking-Angriffe auf Unternehmen und Organisationen. Die Einbeziehung der eigenen Mitarbeiter in das ganzheitliche IT-Schutzkonzept sollte daher zur Selbstverständlichkeit werden.

Blog

vor einem Tag

Ein Hypothetischer Ansatz zur Internationalen Zusammenarbeit bei der Entsorgung von Radioaktivem Abfall und dem Rückbau von Kernkraftwerken

Ein globales Modell zur gemeinsamen Verantwortung für den Rückbau von Kernkraftwerken und die sichere Entsorgung von radioaktivem Abfall

vor 14 Tagen

Nachhaltigkeit leicht gemacht: Wie ADEY BSM und ADEY ERP den Supermarktbetrieb revolutionieren

Von Smart Metern bis zu Lieferketten: Eine umfassende Lösung für ESG- und GHG-Berichterstattung über Scope 1, 2 und 3

vor 14 Tagen

Nachhaltigkeit und Transparenz in der KI-Chip-Lieferkette mit Adey ERP und BSM

Optimierte Nachverfolgbarkeit – von der Mine bis zum Endkunden mit Hyperledger Fabric