Ext-Com NEWS

Unser Newsroom mit dem Blick für das Wesentliche

Social Engineering – Nachgehakt.

In den vergangenen Wochen wurden wir öfters zum Thema Social Engineering direkt angesprochen und  haben diesbezüglich ebenso Kundengespräche geführt. Die Kernfrage: Was ist das eigentlich genau, welche Formen gibt es und wie kann man sich dagegen effektiv schützen? Dazu erst einmal folgendes: Cyberangriffe – und davon ist ein Teil auf Social Engineering zurückzuführen, gibt es immer häufiger. Tendenz – auch im Mittelstand, steigend. Gemäß einer Studie vom Forschungs- und Beratungsinstitut Sirius Campus waren in Deutschland bereits 57 Prozent der kleinen und mittelständischen Unternehmen Opfer einer Cyberattacke – das sind rund 3,5 Millionen Unternehmen. Die größten Gefahren sind Softwareschwachstellen, Ransomware (Schadsoftware) und Phishing. Sie glauben das nicht? Dann lesen Sie hier: https://www.bsi.bund.de

Ransomware ist eine Schadsoftware, die alle digitalen Ressourcen eines Unternehmens verschlüsseln kann. Danach folgen Lösegeldforderungen. Phishing findet statt, wenn beispielsweise sogenannte SPAM-Mails zugeschickt werden und man irrtümlicherweise auf einen Link darin klickt, womit vertrauliche Daten in die Hände der Angreifer gelangen. Phishing-Mails müssen nicht immer gezielt sein, sie werden auch zufallsbasiert an unterschiedlichste E-Mail-Adressen gestreut. Dennoch wenn sie gezielt an Mitarbeitende gesendet werden (Spear Phishing), kann es schneller eine ganze Kette an weiteren Cyberangriffen geben. So weit, so gut, aber was heißt das, wenn ein Phishing-Angriff gezielt stattfindet? Genau an dieser Stelle kommt Social Engineering ins Spiel. Dann helfen auch Firewalls nicht unbedingt weiter. Lesen Sie doch einfach hier, warum das so ist: https://it-sicherheit.de/blog und kommen Sie dann später wieder zurück zu uns – zum Weiterlesen.

Die richtigen Fragen stellen

Das Social Engineering ist ein Sammelsurium an technischen und nicht-technischen Verfahren, die zum Ausspionieren vertraulicher Daten dienen. Um Ihren Erwartungen gerecht zu werden, muss gleich gesagt werden, dass alle Social Engineering Verfahren in diesem Artikel nicht besprochen werden. Allerdings werden hier einige wenige Szenarien vorgestellt.

Um eine gezielte Phishing-E-Mail erfolgreich zu machen, brauchen die Angreifer nicht nur die valide E-Mail-Adresse des Opfers, sondern auch möglichst viele Informationen über die avisierte Person, um den Angriff zu planen. Nicht jede Person klickt auf etwas in der E-Mail, und wenn überhaupt, dann nicht auf alles und nicht in jedem Kontext. Und das erklärt schon die ganzen Bemühungen der so genannten Social Engineers. Wenn Sie jetzt mehr Fragen als Antworten haben – ja dann befinden Sie sich auf dem richtigen Weg. Stellen Sie sich doch mal folgende erste Frage: Wo geben Sie tagtäglich überall Daten preis?

Stellen Sie sich einen normalen Arbeitstag vor. Sie fahren mit der U-Bahn oder im Bus und haben es nicht weit zu Ihrem Büro. Wenn Sie dort ankommen, sehen Sie – wie immer – viele Menschen im Foyer. Manche stehen Schlange an der Rezeption, die anderen telefonieren und sprechen, weitere sitzen im öffentlichen Wartebereich an ihren Laptops und arbeiten. Im Aufzug sind – wie immer – mindestens 10 Personen, die völlig fremd wirken und alle schauen in ihre Handys. Nachdem Sie endlich aus dem Aufzug ausgestiegen sind, laufen Sie – und noch einige weitere Personen – Richtung Büro. Das ist nichts Ungewöhnliches, denn viele Ihrer Kolleginnen und Kollegen haben tagtäglich Termine früh am Morgen. Sie kommen zuerst an die Tür und halten Ihren Transponder an das entsprechende Feld, damit sich die Tür öffnet. Sie gehen am Empfang vorbei – hinter Ihnen laufen womöglich Kunden oder Dienstleister – wer weiß das schon… Die Mittagspause verbringen Sie meistens in der Kantine – diese ist unten im Bürogebäude und wird mit anderen Unternehmen geteilt. Übrigens ist die Kantine auch ein guter Ort, um Kontakte zu knüpfen und sich geschäftlich zu vernetzen.

Nach der Mittagspause meint Ihre Tischnachbarin, dass jemand aus der IT angerufen hat, um Ihnen mitzuteilen, dass Ihr Transponder bald ausgewechselt werden muss. Dann ist endlich Feierabend. Nach einem langen Arbeitstag gehen Sie schließlich aus dem Büro Richtung U-Bahn, halten kurz neben dem Ticketautomaten an, um eine Fahrkarte zu kaufen – Sie bezahlen, wie immer, mit Ihrer EC-Karte. An der Haltestelle neben ihrem Haus treffen Sie Ihre Freundin, gehen kurz bei einem Supermarkt vorbei und endlich nachhause.

Lesen Sie nun diesen Textabschnitt erneut, und überlegen Sie an welchen Punkten die Gefahr bestand, dass Ihnen jemand über die Schulter und damit auf digitale Eingabefelder, Ihr Handy oder Ihren Laptop schauen konnte. Unabhängig davon sprechen Sie auch in der Öffentlichkeit über relevante Informationen – vielleicht weil ein Kollege unbedingt nach Feierabend noch eine wichtige Information braucht. Es kann Zufall sein oder Sie sind vielleicht sogar ein "Gewohnheitstier" – Sie machen jeden Tag vielleicht das Gleiche.

Vier Phasen und sieben Formen des Social Engineerings

Fakt ist: Es können sich in ihrer Nähe jeden Tag potenzielle Angreifer tummeln, ohne dass Sie diese jemals bemerken. Wenn man Sie oft sieht, kann man ganz ungezwungen mitbekommen, wie andere Kollegen sie etwa im Foyer, ansprechen: „Guten Morgen Herr X“, „Hallo Y“. Wenn Sie – wie alle anderen – im Aufzug auf den Bildschirm Ihres Handys starren, kann man ihnen oft über die Schulter schauen und beispielsweise – ganz zufällig – folgende Daten sehen: Muster oder Pin für das Smartphone, Namen der Personen, die Ihnen SMS und Chatnachrichten senden, Ihre Profile auf Social Media und vieles mehr. Dass Sie die Daten Ihrer EC-Karte nicht jeder Person zeigen sollten, wissen Sie, aber ist Ihnen immer bewusst, wer Ihnen beim Kauf einer Fahrkarte zuschaut? Unser erster Tipp lautet daher: Damit Ihnen das Ausmaß solcher „kleinen“ Diebstähle klarer wird, versuchen Sie mal eine Liste anzufertigen, auf der Sie aufschreiben, welche Daten an welchen Punkten einsehbar, abgehört oder abgefragt werden können. Und: Viele Angreifer arbeiten in Gruppen, und diese nehmen sich für Sie Zeit. Sie dokumentieren und betreiben Social Profiling. Und all die gesammelten Informationen kann man bei der Vorbereitung von Phishing-Mails gut verwenden.

Zusammenfassend kann man sagen, dass ein Social Engineering-Angriff in vier Phasen unterteilt werden kann.

  1. Vorbereitung: Der oder die Angreifer recherchieren nach möglichen Zielpersonen. Sobald man Informationen zu Gewohnheiten und Tagesablauf gesammelt hat, wird ein Profil der Zielperson erstellt (Social Profiling).
  2. Infiltrationsphase: Wenn der Angreifer der Ansicht ist, genug Vertrauen aufgebaut zu haben, versucht er, die Zielperson dazu zu bringen vertrauliche Informationen preiszugeben und animiert diesen Aktionen durchzuführen.
  3. Ausbeutungsphase: Der Angreifer nutzt jetzt die vertraulichen Informationen und Aktionen der Zielperson für seine eigenen Zwecke.
  4. Disengagement: Nachdem der Angreifer alles erhalten hat, was er haben möchte, erpresst er diese oder das Unternehmen. Danach trennt er sich von der Zielperson und verschwindet im Schatten.

Zu den häufigsten Social Engineering Angriffen zählen mitunter:

  1. DNS-Spoofing
  2. Köder- und Quid-pro-Quo-Attacken
  3. Physische Verstösse und Tailgating
  4. Phishing
  5. Pretexting
  6. Scareware
  7. Watering-Hole-Angriffe

Allgemeine Zahlen, Daten und Fakten zum Thema Cybersicherheit und wie ein Cyberangriff mit Social Engineering tatsächlich ablaufen kann lesen Sie hier: https://www.it-daily.net/it-sicherheit/cloud-security/auf-augenhoehe-mit-seiner-it-sicherheit-sein

Was genau soll man tun, um eigene Mitarbeiter zu sensibilisieren?

Nun, wenn die obigen Ausführungen Ihnen ein leichtes, subtiles Panikgefühl vermittelt haben, dann ist das wichtigste Ziel, die Sensibilisierung nämlich, erreicht. Sonst würden Sie die entsprechenden Maßnahmen als einen langweiligen Zeitvertreib ansehen. Sensibilisierungsmaßnahmen sollten vor allem regelmäßig im Rahmen von Schulungen durchgeführt werden, damit ihre Mitarbeiter*innen sehen, was auf dem Spiel steht und verstehen, wie einfach Datenklau funktionieren kann. Stellen Sie also die richtigen Fragen, dann finden Sie die richtigen Antworten zu mehr IT-Sicherheit.

Konkret heißt das:

  1. Klicken Ihre Mitarbeiter*innen auf Links in nicht autorisierten E-Mails?
  2. Laden Ihre Mitarbeiter*innen Anhänge und Bilder aus nicht autorisierten E-Mails herunter?
  3. Gelten die Ergebnisse zu Frage 1 und Frage 2 auf allen Endgeräten?
  4. Halten Ihre Mitarbeiter*innen jemandem die Türe ins Büro offen?
  5. Verifizieren Ihre Mitarbeiter*innen die Anrufer?
  6. Welche Informationen geben Ihre Mitarbeiter*innen am Telefon, wie leicht preis?
  7. Welche Informationen geben Ihre Mitarbeiter*innen beim Mittagessen in einer externen Kantine, wie leicht preis?
  8. Greifen Ihre Mitarbeiter*innen zum Handy, wenn sie Aufzug fahren?
  9. Lassen Ihre Mitarbeiter*innen den Bildschirm nicht gesperrt, wenn sie den Arbeitsplatz kurz verlassen?
  10. Verwenden Ihre Mitarbeiter*innen sichere Passwörter auf allen Geräten und Systemen?
  11. Ändern Ihre Mitarbeiter*innen die Passwörter regelmäßig und rechtzeitig?
  12. Welche Inhalte der Benachrichtigungen sieht man auf den gesperrten Bildschirmen der Endgeräte Ihrer Mitarbeiter*innen?
  13. Verwenden Ihre Mitarbeiter*innen Folien für den Bildschirm des Laptops, welche die  Sichtbarkeit der Daten für andere erschweren?
  14. Verifizieren Ihre Mitarbeiter*innen, wer sich in oder um Ihr Büro aufhält, beispielsweise mittels Fragen wie „Haben Sie einen Termin bei einem meiner Kollegen? Ich führe Sie gerne hin“

Die Liste solcher Trainingsfragen, die am besten in inszenierten Trainingsszenarien geprüft werden sollten, kann auch weitergeführt werden. Dennoch tragen Sie bereits mit diesen 14 Fragen wesentlich zu Sicherheitsverbesserung bei.

Fazit

Zum Social Engineering zählen zwar viele nicht-technische Verfahren, dennoch sind diese sehr effektiv, und zwar ganz besonders dann, wenn Opfer diese nicht ernst nehmen. Bereits mehr als die Hälfte deutscher Unternehmen kennt den Ernst der Lage. Angreifer lassen sich zudem immer perfidere Lösungen einfallen. Die Lage nicht ernst zu nehmen, wäre grob fahrlässig. Bitte schulen Sie Ihre Mitarbeiter*innen.

Haben Sie Fragen? Wir sind für Sie da.

Wir sind für Sie da!

Micha Pfisterer Geschäftsführer

Haben Sie Fragen rund um die Themen
IT Service & Sicherheit?

+49 89 4132 798 - 0
anfrage@ext-com.de

Zurück