Social Engineering verstehen und bekämpfen

Hacker brechen nicht in Unternehmen ein, sie loggen sich ein: Obwohl vielfach die Vorstellung herrscht, dass Cyberkriminelle ausgefeilte Techniken anwenden, um bestimmte Schutzmechanismen auszuhebeln und so die Verteidigungslinien ihrer Opfer zu durchbrechen, sieht die Realität häufig anders aus. [...]

Foto: GerdAltmann/Pixabay

Social Engineering umfasst zahlreiche Strategien, deren Ziel es ist, Menschen so zu manipulieren, dass sie Zugriffe erlauben, Daten preisgeben, Informationen teilen oder Geld transferieren. Die Angreifer nutzen dabei das Vertrauen, die Unbedarftheit und Hilfsbereitschaft ihrer Opfer aus – und teilweise auch den Respekt und das Pflichtbewusstsein gegenüber Autoritäten.

Obwohl es viele Spielarten des Social Engineering (etwa Phishing und Smishing, Pretexting und BEC sowie EAC) gibt – online und offline – folgen Attacken immer demselben vierteiligen Prozess. Diesen zu verstehen, ist hilfreich, um sich vor dem hinterhältigen Vorgehen der Angreifer zu schützen:

Informationen sammeln

In dieser ersten Phase recherchiert der Bedrohungsakteur das Ziel, um herauszufinden, welche Schwachstelle für den Angriff am besten geeignet ist. Dazu nutzt er entweder Informationen, die er bei früheren Eindringversuchen gesammelt hat oder setzt auf sogenannte Open Source Intelligence (OSINT).

Öffentliche Unternehmenskommunikation wie Pressemitteilungen und Blogs oder berufliche Networking-Websites wie LinkedIn machen es den Betrügern dabei sehr leicht, umfassende Informationen zu sammeln – z.B. zu Umsatzzahlen (ist das Unternehmen ein zahlungskräftiges Opfer?) oder Personen, die ein attraktives Ziel darstellen (weil sie aufgrund ihrer Position über bestimmte Rechte und Informationen verfügen, etwa im Management oder in der Finanzabteilung).

Beziehung aufbauen

Dies ist der Zeitpunkt, an dem der Bedrohungsakteur die Grundlage für den Angriff legt. Dies kann bedeuten, dass er oder sie eine bestimmte Abteilung mit einer Phishing-Nachricht (z.B. per E-Mail, Sprachnachricht oder SMS) kontaktiert oder sich als eine bestimmte vertrauenswürdige Person ausgibt, z. B. als Assistent des Geschäftsführers oder Mitarbeitender der Finanzabteilung – je nachdem, was als erfolgsversprechend erachtet wird.

Generative künstliche Intelligenz ist dabei ein enorm hilfreiches Tool, das es den Angreifern ermöglicht, automatisiert und im großen Stil hochpersonalisierte Nachrichten zu generieren, die z.B. den Interessen der potenziellen Opfer entsprechen und als sprachlich authentisch wahrgenommen werden. Das schafft zusätzlich Vertrauen.

Ausbeutung

Dies ist der eigentliche Angriff. Dabei setzen die Kriminellen beispielsweise auf eine E-Mail, die angeblich von einer Autoritätsperson stammt, um zusätzlichen Druck aufzubauen. Durch den Verweis auf eine echte Kundenbeziehung (die Info könnte z.B. einer Pressemitteilung oder einem LinkedIn-Post entnommen sein) erscheint sie zudem glaubwürdiger.

Eine Nachricht könnte dann so lauten: „Hallo Frau Müller, es ist dringend: Leider ist bei der Abrechnung unseres Kunden Schraubenkrause etwas schief gegangen. Es wurde zu viel überwiesen. Das müssen wir schnellstmöglich korrigieren, um diesen guten Kunden nicht zu verlieren. Bitte überweisen sie die Korrektur von 10.000 Euro umgehend an folgendes Konto. MfG Thomas Schmidt, Geschäftsführer“. Natürlich ginge diese Überweisung jedoch an das Konto der Kriminellen.

Ausführung

Wenn Frau Müller nun davon überzeugt ist, dass die Nachricht von ihrem Chef Herrn Schmidt kam und die Überweisung vornimmt, haben die Betrüger ihr Ziel erreicht.

Neben Überweisungen können auch die Herausgabe von Zugangsdaten zum Unternehmensnetzwerk – oder im „Real Life“ der Zugang zu physischen Büros oder Produktionsstätten – Ziel von Social-Engineering-Angriffen sein. Um zu verhindern, dass Social-Engineering-Versuche erfolgreich sind, sind regelmäßige Schulungen erforderlich – und das nicht nur einmal im Jahr, damit Mitarbeitende die teilweise subtilen Anzeichen erkennen und ermutigt werden, auf ihr Bauchgefühl zu hören, wenn der Eindruck entsteht, dass etwas nicht stimmt.

Ein gutes Security-Awareness-Training

  • Beinhaltet aktuelle Schulungsinhalte, die für die Branche des Unternehmens relevant sind
  • Nutzt eine Sprache, die die User als Schlüsselelement der Cybersicherheitsstrategie des Unternehmens und nicht als “schwaches Glied” betrachtet
  • Verwendet Phishing-Simulationen, um Lernfortschritte zu testen
  • Setzt auf Microlearning für besseres Verstehen und langfristiges Lernen
  • Beinhaltet Schulungen, die eine unternehmensweite Sicherheitskultur schaffen, indem die Lerninhalte gut und spannend aufbereitet sind – Stichwort: Gamification und ähnliches
  • Kann von spezialisierten Anbietern als Managed Service in Anspruch genommen werden

Im Idealfall geht das Führungsteam mit gutem Beispiel voran, indem es die Cybersicherheit ernst nimmt, Best Practices vorlebt und die Art von zeitkritischen Taktiken mit hohem Druck, die Betrüger anwenden, vermeidet.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*