de | Deutsch
Social Engineering.
Beim Social Engineering, einer modernen Form des Trickbetrugs, erschleichen sich Angreifer durch Lüge und Täuschung das Vertrauen einzelner Mitarbeiter von Unternehmen, bewegen sie etwa dazu, ihnen Zugang zum Firmennetzwerk zu verschaffen. Davor schützen kann sich nur, wer die größte Schwachstelle jeder Sicherheitskette stärkt: den Menschen. Wie gelingt das?

Artikel teilen

Enkeltrick 3.0. Um sich nicht betrügen zu lassen, sollte man vor allem zum richtigen Zeitpunkt die richtigen Fragen stellen. Genau das tat der Mitarbeiter eines US-Tabakkonzerns nicht, als er im Sommer vergangenen Jahres einen Anruf aus der eigenen IT-Abteilung erhielt. Der vermeintliche Kollege befragte ihn über sein E-Mail-Programm, das Betriebssystem, den VPN-Anbieter und vieles mehr. Er benötige diese Infos, um dem Angerufenen einen neuen Rechner beschaffen und konfigurieren zu können – den der sich offenbar sehnlich wünschte. So sehnlich, dass er weder sich noch dem Anrufer die naheliegende Frage stellte, warum um Himmels willen dieser über die Systeme so wenig wusste – obwohl er in der eigenen  IT-Abteilung beschäftigt ist?

 

Die Geschichte ging gut aus und ist überhaupt nur bekannt geworden, weil der Anruf von der Hackerkonferenz Defcon in Las Vegas kam und niemanden schädigen, sondern – live vor Publikum – demonstrieren sollte, was alles möglich ist, wenn es einem Angreifer gelingt, Vertrauen aufzubauen – und es anschließend zu missbrauchen. Im Kern richten sich alle Social-Engineering-Angriffe auf die immer gleichen Einfallstore der menschlichen Seele: Neugier, den Wunsch nach Gemeinschaft und Miteinander, nach Anerkennung, nach Interesse an der eigenen Person und ihren Wünschen.

Manipuly – das üble Spiel.

Social Engineering steht – wenn auch nicht wörtlich übersetzt – für „soziale Manipulation“. Gemeint ist jedwede Beeinflussung anderer mit dem Ziel, sie zur Preisgabe vertraulicher Informationen, zur Freigabe von Geldern oder zum Kauf bestimmter Güter zu bewegen.

 

image_magazin-social-engineering.jpg
Lücken gibt’s immer.

Christoph Barreith, Solution Architect im Bereich Security/Network bei Bechtle, macht immer wieder die Erfahrung, dass Unter- nehmen sich weniger mit psychologischen Aspekten beschäftigen und stattdessen mehr oder weniger Geld und Zeit aufwenden, um technische Schwachstellen ihrer IT-Systeme zu identifizieren und zu beseitigen – um jeden erdenklichen automatisiert geführten Angriff abwenden zu können.

 

Echte Sicherheit kann diese Strategie nur teilweise bieten. Denn zum einen müssen die Mitarbeiter immer auf interne Datenbestände zugreifen, um ihre Arbeit zu erledigen. Zum anderen werden die Systeme durch Integration früher getrennter Systeme und durch Vernetzung immer mehr zusammengeführt. Außerdem lassen sich alle diese Zugänge auch deshalb nicht ständig und vollkommen wasserdicht sichern, weil gerade Unternehmen, die stark auf Digitalisierung setzen, ohne Zugänge auch zu sensiblen Daten gar nicht arbeitsfähig wären.

 

Eine weitere Herausforderung bei der Abwehr  von Attacken gegen die eigenen Systeme durch Aushorchen, Lügen, Manipulieren und Erpressen liegt darin, so Christoph Barreith, „dass die Trennung  zwischen Privatem und Geschäftlichem in Zeiten  von Social Media immer mehr aufgehoben wird und dass die Menschen das auch nicht mehr trennen wollen.“

 
Ein Klick mit Folgen.

Viele geben großzügig Privates preis, weil sie dafür etwas zurückbekommen. Genau darin liegt die Gefahr: Wer über längere Zeit dir Social-Media-Profile eines Menschen auswertet, lernt ihn dadurch gut kennen. Ihm dann eine E-Mail auf den Firmenaccount zu senden, die gezielt individuelle Sehnsüchte und Erwartungen anspricht, ist ein Leichtes. Sie verleitet den Empfänger dann dazu, jenen Link anzuklicken, der dem Angreifer – virtuell – das Tor zum Serverraum des Unternehmens öffnet.

 

Das kann zum Beispiel so aussehen: Ein Mitarbeiter, der sich auf Facebook stolz mit seinem neuen Dienstfahrrad präsentiert, wird kurz darauf per E-Mail aufgefordert, an einer Umfrage teilzunehmen: Wie er mit dem Fahrrad zu- frieden sei und ob er unter folgendem Link eine Bewertung abgeben könne. Das klingt plausibel und unverfänglich – ist aber ein Trick, um Daten abzufischen oder ein Schadprogramm zu installieren.

 
Die Polizei schreibt keine E-Mails.

Das Fahrradbeispiel zeigt, wie nützlich generelle „Security Awareness“ ist, gesunde Skepsis, und zwar in beruflichen Zusammenhängen ebenso wie in privaten. Und diese Skepsis kann im Fall der Fälle die richtigen Fragen hervorbringen. Etwa: Woher weiß der (Fragesteller, Mailschreiber), was er zu wissen behauptet? Woher weiß er, dass das Fahrrad von meiner Firma stammt? Warum eigentlich interessiert er sich dafür? Gibt es darauf keine zufriedenstellenden Antworten, ist größte Vorsicht geboten.

 

Erst recht misstrauisch sollten natürlich Fragen oder Zutritts- wünsche von Fremden machen, die nicht virtuell, sondern leibhaftig auftauchen, beispielsweise in Form von Handwerkern im stilechten Outfit, die behaupten, ganz schnell im Serverraum etwas reparieren zu müssen. Auch solche Angriffe gibt es immer wieder. Nicht selten werden sie durch vertrauensbildende E-Mail-Korrespondenz vorbereitet, einen Kommunikationsweg, der generell mit Vorsicht zu genießen ist. „Staatsanwaltschaft, Polizei und Finanzamt schreiben grundsätzlich keine E-Mails“, so Solution Architect Christoph Barreith. Und auch der eigene Chef erteilt relevante Anweisungen, beispielsweise die, eine bestimmte Zahlung zu leisten, nicht per E-Mail. Und wenn doch, dann sollten die Mitarbeiter mit ihm darüber sprechen. Gefundene USB-Sticks auf oder vor dem Firmengelände sollten direkt bei der IT-Abteilung abgegeben werden, ohne am eigenen Rechner prüfen zu wollen, wem dieser USB-Stick gehört – auch wenn er mit „FKK Urlaub Korsika 2019“ beschriftet ist.

 
Sensibilisierung mit Spaßfaktor.

Die Security Awareness Trainings von Bechtle arbeiten mit ganz unterschiedlichen Ansätzen, um Sensibilität für die beschriebenen Gefahren zu wecken. Dabei spielen E-Learnings schon deshalb eine zentrale Rolle, weil selbst bei einem Mittelständler unmöglich alle Mitarbeiter Präsenzveranstaltungen besuchen könnten. Weil aber jede und jeder potenzielles Ziel von Angriffen sein kann, „müssen auch alle darauf vorbereitet werden“, so Volker Wörtmann, Leiter des Bechtle Training Centers in Neckarsulm.

 

Und diese Vorbereitung ist am wirkungsvollsten, wenn sie – auch – Spaß bringt. Deshalb arbeitet Bechtle mit Gamification, setzt also auf Spiel- und Wettbewerbselemente, lässt die Teilnehmer zum Bei- spiel um den Highscore für die meisten richtig beantworteten Fragen kämpfen. Ober führt sie in einen virtuellen Schulungsraum, in dem Gefahrenquellen versteckt sind, herumliegende USB-Sticks oder ei- ne an den Aktenschrank gepinnte Liste mit Kennwörtern. Auch beliebt: Die ausgehängte „Blacklist“ mit Telefonnummern besonders unangenehmer Kunden und Lieferanten …

 

Laufen die entsprechenden Schulungen zu konventionell ab, dann „lesen die Teilnehmer irgendwann ihre E-Mails, anstatt bei der  Sache zu sein“, so Volker Wörtmann. Und klicken dabei vielleicht genau auf jenen Anhang, den sie besser ignoriert hätten …

Security Awareness Training.

Das Trainingskonzept von Bechtle beinhaltet eine Kombination aus maßgeschneiderten Classroom-Trainings, E-Learnings und Live-Online-Trainings. Viele Unternehmen führen diese Maßnahmen bereits im Kontext Arbeitssicherheit durch und kennen daher schon das Verfahren der Schulung. Die angebotenen Trainings ermöglichen eine realitätsnahe Anpassung an individuelle Gegebenheiten und Anforderungen des betreffenden Unternehmens und eine schnelle Identifikation mit dem Thema. Indem das Unternehmen selbst erstellte Phishingmails an Mitarbeiter verschickt und den Umgang damit anschließend bewertet, kann es den Erfolg der Trainings realitätsnah überprüfen. Auch bei solchen Checks stehen Christoph Barreith und Volker Wörtmann und ihre Teams mit Rat und Tat zur Seite.

 

 

Ansprechpartner.

Bechtle update Redaktion
update@bechtle.com

 

Zum Thema.

  • Artikel: IT-Security: Vom Pflichtprogramm zum Zukunftsfaktor
  • Blog: Mit diesen 7 Tipps hat Schatten-IT in Ihrem Unternehmen keine Chance

 

Newsletter. 

Erhalten Sie die besten Artikel aus dem Bechtle update alle zwei Monate direkt in Ihr Postfach. Hier geht's zur Anmeldung:
 

NEWSLETTER

 

 

Weitere aktuelle Themen.

Frisch Gehacktes: Gefundenes Fressen für Forensiker.

Wiedersehen trotz Besuchsverbot.

Resilienz, die präventive Sicherheitsstrategie.

Veröffentlicht am 21.04.2020.