Auf einmal ist da diese Mail im Postfach. Absender ist die Bank oder wahlweise die Unternehmens-IT. In alarmierendem Ton wird darüber informiert, dass es zu Unregelmässigkeit beim Benutzerkonto gekommen ist. Es sei dringend erforderlich, die eigenen Login-Daten auf einer praktischerweise direkt verlinkten Seite einzugeben, um Schlimmes zu verhindern. Gar nicht so einfach unter diesen Umständen ruhig zu überlegen, ob Mail und Absender wirklich echt sind oder es sich um einen Social Engineering-Angriff handelt. Doch was ist Social Engineering überhaupt, welche Angriffsmethoden sind besonders erfolgreich und wie können Unternehmen sich dagegen schützen?
Social Engineering-Attacken sind äusserst vielfältig. Gemeinsam haben sie jedoch, dass sie typisch menschliches Verhalten und Emotionen zum Beispiel Angst oder Autoritätshörigkeit ausnutzen. Ziel ist es, das Vertrauen der Opfer zu gewinnen und psychischen Druck aufzubauen, damit diese Daten preisgeben oder Handlungen ausführen, von denen sich die Angreifer Profit versprechen. Das kann eben sein, dass unter Vorwänden nach den Zugangsdaten für das Bankkonto gefragt wird. Oder vermeintlich die Kollegen von der IT behilflich sein wollen und dafür ebenfalls vertrauliche Zugangsdaten benötigen. Die Mails und die Seiten, auf die die Adressaten geleitet werden, sehen auf den ersten Blick echt aus und schon ist es passiert: Cyberkriminelle können über das eigene Vermögen verfügen oder Schadprogramme wie Ransomware in das Unternehmenssystem einschleusen. Dies sind nur zwei Beispiele dafür, wie Social Engineering-Angriffe ablaufen können. Der Erfindungsreichtum der Hacker ist bei dieser Cybercrime-Spielart grenzenlos. Dabei gehen die Kriminellen manchmal so raffiniert vor, dass selbst IT-Profis zum Opfer werden können.
Phishing führend bei Social Engineering
Die am weitesten verbreitete Angriffsmethode im Rahmen des Social Engineering ist Phishing und das in mehreren Formen:
Phishing-E-Mails
Üblicherweise gehen Hacker beim Versand von Phishing-Mails nicht gezielt vor. In der Regel werden also massenhaft Nachrichten verschickt, die angeblich von echten Absendern wie Webshops, Finanzdienstleistern, Systemadministratoren oder auch Freunden kommen. Durch geschickte psychologische Manipulation und Dringlichkeit suggerierende Betreffzeilen, sollen die Empfänger dazu gebracht werden, Passwörter und Kontodaten für verschiedene Systeme preiszugeben. Oft handelt es sich dabei, um technologisch sehr gut gesicherte Systeme. Deshalb setzen die Angreifer auf menschliche Unachtsamkeit, um dort einzudringen. Manchmal sollen die Empfänger auch bestimmten Links folgen. Leisten sie dem Folge, infizieren die Hacker zum Beispiel das System mit Malware und verschlüsseln und/oder stehlen Daten.
Spear-Phishing
Zielgerichteter gehen die Cyber-Angreifer beim Spear-Phishing vor. Dabei werden die E-Mails an eine kleinere Zielgruppe gerichtet. Um auf die Zielgruppe zugeschnittene Mails verfassen zu können, werden die Adressaten vorher ausgekundschaftet. Das kann etwa geschehen, indem Informationen über Adressaten oder die betroffene Organisation auf Social oder Business Netzwerken eingeholt werden. Daher versprechen Spear-Phishing-Attacken, die zu den personalisierten Taktiken gehören eine höhere Trefferquote. Eine Variante ist der sogenannte CEO-Fraud (CEO-Betrug). Dabei schreiben die Täter, Entscheidungsträger oder für Zahlungsvorgänge befugte Mitarbeiter an. Der vorgebliche Absender ist – um psychologischen Druck aufzubauen – ein Vorgesetzter, der sie beauftragt, unverzüglich einen Geldbetrag überweisen.
Whaling
Zu den personalisierten Taktiken gehört auch das sogenannte Whaling. Dabei nehmen die Hacker hochranginge Führungskräfte – also „grosse Tiere, daher der Name „Whaling“ – ins Visier. Wie bei den anderen Phishing-Attacken geht es darum, sich vertrauliche Daten oder Geld zu erschleichen. Zum Beispiel geben die Hacker sich als Entscheidungsträger eines Geschäftspartners aus, der etwa die Überweisung eines hohen Betrags für einen Geschäftsabschluss verlangt. Das angegebene Konto gehört allerdings den Kriminellen, die so grosse Summen erbeuten.
Wenn die Schwachstelle der Mensch ist
Social Engineering-Attacken zielen in erster Linie auf die Sicherheitslücke Mensch und nicht auf technologische Schwachstellen ab. Um die Sicherheitslücke Mensch zu schliessen, können Unternehmen verschiedene Massnahmen ergreifen:
- Regelmässige Cybersicherheitsschulungen, die die Mitarbeiter für die Gefahr durch Social Engineering sensibilisieren. Besonders für Neueinsteiger sollte diese Trainings obligatorisch sein. Dazu gehört, dass alle Mitarbeiter lernen, wie selbst gut gemachte Phishing-Mails zu erkennen sind und wann Misstrauen bei vermeintlich bekannten Empfängern angebracht ist.
- Gut ist, wenn Mitarbeiter nachlesen können, worauf sie bei Anfragen nach sensiblen Daten achten sollten.
- Ein Meldeprozess, der regelt, was Mitarbeiter beim Erhalt dubios wirkende E-Mails oder auch im Fall eines erfolgreichen Phishing-Versuchs tun sollten, hilft ebenfalls, die Gefahr einzudämmen.
Fatale Folgen von Social Engineering-Angriffen
Social Engineering ist so gefährlich, weil bestmögliche Cybersecurity-Massnahmen allein dadurch ausgehebelt werden, dass ein einziger Mitarbeiter im entscheidenden Moment unbedacht handelt.
Die Konsequenzen können für jedes Unternehmen fatal sein. So können die Angreifer in den Besitz wertvoller Daten wie sensiblen Kundeninformationen oder Betriebsgeheimnissen gelangen. Dies kann Drohungen, die Daten zu veröffentlichen, falls nicht eine hohe Summe gezahlt wird, zur Folge haben. Denkbar ist auch, dass die Cyberkriminellen gefährliche Malware einschleusen, die Dateien sperrt, oder Systeme offline nehmen. Dann kann es nicht nur zu finanziellen Schäden aufgrund von Betriebsstillständen kommen. Wird ein Diebstahl von Kundendaten bekannt, drohen zudem Imageschäden. Es ist daher für jedes Unternehmen empfehlenswert, sich mit Social-Engineering-Bedrohungen auseinanderzusetzen und alle Mitarbeiter hierarchieübergreifend für diese Gefahr zu sensibilisieren – schliesslich stehen sie zuvorderst im Visier der Angreifer.