Informationssicherheit - Social Engineering

Social Engineering nutzt psychologische Tricks, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder bestimmte Handlungen auszuführen, die die Sicherheit von Organisationen gefährden.

Die Angreifer setzen auf das Vertrauen, die Hilfsbereitschaft oder die Unachtsamkeit der Angestellten, um an sensible Daten zu gelangen oder in geschützte Netzwerke einzudringen.

Regelmäßige Schulungen und Awareness-Kampagnen können das Bewusstsein für die Gefahren des Social Engineering schärfen. Daher ist es entscheidend, dass Unternehmen nicht nur in  Sicherheitstechnologien investieren, sondern auch in die Ausbildung ihrer Mitarbeiterinnen und Mitarbeiter.


Phishing ist eine der bekanntesten Formen des Social Engineering, bei der Angreifer oft E-Mails verwenden, um eine vertrauenswürdige Identität wie die der IT-Abteilung vorzutäuschen und die Empfänger zur Weitergabe vertraulicher Daten zu bewegen. Die IT-Abteilung würde nie verlangen, dass vertrauliche Informationen per E-Mail gesendet werden.

Beim Human-Based Social Engineering erfolgt der Angriff durch persönlichen Kontakt, bei dem der Täter persönliche Gespräche nutzt, um an die gewünschten Informationen zu gelangen. Diese Angriffe können über Telefonanrufe, persönliche Treffen oder andere direkte Interaktionen stattfinden. Das Ziel ist es, das Opfer dazu zu bringen, sensible Informationen preiszugeben oder Handlungen auszuführen, die die Sicherheit gefährden.

Social Engineering ist eine Technik, die darauf abzielt, eine Person durch Manipulation ihres natürlichen menschlichen Verhaltens dazu zu bringen, Informationen preiszugeben oder bestimmte Handlungen auszuführen. Hier sind einige der psychologischen Prinzipien und Methoden, die bei Social Engineering Angriffen häufig ausgenutzt werden:

  • Hilfsbereitschaft
    Menschen haben oft ein inhärentes Bedürfnis, anderen zu helfen, besonders wenn jemand in Not zu sein scheint. Social Engineers spielen auf diese Neigung an, indem sie sich als Kollegen oder IT-Support-Mitarbeiter ausgeben, die Hilfe benötigen.

  • Gutgläubigkeit
    Viele Menschen neigen dazu, das zu glauben, was man ihnen sagt, vor allem, wenn die Informationen scheinbar von einer vertrauenswürdigen Quelle stammen. Angreifer können sich als Vorgesetzte oder vertrauenswürdige Dritte ausgeben, um diese Tendenz auszunutzen.

  • Autorität
    Personen reagieren in der Regel auf Anfragen von Autoritätspersonen, ohne diese zu hinterfragen. Ein Social Engineer könnte sich als höher gestellte Führungskraft ausgeben und so den Gehorsam gegenüber Autoritäten ausnutzen.

  • Dringlichkeit
    Wenn eine Situation als dringend oder zeitkritisch dargestellt wird, neigen Menschen dazu, schneller und ohne die üblichen Sicherheitsprüfungen zu reagieren.

  • Angst vor Konsequenzen
    Ein Social Engineer könnte drohen, dass, wenn das Opfer nicht kooperiert, negative Konsequenzen eintreten werden, wie zum Beispiel Jobverlust oder Sicherheitsverletzungen.

  • Sympathie
    Angreifer versuchen manchmal, auf einer persönlichen Ebene eine Beziehung aufzubauen, um Vertrauen zu schaffen. Wenn die Angreifer sympathisch erscheinen, könnte das Opfer eher bereit sein, Informationen zu teilen oder Hilfe anzubieten.

  • Reziprozität
    Menschen fühlen sich oft verpflichtet, einen Gefallen zu erwidern. Ein Social Engineer könnte zunächst eine Hilfe anbieten oder ein Geschenk geben, in der Hoffnung, dass das Opfer dann ebenfalls bereit ist, zu helfen.

Eine spezielle Art des Social Engineering ist der sogenannte CEO-Fraud, auch "Geschäftsführer-Betrug" genannt. Hier geben sich Betrüger als hochrangige Führungskräfte oder gar als Geschäftsführer aus und instruieren Mitarbeiter in der Finanzabteilung, große Geldbeträge auf bestimmte Konten zu überweisen. Sie nutzen hierfür oft sehr überzeugend gefälschte E-Mails oder andere Kommunikationsmittel. Die Dringlichkeit und Autorität der Anfrage führt dazu, dass die Mitarbeiter, in dem Glauben zu handeln, die Geschäftsführung unterstützen zu müssen, die Überweisungen tatsächlich ausführen.

Das Bundeskriminalamt (BKA) hat festgestellt, dass durch CEO-Fraud bereits erhebliche Summen von den Unternehmen gestohlen wurden, mit teilweise schwerwiegenden Konsequenzen sowohl für die Unternehmen selbst als auch für die getäuschten Mitarbeiter. 

Reverse Social Engineering ist eine subtilere Form des Social Engineering, bei der der Angreifer ein Problem oder eine Situation kreiert, welche die Zielperson dazu verleitet, sich an den Angreifer um Hilfe zu wenden. Das Opfer sucht dann aktiv nach dem Betrüger und bietet ihm somit freiwillig die gewünschten Informationen an.

Ein Beispiel hierfür könnte sein, dass ein Angreifer ein IT-Problem in einem Unternehmen erzeugt oder vortäuscht, das er dann selbst anbietet zu lösen. Während des vermeintlichen Lösungsvorgangs sammelt der Angreifer vertrauliche Informationen oder erhält Zugriffsberechtigungen, die er für spätere Angriffe nutzen kann.


Dieser Ansatz ist besonders hinterhältig, weil er das natürliche Hilfesuchverhalten der Menschen ausnutzt und das Misstrauen, das normalerweise bei ungefragten Kontaktversuchen aufkommen könnte, umgeht. Die betroffenen Mitarbeitenden werden so zu unwissenden Komplizen gemacht.

Wie gehen Social Engineers vor?

Das "Dumpster Diving" ist eine klassische und einfache Technik des Informationsdiebstahls, bei der Hacker buchstäblich in den Abfallcontainern eines Unternehmens nach sensiblen Informationen suchen. Es kann überraschend effektiv sein, da viele Menschen nicht erkennen, dass selbst unscheinbare Dokumente – wie interne Telefonlisten, Organigramme, Notizen zu Meetings, alte Festplatten oder USB-Sticks – wertvolle Informationen für Social Engineers enthalten können. Diese Informationen können genutzt werden, um:

  • Die Unternehmenshierarchie und interne Prozesse zu verstehen.
  • Details über IT-Systeme oder Software herauszufinden, die in einem Unternehmen verwendet werden.
  • Namen und Rollen von Mitarbeitern zu lernen, um gezielte Phishing-Angriffe oder andere Formen des Social Engineerings durchzuführen.

Um sich vor solchen Angriffen zu schützen, sollten Unternehmen sicherstellen, dass alle Mitarbeitenden verstehen, wie wichtig es ist, Dokumente sicher zu entsorgen. Dies kann durch Schreddern von Papierdokumenten und sichere Löschung von elektronischen Medien erfolgen.

Ebenso wichtig ist es, dass Mitarbeiter sensibilisiert werden, keine sensiblen Informationen unbeaufsichtigt zu lassen, selbst wenn sie für unwichtig gehalten werden könnten. Weiterhin sollten Unternehmen eine klare Richtlinie für die ordnungsgemäße Entsorgung sensibler Daten implementieren und regelmäßig überprüfen, ob diese Richtlinien eingehalten werden.


Social Engineering Attacken, die direkten persönlichen Kontakt erfordern, sind oft raffinierter und nutzen die Tendenz der Menschen aus, Autoritätspersonen oder vermeintlichen Kollegen entgegenzukommen. Der Angreifer könnte beispielsweise:

  • Sich als IT-Support-Mitarbeiter ausgeben, der behauptet, ein dringendes Update auf dem Computer des Opfers installieren zu müssen.
  • Sich als neuer Mitarbeiter ausgeben, der Hilfe bei der Orientierung im Unternehmen benötigt.
  • Sich als Vertreter einer regulierenden Behörde ausgeben, der Zugang zu bestimmten Dokumenten oder Systemen benötigt.

Diese Taktiken basieren darauf, dass die meisten Menschen hilfsbereit sind und nicht erwarten, dass jemand in ihrer unmittelbaren Umgebung betrügerische Absichten hat. Hier sind einige Maßnahmen, die Unternehmen ergreifen können, um sich zu schützen:

  • Schulung der Mitarbeiter in Bezug auf Social Engineering Techniken und die Bedeutung der Verifizierung von Identitäten.
  • Implementierung strenger Sicherheitsprotokolle, einschließlich Besucheranmeldung, Namensschilder und Begleitung von Gästen durch die Räumlichkeiten.
  • Einrichtung klarer Kommunikationskanäle, damit Mitarbeiter verifizieren können, ob Anfragen legitim sind.
  • Förderung einer Kultur der Sicherheitsbewusstheit, in der Mitarbeiter ermutigt werden, Verdächtiges zu melden.

Die Täter spielen mit dem Vertrauen und den Erwartungen ihrer Opfer. Durch den Aufbau einer scheinbaren Beziehung über einen längeren Zeitraum hinweg kann es ihnen gelingen, das Opfer zur Preisgabe sensibler Informationen zu bewegen. Dies kann auf verschiedene Weisen geschehen:

  • Häufige Interaktionen
    Durch wiederholte Kontakte bauen die Angreifer Vertrauen auf. Das Opfer beginnt, den Angreifer als bekannte und vertrauenswürdige Person wahrzunehmen.

  • Verwendung von Informationen
    Die in früheren Gesprächen gesammelten Informationen werden genutzt, um die Glaubwürdigkeit zu stärken und weitere Fragen zu legitimieren.

  • Ablenkungstechniken
    Durch Smalltalk oder das Einweben der Fragen in unwichtige Themen wird das wahre Ziel des Anrufs verschleiert.

  • Ausnutzung von Buzzwords
    Die Verwendung von Fachjargon kann helfen, den Angreifern eine Aura von Legitimität zu verleihen und Zugang zu bestimmten Informationen oder Bereichen zu erhalten.

  • Manipulation von Erinnerungen
    Durch das Mischen von unwichtigen mit wichtigen Fragen können Social Engineers die Erinnerung ihrer Opfer an das Gespräch verwischen, sodass diese sich später nicht mehr genau erinnern können, welche Informationen preisgegeben wurden.

Social Engineering nutzt die menschliche Neigung aus, anderen zu helfen und ihnen zu vertrauen, was in einem Geschäftsumfeld oftmals eine wichtige Rolle spielt. Doch eben diese positiven menschlichen Eigenschaften machen Menschen anfällig für Manipulation. Hier sind einige Aspekte, wie Social Engineering funktioniert:

  • Informationssammlung
    Social Engineers sammeln zunächst harmlos erscheinende Informationen über ihre Zielpersonen. Diese können aus öffentlichen Quellen wie sozialen Medien, Unternehmenswebseiten oder auch durch direkte, unwichtig scheinende Fragen in vorherigen Gesprächen stammen.

  • Zusammensetzen von Informationen
    Die gesammelten Einzelinformationen werden zu einem Gesamtbild zusammengesetzt, das dem Angreifer tiefere Einblicke in das Unternehmen oder die Person gibt.

  • Schaffung von Legitimität
    Durch die Verwendung dieser zusammengesetzten Informationen kann der Angreifer Glaubwürdigkeit erlangen und sich als Insider oder legitime Autorität darstellen.

  • Manipulation
    Der Social Engineer spielt gezielt mit den Eigenschaften der Hilfsbereitschaft, des Vertrauens und der Kooperationsbereitschaft der Zielpersonen, um sie dazu zu bringen, Unternehmensrichtlinien zu umgehen und sensible Daten preiszugeben oder unerlaubte Handlungen zu vollziehen.

  • Vertrauensmissbrauch
    Die natürlich positiven Neigungen zur Zusammenarbeit und Hilfsbereitschaft werden gegen das Opfer gewendet, indem die Angreifer einen Kontext schaffen, in dem das Opfer meint, das Richtige zu tun.

Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH

Hettwer UnternehmensBeratung

Hettwer UnternehmensBeratung GmbH - Spezialisierte Beratung - Umsetzungsdienstleistungen im Finanzdienstleistungssektor – Experte im Projekt- und Interimsauftragsgeschäft - www.hettwer-beratung.de

H-UB ERFOLGSGESCHICHTE

Auszeichnung:

Gold-Partner-Zertifikat

Hettwer UnternehmensBeratung GmbH wurde aufgrund der erbrachten Beraterleistungen in den exklusiven Kreis der etengo Gold-Partner aufgenommen.

H-UB EXPERTENWISSEN

Hettwer UnternehmensBeratung GmbH – Expertenprofil Klaus Georg Hettwer (Geschäftsführer): Beratungskompetenz, Fachliche Kompetenz, Methodische Kompetenz, Soziale Kompetenz, Kommunikationskompetenz; Sonderthemen: SEPA, EMIR, TARGET2, MiFID, T2S

- Eine Beratung mit PROFIL -

H-UB Leistungskatalog

Download
H-UB Leistungskatalog.pdf
Adobe Acrobat Dokument 89.4 KB
Download

H-UB SOCIAL MEDIA PRÄSENZ

© 2010-2024 Hettwer UnternehmensBeratung GmbH