Was ist Social Engineering?

von

Lesezeit: Minuten ( Wörter)

Die 8 häufigsten Fragen zum Thema Social Engineering – beantwortet von unseren IT Security Experten

1. Was versteht man unter Social Engineering?

Mit den Methoden des Social Engineering zielen Angreifer darauf ab, bestimmte Personen dazu zu bringen, vertrauliche bzw. persönliche Informationen an sie weiterzugeben. Der Angreifer, (in diesem Fall: Social Engineer) verschafft sich auf diesem Weg die für ihn relevanten Informationen, um einen Cyberangriff durchzuführen. Die Zielperson ist für ihn dabei das „Mittel zum Zweck“, um vertrauliche Daten zu erhalten. Der Social Engineer beeinflusst die Zielperson durch psychologische Tricks und nutzt zwischenmenschliche Beziehungen aus, um sensible Informationen zu erhalten oder eine bestimmte Aktion auszuführen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Angst, Respekt vor Autorität, Eitelkeit, Gier, Vertrauen oder Hilfsbereitschaft ausgenutzt. Durch unterschiedlichste Formen der Kontaktaufnahme – und durch Ausnutzung von Gutgläubigkeit, Hilfsbereitschaft oder auch Unsicherheit der Zielperson – wird somit auf perfide Art und Weise versucht, an vertrauliche Unternehmensinterna zu gelangen.

2. Welche Methoden des Social Engineering machen sich Angreifer typischerweise zunutze?

Im Rahmen seiner vorbereitenden Informationsgewinnung wird der Social Engineer zunächst auf Basis öffentlich verfügbarer Datenquellen bzw. sozialer Netzwerke über das Ziel-Unternehmen und dessen Mitarbeiter recherchieren. Im Mittelpunkt steht hierbei die Identifikation von Mitarbeitern, die später zum An­griffsziel der Social Engineering Attacke werden. Auch die erste Kontaktaufnah­me läuft oftmals über soziale Netzwerke und wird in der Folge intensiviert, um die Opfer zu unüberlegten Handlungen zu verleiten. Hierzu zählen in erster Linie die folgenden beiden Vorgehensweisen:

Phishing: Die Bezeichnung "Phishing" ist ein Kunstwort aus dem Englischen und setzt sich aus „password“ und „fishing“ zusammen. Im Kontext des Online-Betrugs werden mit diesem Begriff Bemühungen bezeichnet, mit denen Kriminelle über gefälschte Webpräsenzen und E-Mails versuchen, an vertrauliche Daten von Internetnutzern zu gelangen. Die Zielperson wird bei diesem Angriff willkürlich oder im Zusammenhang mit anderen Betrugsmethoden, wie z.B. CEO Fraud gezielt ausgewählt.

Spear Phishing: Beim "Spear Phishing" (abgeleitet von der englischen Übersetzung des Begriffs Speer) handelt es sich um eine besondere Form von Phishing. Dieser Angriff zielt meist auf konkrete Unternehmen ab und erfolgt häufig über eine E-Mail Adresse, die von einer vertrauenswürdigen Quelle zu stammen scheint. Die Angreifer gehen raffiniert vor und suchen den Empfänger sorgfältig aus. Da Spear Phishing Angriffe auf konkrete Organisationen oder Personen abzielen, ist die Vorbereitung, aber auch die Wirksamkeit dieses Angriffs deutlich höher, als bei „traditionellen“ Phishing Angriffen.

Zur Ansprache der Opfer geben sich die Angreifer als Mitarbeiter von Firmen oder Einrichtungen aus, die im Unternehmen bereits allgemein bekannt sind. Häufig weisen sie sich auch als im Unternehmen angestellte Personen aus. Dies senkt die Hemmschwelle der Empfänger, einen Link oder Dateianhang anzuklicken, denn der Absender ist ihnen bekannt oder sogar vertraut. Im Zuge dieser Phishing-Angriffe werden fiktive Sicherheitsprobleme, gefälschte Rechnungen oder vorgetäuschte Statusmeldungen zu Aufträgen verwendet, um Nutzer dazu zu verleiten, unternehmensbezogene oder andere sensible Informationen an Unberechtigte weiterzugeben. Um die Handlungen des Opfers in die gewünschte Richtung zu lenken, werden Fristen gesetzt oder geringe Bearbeitungsgebühren erhoben. Zudem werden die Nutzer auf gefälschte Unternehmens-Webseiten gelockt, um dort in einer scheinbar vertrauten Umgebung Zugangs-, Konto- oder Kundendaten einzugeben oder zu bestätigen.

3. Inwieweit trägt ein Social Engineering Audit zum Schutz vor derartigen Angriffen auf mein Unternehmen bei?

Die Untersuchungsmethoden, die sich unsere IT-Sicherheitsexperten im Rahmen eines Social Engineering Audits zunutze machen, sind vielfältig. Alle zielen darauf ab, Social Engineering Schwachstellen in organisatorischen Unternehmensabläufen, bei der Gebäudesicherheit sowie dem Sicherheitsverhalten Ihrer Mitarbeiter zu identifizieren. Fehlt diesen nämlich das Bewusstsein, wie leicht sich Kriminelle durch verschiedenartige Formen der Manipulation von Menschen Zugriff auf Unternehmensdatenbanken verschaffen können, kann ihre Gutgläubigkeit oder Unsicherheit mit Hilfe verschiedenster Social Engineering Angriffe ausgenutzt werden.

Gutgläubigkeit oder Nachlässigkeit eigener Mitarbeiter aufgrund mangelnder Awareness für bestehende Social Engineering-Gefahren zählen zu den häufigsten Schadensursachen bei Social Engineering Angriffen. Während in technische Schutzmaßnahmen mittlerweile mit angemessen hohem Aufwand und finanziellen Mitteln investiert wird, bleibt der Faktor Mensch häufig unberücksichtigt. Awareness Kampagnen zur Sensibilisierung sind insbesondere geeignet, um Ihre Mitarbeiter langfristig und nachhaltig in bestimmten Themengebieten zu schulen.

4. Welche rechtlichen Aspekte sind bei der Durchführung eines Social Engineering Audits zu berücksichtigen?

Der Arbeitgeber hat bei der Durchführung eines Social Engineering Audits grundsätzlich den arbeits- und datenschutzrechtlichen Rahmen einzuhalten. Entscheidet sich die Geschäftsführung gemeinsam mit dem IT-Sicherheitsverantwortlichen für die Beauftragung eines Social Engineering Audits, sollten bei der Besprechung der Ausgestaltung des Audits der bzw. die Datenschutzbeauftragte, die Leitung der Human Ressources Abteilung sowie ggf. der Betriebsrat des Unternehmens involviert werden. Durch das Einbeziehen dieser Abteilun­gen werden Verzögerungen im Freigabeprozess eines Social Engineering Audits vermieden. Unsere IT-Sicherheitsexperten empfehlen außerdem, die Beauftra­gung des Audits ohne Kenntnisnahme durch die Einkaufsabteilung abzuwickeln, um sicherzustellen, dass keine Informationen vorab an Mitarbeiter durchsickern.

Generell ist die Durchführung von Social Engineering Maßnahmen nur unter Berücksichtigung gegenseitiger Rücksichtnahmepflichten (§ 841 Abs. 8 BGB) zulässig. Das aus Art. 8 Abs. 1 und Art. 1 Abs. 1 GG abgeleitete allgemeine Persön­lichkeitsrecht des Arbeitnehmers ist hierbei insbesondere zu berücksichtigen. Dieses gilt jedoch nicht ohne Einschränkungen: Die Wahrnehmung überwiegend schutzwürdiger Interessen des Arbeitgebers kann einen Eingriff in dieses Gesetz rechtfertigen. So kann sich der Arbeitgeber auf sein Interesse an einem hohen Maß an Unternehmenssicherheit berufen. Rechtsgrundlage hierfür ist die Un­ternehmerfreiheit aus Art. 18 GG sowie die Eigentumsgarantie aus Art. 14 GG. Unter Berücksichtigung dieser Interessensbereiche gilt, dass der Arbeitgeber bei der Entscheidung über die Ausgestaltung des Social Engineering Audits diejeni­gen Maßnahmen wählen sollte, die das Persönlichkeitsrecht des Arbeitnehmers am wenigsten tangieren. Unsere IT-Sicherheitsexperten beraten Sie selbstver­ständlich ausführlich, um die für Ihr Unternehmen sinnvollste und effektivste Ausgestaltung des Social Engineering Audits zu erreichen.

5. Wie werden die Daten meiner Mitarbeiter im Rahmen eines Social Engineering Audits geschützt?

Die Durchführung eines Social Engineering Audits dient der Überprüfung der Security Awareness der Mitarbeiter Ihres Unternehmens. Unsere IT-Sicherheitsexperten erreicht in diesem Zusammenhang häufig die Frage nach dem Schutz der Persönlichkeitsrechte sowie der persönlichen Daten der in das Audit involvierten Mitarbeiter.

Grundsätzlich ist die Durchführung des Social Engineering Audits an feste und klar definierte Regeln gebunden, die sowohl geltenden Gesetzen als auch ethischen Ansprüchen gerecht werden. Die oberste Prämisse unserer Experten ist es, die Persönlichkeitsrechte der Mitarbeiter zu schützen. Dies erreichen wir, indem die Auswertung der Audit-Ergebnisse auf statistischer Basis erfolgt - betroffene Mitarbeiter bleiben anonym. Namen von Mitarbeitern werden im Social Engineering Audit Report nicht erwähnt. Negative oder arbeitsrechtliche Folgen für betroffene Angestellte sind grundsätzlich auszuschließen.

6. Welche sicherheitsrelevanten Fragen werden im Rahmen des Social Engineering Audits beantwortet?

Im Rahmen bisher durchgeführter Social Engineering Audits untersuchten unsere IT-Sicherheitsexperten u.a. folgende relevante Fragestellungen:

  • Werden die im Unternehmen festgelegten Regeln zu sicherheitsrelevanten Geschäftsprozessen und Verhaltensweisen von Mitarbeitern eingehal­ten bzw. sind diese noch vollständig im Gedächtnis verankert?
  • Wie gehen Mitarbeiter mit sensiblen Geschäftsinformationen um?
  • Werden die Zutrittsregeln für Ihr Unternehmen beachtet?
  • Wieviel Aufwand benötigt ein Angreifer, um per Telefon oder E-Mail sicherheitsrelevante Informationen von Ihren Mitarbeitern zu erhalten?
Gutgläubigkeit oder Nachlässigkeit eigener Mitarbeiter aufgrund mangelnder Awareness für bestehende Social Engineering-Gefahren zählen zu den häufigsten Schadensursachen bei Social Engineering Angriffen.

7. In welche Phasen untergliedert sich typischerweise ein Social Engineering Audit?

Unser Social Engineering Audit wird in der Regel in 4 Phasen untergliedert, die von unseren IT-Security Consultants gemäß Ihren Auftragsanforderungen individuell gestaltet werden.

1) Vorbesprechung: Telefonisch oder vor Ort

Die Vorbesprechung steht am Anfang aller weiteren Handlungen unserer IT-Sicherheitsexperten. Neben der Übermittlung von Informationen zu vor­handenen internen Verhaltensrichtlinien der Mitarbeiter sowie der Unter­nehmensrichtlinien werden die Handlungsgrenzen im Rahmen dieses Audits definiert: wie weit soll und darf nicht-sicherheitskonformes Verhalten von Mitarbeitern ausgenutzt werden? Wichtig ist an dieser Stelle, bereits alle verantwortlichen Abteilungen miteinzubeziehen. Dazu gehören neben der Geschäftsführung und dem IT-Sicherheitsbeauftragten auch der Betriebsrat, Datenschutzbeauftragte sowie die Personalführung Ihres Unternehmens. Abschließend werden Vor-Ort-Termine und weitere Überprüfungszeiten ver­einbart.

2) Vorbereitende Informationsgewinnung

Die vorbereitende Informationsgewinnung wird von unseren IT-Security Consultants in die Online- und Vor-Ort-Recherche untergliedert. Zunächst erfolgt die Recherche auf Basis öffentlich verfügbarer Datenquellen bzw. Daten aus sozialen Netzwerken. Die Gebäude- und Lagesichtung Ihres Un­ternehmens sowie die Identifikation von Ziel-Mitarbeitern stehen hierbei im Mittelpunkt.

Die Vor-Ort-Recherche bezieht sich auf die Überprüfung der Sicherheit von physischen Zutrittsmöglichkeiten des Gebäudes während der Geschäftszei­ten, praktische Überprüfung der Zugangskontrollen am Empfang und im Gebäude. Des Weiteren werden das Unternehmensgebäude und dessen Räumlichkeiten von innen, insbesondere häufig frequentierte Orte wie Se­minar- und Besprechungsräume, erkundet. Auch Netzwerkzugänge werden ausgespäht sowie protokolliert.

3) Aktive Informationsgewinnung (vor Ort bzw. Phishing per E-Mail und telefonisch)

Auf Basis der Auswertung der in Phase 2 gesammelten Informationen erfolgt die Entwicklung spezifischer Angriffsszenarien durch unsere IT-Sicherheitsexperten. Nun gilt es, konkrete Unternehmessinterna zu gewinnen, um auf dieser Basis einen späteren Social Engineering Angriff vorzubereiten.

Der Zutritt ins Firmengebäude erfolgt über die zuvor ausgespähten Zugangsmöglichkeiten. Um das Vertrauen der Mitarbeiter zu erreichen, geben sich unsere projektverantwortlichen Social Engineers beispielsweise als Dienstleister Ihrer firmeneigenen IT aus, mit dem Ziel, PC-Zugriffsmöglich­keiten der Zielpersonen zu erlangen. Keylogger oder Netzwerksniffer dienen dazu, weiterführende vertrauliche Benutzerdaten zu gewinnen. Auch die Platzierung von präparierten Datenträgern (sog. Candy Drop Methode) an stark frequentierten Orten ist bereits vorbereitende Maßnahme des später erfolgenden Cyberangriffs.

4) Ergebnispräsentation vor Ort

Elementarer Bestandteil unseres Social Engineering Audits ist stets eine per­sönliche Präsentation und Erörterung der Überprüfungsergebnisse sowie der hieraus resultierenden Handlungsempfehlungen. Häufig wer­den von unseren auftraggebenden Unternehmen im Anschluss an ein Social Engineering Audit Awareness-Schulungen für Mitarbeiter beauftragt, um deren Sicherheitsbewusstsein zu sensibilisieren bzw. optimieren. Bisherige Security Awareness Maßnahmen werden überprüft und bei Bedarf an die bestehenden Sicherheitsrisiken angepasst.

8. Welche nicht-sicherheitskonforme Verhaltensweisen von Mitarbeitern kommen erfahrungsgemäß am häufigsten vor?

Telefonverhalten des Mitarbeiters

Um das Telefonverhalten Ihrer Mitarbeiter hinsichtlich Sicherheitskonfor­mität zu testen, geben sich unsere IT-Sicherheitsexperten als Kunde oder Dienstleister Ihres Unternehmens aus. Durch Smalltalk über gemeinsame Kollegen werden zunächst Vertrautheit und Sympathie aufgebaut, um im Anschluss beispielsweise damit zu drohen, bei unterlassener Kooperati­on den Vorgesetzten des Opfers hinzuziehen zu müssen. Solche Angriffe können auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut wird, die in vorhergehenden Stufen von uns erworben wurden. Die bisherige Erfahrung zeigt, dass Mitarbeiter durch Kenntnis der ver­meintlich vertrauten Person mit hoher Wahrscheinlichkeit zu viele unter­nehmensvertrauliche Daten preisgeben. An dieser Stelle wird häufig eine Sicherheitsschwachstelle in Unternehmen durch unsere Social Engineers identifiziert.

Preisgabe von Daten bei PC-Problemen der Mitarbeiter

Eine weitere Methode, um an vertrauliche Daten des Mitarbeiters zu ge­langen, ist das Fingieren eines vermeintlichen Supportfalls bei PC-Proble­men. Unsere IT-Sicherheitsexperten simulieren einen solchen Vorfall im Unternehmen, der es notwendig macht, bestimmte Handlungen an PCs von Mitarbeitern vorzunehmen. Auch unter Anwendung dieser Methode zeigt sich eine häufige Autoritäts­hörigkeit unter den Opfern, die eine Preisgabe von vertraulichen Daten an unsere Experten zur Folge hat.

Zutritt zum Unternehmensgebäude ist nicht ausreichend abgesichert

Bei Anwendung dieses Testmoduls geht es darum zu prüfen, ob und auf welche Weise die implementierten physischen Sicherheitsmaßnahmen von Unternehmen umgangen werden können. Die Erfahrung unserer Experten zeigt, dass der Zutritt zum Unternehmensgebäude häufig mit falscher Identität möglich ist – oder aber diese erst gar nicht überprüft wird. Mit dieser sogenannten Tailgating Methode gelingt es unseren Social Engineers in vielen Fällen, unter Ausübung von psychologischem Druck, mit Hilfe von Tricks oder durch einfaches Hineingehen, Zutritt zu einem physisch gesicherten Gebäude zu gelangen.


Welche Erfolgsaussichten haben Social Engineering Attacken in Ihrem Unternehmen?

Kontaktieren Sie uns - unsere IT Security Experten beraten Sie gerne!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die Allgeier secion, Zweigniederlassung der Allgeier CyRis GmbH.

* Pflichtfeld

Zurück