Was ist Social Engineering?
von Svenja Koch
Die 8 häufigsten Fragen zum Thema Social Engineering – beantwortet von unseren IT Security Experten
1. Was versteht man unter Social Engineering?
Mit den Methoden des Social Engineering zielen Angreifer darauf ab, bestimmte Personen dazu zu bringen, vertrauliche bzw. persönliche Informationen an sie weiterzugeben. Der Angreifer, (in diesem Fall: Social Engineer) verschafft sich auf diesem Weg die für ihn relevanten Informationen, um einen Cyberangriff durchzuführen. Die Zielperson ist für ihn dabei das „Mittel zum Zweck“, um vertrauliche Daten zu erhalten. Der Social Engineer beeinflusst die Zielperson durch psychologische Tricks und nutzt zwischenmenschliche Beziehungen aus, um sensible Informationen zu erhalten oder eine bestimmte Aktion auszuführen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Angst, Respekt vor Autorität, Eitelkeit, Gier, Vertrauen oder Hilfsbereitschaft ausgenutzt. Durch unterschiedlichste Formen der Kontaktaufnahme – und durch Ausnutzung von Gutgläubigkeit, Hilfsbereitschaft oder auch Unsicherheit der Zielperson – wird somit auf perfide Art und Weise versucht, an vertrauliche Unternehmensinterna zu gelangen.
2. Welche Methoden des Social Engineering machen sich Angreifer typischerweise zunutze?
Im Rahmen seiner vorbereitenden Informationsgewinnung wird der Social Engineer zunächst auf Basis öffentlich verfügbarer Datenquellen bzw. sozialer Netzwerke über das Ziel-Unternehmen und dessen Mitarbeiter recherchieren. Im Mittelpunkt steht hierbei die Identifikation von Mitarbeitern, die später zum Angriffsziel der Social Engineering Attacke werden. Auch die erste Kontaktaufnahme läuft oftmals über soziale Netzwerke und wird in der Folge intensiviert, um die Opfer zu unüberlegten Handlungen zu verleiten. Hierzu zählen in erster Linie die folgenden beiden Vorgehensweisen:
Phishing: Die Bezeichnung "Phishing" ist ein Kunstwort aus dem Englischen und setzt sich aus „password“ und „fishing“ zusammen. Im Kontext des Online-Betrugs werden mit diesem Begriff Bemühungen bezeichnet, mit denen Kriminelle über gefälschte Webpräsenzen und E-Mails versuchen, an vertrauliche Daten von Internetnutzern zu gelangen. Die Zielperson wird bei diesem Angriff willkürlich oder im Zusammenhang mit anderen Betrugsmethoden, wie z.B. CEO Fraud gezielt ausgewählt.
Spear Phishing: Beim "Spear Phishing" (abgeleitet von der englischen Übersetzung des Begriffs Speer) handelt es sich um eine besondere Form von Phishing. Dieser Angriff zielt meist auf konkrete Unternehmen ab und erfolgt häufig über eine E-Mail Adresse, die von einer vertrauenswürdigen Quelle zu stammen scheint. Die Angreifer gehen raffiniert vor und suchen den Empfänger sorgfältig aus. Da Spear Phishing Angriffe auf konkrete Organisationen oder Personen abzielen, ist die Vorbereitung, aber auch die Wirksamkeit dieses Angriffs deutlich höher, als bei „traditionellen“ Phishing Angriffen.
Zur Ansprache der Opfer geben sich die Angreifer als Mitarbeiter von Firmen oder Einrichtungen aus, die im Unternehmen bereits allgemein bekannt sind. Häufig weisen sie sich auch als im Unternehmen angestellte Personen aus. Dies senkt die Hemmschwelle der Empfänger, einen Link oder Dateianhang anzuklicken, denn der Absender ist ihnen bekannt oder sogar vertraut. Im Zuge dieser Phishing-Angriffe werden fiktive Sicherheitsprobleme, gefälschte Rechnungen oder vorgetäuschte Statusmeldungen zu Aufträgen verwendet, um Nutzer dazu zu verleiten, unternehmensbezogene oder andere sensible Informationen an Unberechtigte weiterzugeben. Um die Handlungen des Opfers in die gewünschte Richtung zu lenken, werden Fristen gesetzt oder geringe Bearbeitungsgebühren erhoben. Zudem werden die Nutzer auf gefälschte Unternehmens-Webseiten gelockt, um dort in einer scheinbar vertrauten Umgebung Zugangs-, Konto- oder Kundendaten einzugeben oder zu bestätigen.
3. Inwieweit trägt ein Social Engineering Audit zum Schutz vor derartigen Angriffen auf mein Unternehmen bei?
Die Untersuchungsmethoden, die sich unsere IT-Sicherheitsexperten im Rahmen eines Social Engineering Audits zunutze machen, sind vielfältig. Alle zielen darauf ab, Social Engineering Schwachstellen in organisatorischen Unternehmensabläufen, bei der Gebäudesicherheit sowie dem Sicherheitsverhalten Ihrer Mitarbeiter zu identifizieren. Fehlt diesen nämlich das Bewusstsein, wie leicht sich Kriminelle durch verschiedenartige Formen der Manipulation von Menschen Zugriff auf Unternehmensdatenbanken verschaffen können, kann ihre Gutgläubigkeit oder Unsicherheit mit Hilfe verschiedenster Social Engineering Angriffe ausgenutzt werden.
Gutgläubigkeit oder Nachlässigkeit eigener Mitarbeiter aufgrund mangelnder Awareness für bestehende Social Engineering-Gefahren zählen zu den häufigsten Schadensursachen bei Social Engineering Angriffen. Während in technische Schutzmaßnahmen mittlerweile mit angemessen hohem Aufwand und finanziellen Mitteln investiert wird, bleibt der Faktor Mensch häufig unberücksichtigt. Awareness Kampagnen zur Sensibilisierung sind insbesondere geeignet, um Ihre Mitarbeiter langfristig und nachhaltig in bestimmten Themengebieten zu schulen.
4. Welche rechtlichen Aspekte sind bei der Durchführung eines Social Engineering Audits zu berücksichtigen?
Der Arbeitgeber hat bei der Durchführung eines Social Engineering Audits grundsätzlich den arbeits- und datenschutzrechtlichen Rahmen einzuhalten. Entscheidet sich die Geschäftsführung gemeinsam mit dem IT-Sicherheitsverantwortlichen für die Beauftragung eines Social Engineering Audits, sollten bei der Besprechung der Ausgestaltung des Audits der bzw. die Datenschutzbeauftragte, die Leitung der Human Ressources Abteilung sowie ggf. der Betriebsrat des Unternehmens involviert werden. Durch das Einbeziehen dieser Abteilungen werden Verzögerungen im Freigabeprozess eines Social Engineering Audits vermieden. Unsere IT-Sicherheitsexperten empfehlen außerdem, die Beauftragung des Audits ohne Kenntnisnahme durch die Einkaufsabteilung abzuwickeln, um sicherzustellen, dass keine Informationen vorab an Mitarbeiter durchsickern.
Generell ist die Durchführung von Social Engineering Maßnahmen nur unter Berücksichtigung gegenseitiger Rücksichtnahmepflichten (§ 841 Abs. 8 BGB) zulässig. Das aus Art. 8 Abs. 1 und Art. 1 Abs. 1 GG abgeleitete allgemeine Persönlichkeitsrecht des Arbeitnehmers ist hierbei insbesondere zu berücksichtigen. Dieses gilt jedoch nicht ohne Einschränkungen: Die Wahrnehmung überwiegend schutzwürdiger Interessen des Arbeitgebers kann einen Eingriff in dieses Gesetz rechtfertigen. So kann sich der Arbeitgeber auf sein Interesse an einem hohen Maß an Unternehmenssicherheit berufen. Rechtsgrundlage hierfür ist die Unternehmerfreiheit aus Art. 18 GG sowie die Eigentumsgarantie aus Art. 14 GG. Unter Berücksichtigung dieser Interessensbereiche gilt, dass der Arbeitgeber bei der Entscheidung über die Ausgestaltung des Social Engineering Audits diejenigen Maßnahmen wählen sollte, die das Persönlichkeitsrecht des Arbeitnehmers am wenigsten tangieren. Unsere IT-Sicherheitsexperten beraten Sie selbstverständlich ausführlich, um die für Ihr Unternehmen sinnvollste und effektivste Ausgestaltung des Social Engineering Audits zu erreichen.
5. Wie werden die Daten meiner Mitarbeiter im Rahmen eines Social Engineering Audits geschützt?
Die Durchführung eines Social Engineering Audits dient der Überprüfung der Security Awareness der Mitarbeiter Ihres Unternehmens. Unsere IT-Sicherheitsexperten erreicht in diesem Zusammenhang häufig die Frage nach dem Schutz der Persönlichkeitsrechte sowie der persönlichen Daten der in das Audit involvierten Mitarbeiter.
Grundsätzlich ist die Durchführung des Social Engineering Audits an feste und klar definierte Regeln gebunden, die sowohl geltenden Gesetzen als auch ethischen Ansprüchen gerecht werden. Die oberste Prämisse unserer Experten ist es, die Persönlichkeitsrechte der Mitarbeiter zu schützen. Dies erreichen wir, indem die Auswertung der Audit-Ergebnisse auf statistischer Basis erfolgt - betroffene Mitarbeiter bleiben anonym. Namen von Mitarbeitern werden im Social Engineering Audit Report nicht erwähnt. Negative oder arbeitsrechtliche Folgen für betroffene Angestellte sind grundsätzlich auszuschließen.
6. Welche sicherheitsrelevanten Fragen werden im Rahmen des Social Engineering Audits beantwortet?
Im Rahmen bisher durchgeführter Social Engineering Audits untersuchten unsere IT-Sicherheitsexperten u.a. folgende relevante Fragestellungen:
- Werden die im Unternehmen festgelegten Regeln zu sicherheitsrelevanten Geschäftsprozessen und Verhaltensweisen von Mitarbeitern eingehalten bzw. sind diese noch vollständig im Gedächtnis verankert?
- Wie gehen Mitarbeiter mit sensiblen Geschäftsinformationen um?
- Werden die Zutrittsregeln für Ihr Unternehmen beachtet?
- Wieviel Aufwand benötigt ein Angreifer, um per Telefon oder E-Mail sicherheitsrelevante Informationen von Ihren Mitarbeitern zu erhalten?
7. In welche Phasen untergliedert sich typischerweise ein Social Engineering Audit?
Unser Social Engineering Audit wird in der Regel in 4 Phasen untergliedert, die von unseren IT-Security Consultants gemäß Ihren Auftragsanforderungen individuell gestaltet werden.
1) Vorbesprechung: Telefonisch oder vor Ort
Die Vorbesprechung steht am Anfang aller weiteren Handlungen unserer IT-Sicherheitsexperten. Neben der Übermittlung von Informationen zu vorhandenen internen Verhaltensrichtlinien der Mitarbeiter sowie der Unternehmensrichtlinien werden die Handlungsgrenzen im Rahmen dieses Audits definiert: wie weit soll und darf nicht-sicherheitskonformes Verhalten von Mitarbeitern ausgenutzt werden? Wichtig ist an dieser Stelle, bereits alle verantwortlichen Abteilungen miteinzubeziehen. Dazu gehören neben der Geschäftsführung und dem IT-Sicherheitsbeauftragten auch der Betriebsrat, Datenschutzbeauftragte sowie die Personalführung Ihres Unternehmens. Abschließend werden Vor-Ort-Termine und weitere Überprüfungszeiten vereinbart.
2) Vorbereitende Informationsgewinnung
Die vorbereitende Informationsgewinnung wird von unseren IT-Security Consultants in die Online- und Vor-Ort-Recherche untergliedert. Zunächst erfolgt die Recherche auf Basis öffentlich verfügbarer Datenquellen bzw. Daten aus sozialen Netzwerken. Die Gebäude- und Lagesichtung Ihres Unternehmens sowie die Identifikation von Ziel-Mitarbeitern stehen hierbei im Mittelpunkt.
Die Vor-Ort-Recherche bezieht sich auf die Überprüfung der Sicherheit von physischen Zutrittsmöglichkeiten des Gebäudes während der Geschäftszeiten, praktische Überprüfung der Zugangskontrollen am Empfang und im Gebäude. Des Weiteren werden das Unternehmensgebäude und dessen Räumlichkeiten von innen, insbesondere häufig frequentierte Orte wie Seminar- und Besprechungsräume, erkundet. Auch Netzwerkzugänge werden ausgespäht sowie protokolliert.
3) Aktive Informationsgewinnung (vor Ort bzw. Phishing per E-Mail und telefonisch)
Auf Basis der Auswertung der in Phase 2 gesammelten Informationen erfolgt die Entwicklung spezifischer Angriffsszenarien durch unsere IT-Sicherheitsexperten. Nun gilt es, konkrete Unternehmessinterna zu gewinnen, um auf dieser Basis einen späteren Social Engineering Angriff vorzubereiten.
Der Zutritt ins Firmengebäude erfolgt über die zuvor ausgespähten Zugangsmöglichkeiten. Um das Vertrauen der Mitarbeiter zu erreichen, geben sich unsere projektverantwortlichen Social Engineers beispielsweise als Dienstleister Ihrer firmeneigenen IT aus, mit dem Ziel, PC-Zugriffsmöglichkeiten der Zielpersonen zu erlangen. Keylogger oder Netzwerksniffer dienen dazu, weiterführende vertrauliche Benutzerdaten zu gewinnen. Auch die Platzierung von präparierten Datenträgern (sog. Candy Drop Methode) an stark frequentierten Orten ist bereits vorbereitende Maßnahme des später erfolgenden Cyberangriffs.
4) Ergebnispräsentation vor Ort
Elementarer Bestandteil unseres Social Engineering Audits ist stets eine persönliche Präsentation und Erörterung der Überprüfungsergebnisse sowie der hieraus resultierenden Handlungsempfehlungen. Häufig werden von unseren auftraggebenden Unternehmen im Anschluss an ein Social Engineering Audit Awareness-Schulungen für Mitarbeiter beauftragt, um deren Sicherheitsbewusstsein zu sensibilisieren bzw. optimieren. Bisherige Security Awareness Maßnahmen werden überprüft und bei Bedarf an die bestehenden Sicherheitsrisiken angepasst.
8. Welche nicht-sicherheitskonforme Verhaltensweisen von Mitarbeitern kommen erfahrungsgemäß am häufigsten vor?
Telefonverhalten des Mitarbeiters
Um das Telefonverhalten Ihrer Mitarbeiter hinsichtlich Sicherheitskonformität zu testen, geben sich unsere IT-Sicherheitsexperten als Kunde oder Dienstleister Ihres Unternehmens aus. Durch Smalltalk über gemeinsame Kollegen werden zunächst Vertrautheit und Sympathie aufgebaut, um im Anschluss beispielsweise damit zu drohen, bei unterlassener Kooperation den Vorgesetzten des Opfers hinzuziehen zu müssen. Solche Angriffe können auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut wird, die in vorhergehenden Stufen von uns erworben wurden. Die bisherige Erfahrung zeigt, dass Mitarbeiter durch Kenntnis der vermeintlich vertrauten Person mit hoher Wahrscheinlichkeit zu viele unternehmensvertrauliche Daten preisgeben. An dieser Stelle wird häufig eine Sicherheitsschwachstelle in Unternehmen durch unsere Social Engineers identifiziert.
Preisgabe von Daten bei PC-Problemen der Mitarbeiter
Eine weitere Methode, um an vertrauliche Daten des Mitarbeiters zu gelangen, ist das Fingieren eines vermeintlichen Supportfalls bei PC-Problemen. Unsere IT-Sicherheitsexperten simulieren einen solchen Vorfall im Unternehmen, der es notwendig macht, bestimmte Handlungen an PCs von Mitarbeitern vorzunehmen. Auch unter Anwendung dieser Methode zeigt sich eine häufige Autoritätshörigkeit unter den Opfern, die eine Preisgabe von vertraulichen Daten an unsere Experten zur Folge hat.
Zutritt zum Unternehmensgebäude ist nicht ausreichend abgesichert
Bei Anwendung dieses Testmoduls geht es darum zu prüfen, ob und auf welche Weise die implementierten physischen Sicherheitsmaßnahmen von Unternehmen umgangen werden können. Die Erfahrung unserer Experten zeigt, dass der Zutritt zum Unternehmensgebäude häufig mit falscher Identität möglich ist – oder aber diese erst gar nicht überprüft wird. Mit dieser sogenannten Tailgating Methode gelingt es unseren Social Engineers in vielen Fällen, unter Ausübung von psychologischem Druck, mit Hilfe von Tricks oder durch einfaches Hineingehen, Zutritt zu einem physisch gesicherten Gebäude zu gelangen.
Fazit:
Ein fahrlässiger Umgang mit vertraulichen Unternehmens- oder persönlichen Daten führt zu einem erhöhten Sicherheitsrisiko. Social Engineering Attacken zählen mittlerweile zu den gängigsten Angriffsformen auf Unternehmen. Für Angreifer ist es einfacher, die Schwachstelle Mensch als oftmals schwächstes Glied der IT-Sicherheitskette zu überwinden, anstatt komplexe technische Sicherheitsmaßnahmen mit viel Aufwand zu umgehen. Wichtigste Maßnahme gegen erfolgreiches Social Engineering ist daher die Sensibilisierung und Aufklärung der Anwender.
Unsere IT-Sicherheitsexperten empfehlen aus diesem Grunde, entsprechende Social Engineering Audits nicht nur einmalig, sondern als Teil eines Gesamtkonzepts zur IT-Sicherheit regelmäßig durchführen zu lassen. Hierzu gehört sinnvollerweise auch die Durchführung von Awareness-Schulungen für Ihre Mitarbeiter, um deren Sicherheitsbewusstsein zu sensibilisieren bzw. optimieren. Des Weiteren sollten bereits implementierte Security Awareness Maßnahmen regelmäßig überprüft und bei Bedarf an die bestehenden Sicherheitsrisiken angepasst werden.
Welche Erfolgsaussichten haben Social Engineering Attacken in Ihrem Unternehmen?
Kontaktieren Sie uns - unsere IT Security Experten beraten Sie gerne!