Social Engineering: Wie Angreifer spielend leicht Daten erbeuten

02.11.2017

1castle-1124587_1280

Unternehmen schützen Daten auf ihren IT-Systemen mit Firewalls, Antivieren-Software, Verschlüsselung und weiteren technischen Maßnahmen. Doch eine der größten Schwachstellen bleibt bestehen, nämlich der Mensch. Zunehmend häufiger versuchen Hacker und andere Cyberkriminelle gar nicht erst, Sicherheitssysteme zu knacken. Stattdessen greifen Sie ihre Opfer mit Social Engineering Techniken an, um schnell und gefahrlos an vertrauliche Informationen zu gelangen.

Die Idee hinter Social Social Engineering

Nie zuvor waren Netzwerke so gut gegen Angriffe abgesichert. Für Cyberkriminelle bedeutet dies, einen großen Aufwand betreiben zu müssen, um Zugriff auf die Computer und damit Daten von Unternehmen zu erhalten. Beim Social Engineering – auch Social Hacking genannt – werden die Schutzmechanismen umgegangen.

Social Engineering basiert auf der Idee, Menschen zu manipulieren. Es wird eine Zielperson gesucht, bei der es sich meist um einen Mitarbeiter des Unternehmens handelt. Unter Vorspiegelung falscher Tatsachen wird der Mitarbeiter dazu gebracht, Zugangsdaten mitzuteilen oder andere sensible Daten mitzuteilen.

Die Methoden der Angreifer sind dabei so ausgefeilt, dass die Opfer den Betrug oft gar nicht bemerken. Deshalb verlaufen Attacken dieser Art überraschend oft erfolgreich. Grund dafür ist der Angriff auf sozialer Ebene. Der Zielperson wird Angst gemacht oder sie wird unter Druck gesetzt. Oder die Angreifer erfinden eine Notsituation, mit der sie die Hilfsbereitschaft des Opfers ausnutzen.

So gehen Hacker bei Datenangriffen auf Unternehmen vor

Für den regulären Zugriff auf ein IT-System und die darauf befindlichen Daten benötigt ein Angreifer drei Informationen.

  • Name des Computers oder Netzwerks / Zugang zum Login-Bereich
  • Benutzername
  • Passwort

Obwohl weitere Kommunikationswege existieren, wird beim Social Hacking meist versucht, die benötigten Informationen mittels Telefonanruf herauszufinden. Ein Anruf ist schnell erledigt und birgt aufgrund der Distanz zum Opfer nur geringe Risiken. Außerdem bleibt den Opfern nur wenig Zeit, um Angaben zu überprüfen geschweige denn misstrauisch zu werden.

Ebenso wird gerne via E-Mail angegriffen. Die E-Mails sind individuell auf den Empfänger zugeschnitten, damit er keinen Verdacht schöpft und die Zugangsdaten ohne zu zögern mitteilt.

Warum die Angreifer so erfolgreich sind

Für den Hacker, der mittels Social Engineering angreift, ist eine Sache entscheidend: Seine Geschichte muss glaubwürdig erscheinen. Authentizität spielt bei den Angriffen eine wichtige Rolle. Deshalb merken die Mitarbeiter vieler Unternehmen meist gar nicht, dass sie Opfer einer Attacke wurden.

Zugleich möchten die Angreifer keinerlei Misstrauen wecken. Viele Cyberkriminelle erfragen deshalb nicht sämtliche Zugangsdaten auf einmal. Sie führen lieber mehrere Gespräche und holen die benötigten Informationen, mit denen sie Zugang zu den IT-Systemen und Daten ihrer Opfer erhalten, nach und nach ein. Womöglich kontaktieren sie nicht nur einen, sondern mehrere Mitarbeiter des Unternehmens.

Eine gründliche Vorbereitung trägt dazu bei, die Chancen auf einen erfolgreichen Angriff zu steigern. Daher auch der Begriff „Social Engineering“ – die Angreifer sammeln im Vorfeld Informationen über das Umfeld ihrer Opfer, wie z.B. Namen von Abteilungen, Kollegen und Vorgesetzten. Oft sind die Hacker bestens über das Umfeld und teilweise sogar die Abläufe im Unternehmen informiert. Dadurch wirken sie im Gespräch mit den Mitarbeitern umso authentischer und erhalten leichter Zugriff auf die benötigten Informationen.

Gefahren und Risiken für Unternehmen

Aus Sicht von Unternehmen sind die Risiken, die mit Social Engineering einhergehen, sehr groß. Es ist nicht abzusehen, zu welchen Bereichen und Daten sich die Angreifer Zugang verschaffen. Im schlimmsten Fall erhalten sie Zugriff auf geheimste und streng geschützte Daten. Kommt es zum Datendiebstahl sind die Folgen schwer abzuschätzen.

Je nach Art der Daten sowie dem Handeln der Angreifer drohen immense Schäden. Kunden könnten verärgert sein und darauf zum Mitbewerber wechseln. Damit drohen Umsatzeinbußen sowie ein Reputationsschaden. Außerdem müssen bestimmte Datenpannen, sofern Daten mit Personenbezug betroffen sind, der zuständigen Aufsichtsbehörde gemeldet werden. Unter Umständen stellt die Aufsichtsbehörde einen Datenschutzverstoß fest und verhängt daraufhin ein Bußgeld.

Sicherheitsmaßnahmen: Schutz vor Social Hacking

In Anbetracht der drohenden Risiken haben Unternehmen großes Interesse an Sicherheitsmaßnahmen. Doch Maßnahmen, die IT-Systeme und Daten zu 100 Prozent vor Social Hacking schützen, gibt es nicht. Das Problem besteht darin, dass bestimmte Mitarbeiter grundsätzlich Zugriff auf bestimmte Daten haben.

Aber es ist möglich, das Risiko eines erfolgreichen Angriffs durch Social Engineering zu verringern. Diesbezüglich haben sich folgende Sicherheitsmaßnahmen als hilfreich erwiesen:

Verankerung von Sicherheitsregeln: Es werden Sicherheitsregeln ausgearbeitet und im Unternehmen verankert. Solche Regeln geben strikt vor, wie bestimmte Systeme zu nutzen sind und welche Kommunikation rund um Passwörter und andere Zugangsdaten zulässig ist – z.B. im Rahmen einer Passwortrichtlinie. So kann Mitarbeitern z.B. untersagt werden, sich das Passwort aufzuschreiben und mittels Klebezettel am Monitor anzubringen.

Prävention durch Schulung: Im Rahmen der Schulung wird Mitarbeitern verdeutlich, was Social Engineering bedeutet und wie Angriffe in der Praxis erfolgen. Wenn die Teilnehmer der Schulung verstanden haben, dass niemand ein Anrecht darauf hat, Benutzernamen und Passwörter zu erfahren, werden sie solche Informationen auch höchstwahrscheinlich nicht preisgeben.

Hinweis zu Schulungen und Trainings

Es gibt Sicherheitsexperten, die den Sinn und Zweck von Mitarbeiter- und Datenschutzunterweisungen im Hinblick auf der Wirksamkeit von Social Engineering anzweifeln. Es wird behauptet, dass solche Schulungen keine hunderprozentige Sicherheit versprechen.

Dies ist korrekt, denn ein gut ausgefeilter Angriff kann immer zur Folge haben, dass ein Mitarbeiter hereinfällt und freiwillig Informationen preisgibt. Allerdings sind wir der festen Überzeugung, dass sich das Risiko maßgeblich verringern lässt.

Sicherheitsexperten einiger IT-Dienstleister haben in Kooperation mit Großunternehmen und Mittelständlern gezielte Tests durchgeführt. Hierbei stellten sie fest, dass rund 25 bis 30 Prozent der Mitarbeiter sowohl Benutzernamen als auch Passwörter am Telefon mitteilen. Nach Durchführung sogenannter Security Awareness Schulungen oder Trainings wird dieser Anteil drastisch verringert. Die Mitarbeiter sind sich nämlich der Risiken bewusst und informieren im Zweifelsfall lieber erst ihre Vorgesetzten oder die IT-Abteilung, anstatt Daten an Cyberkriminelle preiszugeben.

Unterstützung vom externen Datenschutzbeauftragten

Sie möchten mehr über Social Engineering und Lösungen zur Prävention in Ihrem Unternehmen erfahren? Als externer Datenschutzbeauftragter kümmern wir uns um sämtliche Belange, die mit dem betrieblichen Datenschutz in Verbindung stehen. Gerne unterstützen wir Sie dabei, maßgeschneiderte Sicherheitsregeln für Ihr Unternehmen auszuarbeiten und zu verankern. Ebenso können wir zugehörige Schulungen durchführen oder Ihre Mitarbeiter im Rahmen einer Datenschutzunterweisung generell für das Thema Datenschutz sensibilisieren.

Wir sind ein spezialisierter Dienstleister rund um den betrieblichen Datenschutz mit Sitz in Stockelsdorf / Region Lübeck. Zusammen mit unseren Kooperationspartnern sind wir bundesweit tätig, u.a. in Städten wie Hamburg oder Stuttgart. Für weitere Informationen erreichen Sie uns telefonisch unter 0800 – 5600831 (gebührenfrei) sowie über unser Kontaktformular.

Schreibe einen Kommentar