Unternehmen schützen Daten auf ihren IT-Systemen mit technischen Maßnahmen, wie Firewalls, Antivieren-Software oder Verschlüsselung. Doch eine der größten Schwachstellen bleibt bestehen, nämlich der Mensch. Zunehmend häufiger versuchen Hacker und andere Cyberkriminelle gar nicht erst, Sicherheitssysteme zu knacken. Stattdessen greifen Sie ihre Opfer mit Social Engineering Techniken an, um schnell und gefahrlos an vertrauliche Informationen zu gelangen.
Die Idee hinter Social Social Engineering
Nie zuvor waren Netzwerke so gut gegen Angriffe abgesichert. Für Cyberkriminelle bedeutet dies, einen großen Aufwand betreiben zu müssen, um Zugriff auf Computer und damit auf Daten von Unternehmen zu erhalten. Beim Social Engineering – auch Social Hacking genannt – werden besagte Schutzmechanismen umgegangen.
Social Engineering basiert auf der Idee, Menschen zu manipulieren. Es wird eine Zielperson bestimmt, bei der es sich meist um einen Mitarbeiter des Unternehmens handelt. Unter Vorspiegelung falscher Tatsachen wird der Mitarbeiter dazu gebracht, Zugangsdaten oder andere sensible Daten mitzuteilen.
Die Methoden der Angreifer sind dabei so ausgefeilt, dass die Opfer den Betrug meist gar nicht bemerken. Deshalb verlaufen Attacken dieser Art überraschend oft erfolgreich. Grund dafür ist der Angriff auf sozialer Ebene. Angreifer machen der Zielperson Angst oder setzen sie unter Druck. Oder die Angreifer erfinden eine Notsituation, mit der sie die Hilfsbereitschaft des Opfers ausnutzen.
So gehen Hacker bei Datenangriffen auf Unternehmen vor
Für den regulären Zugriff auf ein IT-System und die darauf befindlichen Daten benötigt ein Angreifer drei Informationen.
- Name des Computers oder Netzwerks / Zugang zum Login-Bereich
- Benutzername
- Passwort
Obwohl weitere Kommunikationswege existieren, wird beim Social Hacking meist versucht, die benötigten Informationen mittels Telefonanruf herauszufinden. Ein Anruf ist schnell erledigt und birgt aufgrund der Distanz zum Opfer geringe Risiken. Außerdem bleibt den Opfern nur wenig Zeit, um Angaben zu überprüfen geschweige denn misstrauisch zu werden.
Ebenso wird gerne via E-Mail angegriffen. Die E-Mails sind individuell auf den Empfänger zugeschnitten, damit er keinen Verdacht schöpft und die Zugangsdaten ohne zu zögern mitteilt. In beiden Fällen bedienen sich Angreifer häufig des Identitätsdiebstahls, d.h. sie geben sich als andere Personen aus.
Warum die Angreifer so erfolgreich sind
Für den Hacker, der mittels Social Engineering angreift, ist eine Sache entscheidend: Seine Geschichte muss glaubwürdig erscheinen. Authentizität spielt bei derartigen Angriffen eine wichtige Rolle. Nur so merken die Mitarbeiter der Unternehmen nicht, dass sie Opfer eines gezielten Angriffs sind.
Zugleich möchten die Angreifer keinerlei Misstrauen wecken. Viele Cyberkriminelle erfragen deshalb nicht sämtliche Zugangsdaten auf einmal. Sie führen lieber mehrere Gespräche und holen die benötigten Informationen, mit denen sie Zugang zu den IT-Systemen und Daten ihrer Opfer erhalten, nach und nach ein. Womöglich kontaktieren sie nicht nur einen, sondern mehrere Mitarbeiter des Unternehmens.
Eine gründliche Vorbereitung trägt dazu bei, die Chancen auf einen erfolgreichen Angriff zu steigern. Daher auch der Begriff „Social Engineering“ – die Angreifer sammeln im Vorfeld Informationen über das Umfeld ihrer Opfer, wie z.B. Namen von Abteilungen, Kollegen und Vorgesetzten. Oft sind die Hacker bestens über das Umfeld und teilweise sogar die Abläufe im Unternehmen informiert. Dadurch wirken sie im Gespräch mit den Mitarbeitern umso authentischer und erhalten leichter Zugriff auf die benötigten Informationen. Bei der Kommunikation via E-Mail fälschen einige Angreifer sogar ihre E-Mail Absender. Opfern wird damit vorgegaukelt, sie hätten es mit einer Person aus dem eigenen Unternehmen zu tun.
Angreifer bedienen sich verschiedener Quellen, um mehr über das Unternehmen und ausgewählte Mitarbeiter zu erfahren. Die Berücksichtigung sozialer Medien ist immer häufiger Teil der Strategie. Profile auf Facebook, LinkedIn oder Xing können darüber Auskunft geben, welche Interessen und Vorlieben ausgewählte Personen haben. Auf diesem Weg könnte sich z.B. in Erfahrung bringen lassen, dass sich der Chef derzeit auf Geschäftsreise im Ausland befindet oder der CTO mit Begeisterung Golf spielt. Ein Angreifer lässt derartige Details in sein Gespräch einfließen oder nutzt sie als Vorwand. Dank diesem hohen Grad an Personalisierung verschöpfen die Opfer nicht so schnell Verdacht.
Gefahren und Risiken für Unternehmen
Aus Sicht von Unternehmen sind die Risiken, die mit Social Engineering einhergehen, sehr groß. Es ist nicht abzusehen, zu welchen Bereichen und Daten sich die Angreifer Zugang verschaffen. Im schlimmsten Fall erhalten sie Zugriff auf geheimste und streng geschützte Daten. Kommt es zum Datendiebstahl sind die Folgen schwer abzuschätzen.
Je nach Art der Daten sowie dem Handeln der Angreifer drohen immense Schäden. Kunden könnten verärgert sein und darauf zum Mitbewerber wechseln. Damit drohen neben einem Reputationsschaden auch Umsatzeinbußen. Außerdem müssen bestimmte Datenpannen, sofern Daten mit Personenbezug betroffen sind, der zuständigen Aufsichtsbehörde gemeldet werden. Unter Umständen stellt die Aufsichtsbehörde einen Datenschutzverstoß fest und verhängt daraufhin ein Bußgeld.
Sicherheitsmaßnahmen: Schutz vor Social Hacking
In Anbetracht der drohenden Risiken haben Unternehmen großes Interesse an Sicherheitsmaßnahmen. Doch technische Maßnahmen, die IT-Systeme und Daten zu 100 Prozent vor Social Hacking schützen, gibt es nicht. Das Problem besteht darin, dass Mitarbeiter grundsätzlich Zugriff auf bestimmte Daten haben.
Aber es ist möglich, das Risiko eines erfolgreichen Angriffs durch Social Engineering zu verringern. Diesbezüglich haben sich folgende Sicherheitsmaßnahmen als hilfreich erwiesen:
Verankerung von Sicherheitsregeln: Es werden Sicherheitsregeln ausgearbeitet und im Unternehmen verankert. Solche Regeln geben strikt vor, wie bestimmte Systeme zu nutzen sind und welche Kommunikation rund um Passwörter und andere Zugangsdaten zulässig ist – z.B. im Rahmen einer Passwortrichtlinie. So kann Mitarbeitern untersagt werden, das eigene Passwort aufzuschreiben und mittels Klebezettel am Monitor anzubringen.
Prävention durch Schulung: Im Rahmen einer Schulung wird Mitarbeitern verdeutlicht, was Social Engineering bedeutet und wie Angriffe in der Praxis erfolgen. Wenn die Teilnehmer der Schulung verstanden haben, dass niemand ein Anrecht darauf hat, Benutzernamen und Passwörter zu erfahren, werden sie solche Informationen auch höchstwahrscheinlich nicht preisgeben.
Hinweis zu Schulungen und Trainings
Es gibt Sicherheitsexperten, die den Sinn und Zweck von Mitarbeiter- und Datenschutzunterweisungen im Hinblick auf der Wirksamkeit von Social Engineering anzweifeln. Teilweise wird behauptet, dass solche Schulungen keine hunderprozentige Sicherheit versprechen.
Dies ist korrekt, denn ein gut ausgefeilter Angriff kann immer zur Folge haben, dass ein Mitarbeiter auf eine Masche hereinfällt und freiwillig Informationen preisgibt. Allerdings sind wir der festen Überzeugung, dass sich dieses Risiko dank genannter Abwehrmaßnahmen maßgeblich verringern lässt.
Sicherheitsexperten einiger IT-Dienstleister haben in Kooperation mit Großunternehmen und Mittelständlern gezielte Tests durchgeführt. Hierbei stellten sie fest, dass rund 25 bis 30 Prozent der Mitarbeiter sowohl Benutzernamen als auch Passwörter am Telefon mitteilen. Nach Durchführung sogenannter Security Awareness Schulungen oder Trainings wird dieser Anteil drastisch verringert. Geschulte Mitarbeiter sind sich der Risiken bewusst und informieren im Zweifelsfall erst ihre Vorgesetzten oder die IT-Abteilung, anstatt Daten an Cyberkriminelle preiszugeben.
Unterstützung vom externen Datenschutzbeauftragten
Sie möchten mehr über Social Engineering und Lösungen zur Prävention in Ihrem Unternehmen erfahren? Als externer Datenschutzbeauftragter kümmern wir uns um sämtliche Belange, die mit dem betrieblichen Datenschutz in Verbindung stehen. Gerne unterstützen wir Sie dabei, maßgeschneiderte Sicherheitsregeln für Ihr Unternehmen auszuarbeiten und zu verankern. Ebenso können wir zugehörige Schulungen durchführen oder Ihre Mitarbeiter im Rahmen einer Datenschutzunterweisung generell für das Thema Datenschutz sensibilisieren.
Wir sind ein spezialisierter Dienstleister rund um den betrieblichen Datenschutz mit Sitz in Stockelsdorf / Region Lübeck. Zusammen mit unseren Kooperationspartnern sind wir bundesweit tätig, u.a. in Städten wie Hürth oder Stuttgart. Für weitere Informationen erreichen Sie uns telefonisch unter 0800 – 5600831 (gebührenfrei) sowie über unser Kontaktformular.