Es erscheint auf den ersten Blick absurd: Obwohl die Technologien zur Abwehr von Cyber-Angriffen kontinuierlich besser und intelligenter werden, stehen schwere und schwerste IT-Sicherheitsvorfälle in Unternehmen, aber auch im Privatleben, regelmäßig auf der Tagesordnung. Um solche Angriffe erfolgreich durchführen zu können, bedarf es eines nicht so einfach zu kontrollierenden Einfallstors in ein ansonsten weitreichend geschütztes System: Der Mensch ist die zentrale Schwachstelle im Gesamtsystem, er bekommt es mit einer zunehmend professionelleren Front von Cyberkriminellen zu tun.
Die augenscheinlich vom eigenen Vorgesetzten stammende Mail mit einem dringlichen Anliegen, die wie üblich freundschaftlich klingende Kommunikation mit einem Geschäftspartner samt anhängendem Office-Dokument oder die dringend notwendige Entsperrung eines Kontos bei der Bank oder einem sozialen Netzwerk sind häufig die Auslöser für konkrete Sicherheitsvorfälle. Ziel ist es, Anwender im Rahmen der erteilten Berechtigungen dazu zu bringen, aus Sicht des Unternehmens unerwünschte Operationen auszuführen.
Dies kann der Klick auf eine gefälschte Webseite sein oder das versehentliche Ausführen eines bösartigen Programmes, das als Mail-Anhang schon im System vorliegt. Auch die Durchführung von unerwünschten Aktivitäten durch den Anwender selbst auf Basis der Vorspiegelung falscher Tatsachen wird immer häufiger. Der Schaden kann sich in vielerlei Auswirkungen zeigen und reicht von der Installation von Backdoors als Einfallstor für Folgeangriffe über die Aktivierung von Ransomware, bis hin zu konkreten finanziellen Einbußen, etwa durch fälschlicherweise getätigte Überweisungen.
Social Engineering - eine Definition
Social Engineering steht für psychologische Manipulation von Menschen. Man versucht sie so zu beeinflussen, dass sie eine gewisse Verhaltensweise an den Tag legen - zum Beispiel Informationen herausgeben, ein Produkt kaufen, Geld überweisen oder eben den Zugang zu vermeintlich sicheren IT-Systemen ermöglichen. Die Anwendung dieser Methoden stellt typischerweise einen von mehreren Schritten im Rahmen einer komplexeren Strategie zur Durchführung eines Cyber-Angriffs dar.
Social Engineering nutzt auf der psychologischen Ebene grundlegende menschliche Eigenheiten aus. Das Erwerben oder Erschleichen von Vertrauen nimmt hierbei eine zentrale Rolle ein. Um dieses Vertrauen aufzubauen, müssen Angreifer eine weitreichende Kenntnis der Zielorganisation oder -person haben. Das bedeutet, dass im Vorfeld eine umfangreiche Informationssammlung stattfinden muss.
Besonders hilfreich sind für Angreifer im Rahmen einer langfristig angelegten Attacke Informationen, die in früheren, erfolgreichen Angriffen durch eine Backdoor bereits exfiltriert wurden. Zunehmend wird hierbei aber auch auf bereits vorliegende Informationen zurückgegriffen, die zeitgemäß durch aktuelle Big-Data-Technologien verarbeitet und nutzbar gemacht werden. Die Nutzung von Open Source Intelligence (OSINT), also die Sammlung und Analyse von Informationen, die aus allgemein zugänglichen oder offenen Quellen gesammelt werden, hat schon lange Einzug in das Social Engineering gehalten. Als Quellen kommen Medien, veröffentlichte Behördendaten, Webseiten und das Social Web sowie auch das Dark Net in Frage.
Beispiele für Social Engineering
Die im Social Engineering eingesetzten Angriffe zielen darauf ab, vertrauliche Informationen der Mitarbeiter zu stehlen. Die häufigste Art von Social Engineering geschieht hierbei über E-Mail.
Bei dieser als Phishing bezeichnete Vorgehensweise sendet der Angreifer eine E-Mail, die einer scheinbar legitimen Quelle entstammt. Diese kann im eigenen Unternehmen, bei Geschäfts- oder Kommunikationspartnern, aber auch bei vertrauenswürdigen Unternehmen wie Banken oder Kreditkartenunternehmen liegen. Die Anschreiben wirken zum Teil täuschend echt. Ihr Anliegen ist es, vertrauliche und kritische Informationen (Kreditkarten und PINs, Benutzernamen und Passwörter) zu erschleichen. Oft geht die Forderung mit einer Drohung einher (Sperrung von Zugängen, unklare hohe Lastschriften). Die vermeintliche Echtheit der Nachricht und damit das vom Anwender entgegengebrachte Vertrauen hängt nicht zuletzt von der Qualität zielgerichteter verwendeter Informationen ab.
Diese Phishing-Mails enthalten meistens Links, die zu authentisch wirkenden, aber gefälschten Webseiten führen. Dort sollen die Betroffenen dannn ihre persönlichen Informationen hinterlassen. In ähnlichen Szenarien beinhalten die Mails Dateianhänge in Form von PDF- oder Microsoft-Office-Dokumenten, die beim Öffnen Schadsoftware aktivieren. Diese Malware kann dann, ausgestattet mit den Berechtigungen des Nutzers, im Netzwerk aktiv werden und weitere Informationen ausspähen oder als erpresserische Verschlüsselungs-Software essenzielle Unternehmensdaten unbrauchbar machen.
Nicht zuletzt verleiten emotional aufgeladene Falschmeldungen (Fake News) Anwender zum Klick auf Links, die dann den Rechner - etwa durch unbewusste Drive-By-Downloads - infizieren. Die kontinuierlich um sich greifende Infektion von Computernetzen mit dem Schadsoftware-Ökosystem Emotet wird insbesondere über Social Engineering, nämlich Phishing mit betrügerischen Nachrichten, verbreitet.
Neben dem Phishing gibt es auch das Vishing (Voice Phishing): Dabei erfolgt der Angriff über einen oder mehrere Telefonanrufe. Hierbei wird über zielgerichtete, oft informelle Kommunikation versucht, detailliertere Informationen über eine Zielorganisation zu sammeln oder konkrete, verwendbare Informationen wie Passwörter zu erschleichen. Bekannte Beispiele sind die grassierenden Anrufe durch angebliche Microsoft-Support-Mitarbeiter, die wahlweise Zugang zu den Rechnern oder Kreditkarteninformationen erschleichen wollen.
Trotz kontinuierlich abnehmender Nutzung von SMS-Kurznachrichten bleibt auch das Smishing (Phishing via SMS) mit eingebetteten Links weiterhin eine Gefahr. Smishing stellt vor allem in den populären Kurznachrichtendiensten - von WhatsApp bis Facebook Messenger - eine zunehmende Bedrohung dar.
Seit dem Durchbruch generativer künstlicher Intelligenz (Generative AI; GenAI) Ende 2022 wird die Technologie zunehmend auch von Cyberkriminellen genutzt - unter anderem für Social-Engineering-Angriffe. Dabei stehen insbesondere sogenannte Deepfakes im Fokus - also mit KI erzeugte Bilder, Audioaufnahmen oder auch Videos. Cyberkriminelle nutzen die Deep-Learning-Technologie, um die Stimmen oder Gesichter von Vorgesetzten zu imitieren und sich auf diesem Wege durch Täuschung Informationen oder Geld zu beschaffen. So geschehen beispielsweise in China: Ein krimineller Hacker konnte sein Opfer mit Hilfe von KI-basierter "Face-Swapping"-Technologie davon überzeugen, ein angeblicher Freund zu sein - und es so um umgerechnet mehr als eine halbe Million Dollar erleichtern.
Doch Social-Engineering-Angriffe mit KI müssen nicht unbedingt mit Bewegtbild ablaufen. Aktuellen GenAI-Tools genügen bereits wenige Sekunden "Sprachmaterial", um daraus überzeugende KI-Stimmen zu basteln. Damit lassen sich zum Beispiel Deepfake-Sprachnachrichten für diverse bösartige Zwecke anfertigen. Wer hat schon Lust, den Chef nach einer wütenden Voicemail mit dringenden, angeblich vergessenen Überweisungswünschen zurückzurufen? Tun sollten Sie es vielleicht dennoch - schließlich haben Social-Engineering- und Phishing-Angriffe in Zusammenhang mit künstlicher Intelligenz laut dem "Identity Fraud Report 2024" (Download gegen Daten) des Identity-Anbieters Onfido im Jahr 2023 um satte 3.000 Prozent zugelegt.
Stu Sjouwerman, CEO beim Sicherheitsanbieter KnowBe4, hat sich in einem Beitrag für Forbes eingehend mit diesem Thema auseinandergesetzt. Sein Fazit: "Unternehmen müssen ihre Mitarbeiter anhalten, alles zu hinterfragen, was sie online sehen oder hören - und durch regelmäßige Social-Engineering-Sensibilisierungsübungen dafür sorgen, dass sie einen sechsten Sinn für die Cyberverteidigung entwickeln - ein Muskelgedächtnis, das in dem Moment in Gang gesetzt wird, in dem sie etwas Ungewöhnliches entdecken."
Social Engineering - Angriffe erkennen und abwehren
Social Engineering ist im Kern keine technische Herausforderung. Ihr muss mit einer Vielzahl von vorbeugenden, analytischen und risikobegrenzenden Maßnahmen begegnet werden. Dennoch sind auch technische Mechanismen Teil eines umfassenden Portfolios zur Bekämpfung von Social Engineering und seinen Auswirkungen.
Auf den einzelnen Arbeitsplätzen installierte Werkzeuge für Endpoint Security sind ebenfalls hilfreich: Der klassische Virenscanner erkennt eine Vielzahl von Schadsoftware anhand von Signaturen und kann eine grundlegende, aber nicht ausreichende Basissicherheit erzielen. Modernere Werkzeuge zum Application Whitelisting lassen nur die Ausführung von Software zu, die als legitim definiert ist. Greylisting-Ansätze lassen unbekannte Software erst durch externe Dienste validieren, oder sie sperren unsichere Produkte in isolierte virtuelle Maschinen, so dass das eigentliche System geschützt bleibt.
Auf Infrastrukturebene und damit in der zentralen IT können folgende unternehmensweite Systeme zur Abwehr von Social-Engineering-Auswirkungen angesiedelt sein:
Werkzeuge für User Behaviour Analytics, die im Identity und Access Management (IAM), aber auch in der Cybersecurity zum Einsatz kommen, können ungewöhnliche, von normalen Verhaltensmustern abweichende Tätigkeiten erkennen und entsprechende Maßnahmen initiieren.
In Cyber-Threat-Intelligence-Systemen laufen Informationen über aktuelle Bedrohungen und externe Informationen zusammen, so dass Kontext, Mechanismen, Indikatoren und Auswirkungen über eine bestehende oder entstehende Bedrohung mit der aktuellen Unternehmenssituation abgeglichen werden und konkrete Maßnahmen abgeleitet werden können.
Spezialisierte Social Engineering Toolkits geben den Verteidigern der IT-Sicherheit die technischen Komponenten der von den Angreifern verwendeten Werkzeuge an die Hand. Diese können einerseits zur Analyse und zum besseren Verständnis genutzt werden, also zu Ausbildungszwecken und zur kontinuierlichen Strategieverbesserung. Andererseits können sie auch zur Simulation von echten Angriffen oder für die Validierung bestehender Abwehrmaßnahmen und zur Durchführung konkreter Tests für Systeme und Mitarbeiter herangezogen werden. Kali-Linux-Installationen haben solche Social Engineering Toolkits als schnell nutzbare Analyse- und Stresstest-Systeme vorinstalliert.
Social Engineering - Die Verantwortung der User
Ebenso wichtig wie die technische Absicherung bedrohter Systeme ist die Achtsamkeit und Vorsicht der betroffenen Mitarbeiter. Ein tieferer Blick auf erhaltene Mails oder besuchte Webseiten kann dabei helfen, einen Großteil der Bedrohungen zu erkennen. Startpunkt ist hierbei immer die Plausibilitätsüberprüfung: Passt die Absender-Adresse der Mail und die Domain wirklich zu dem ausgeschriebenen Absender? Würde mich dieser Absender tatsächlich unter dieser Mail-Adresse mit dieser Intention anschreiben?
Falls dies möglich erscheint, ist eine Nachfrage über einen anderen Kanal - also via Telefon oder Chat - sinnvoll. Ist der Klick auf die verlinkte Webseite schon erfolgt, kann es im Zweifelsfall zwar schon zu spät sein, dennoch kann man hier anhand der tatsächlichen URL sowie fehlenden oder nicht passenden Zertifikaten bösartige, gefälschte Webseiten auch als Laie schnell erkennen.
Grundsätzlich kann eine "Deny-by-default"-Policy, die schon bei geringsten Zweifeln eine Nachricht ignorieren, melden oder löschen lässt, dabei helfen, eine Infektion zu vermeiden. Da eine solche Bedrohung aber üblicherweise nicht nur einen Mitarbeiter betrifft, ist es immer sinnvoll, eine zentrale Anlaufstelle für solche Vorfälle im Unternehmen zu haben. So werden Social-Engineering-Bedrohungen ernst genommen, innerhalb des IT-Sicherheitsteams analysiert, im Cyber-Threat-Intelligence-System mit vorhandenen Informationen korreliert und durch entsprechende Maßnahmen mitigiert.
Social Engineering - Bedrohung begrenzen und verhindern
Aber auch das Unternehmen selbst, die Organisation und die implementierten Prozesse sind in der Verantwortung. Aufgeklärte Mitarbeiter sind ein zentrales Element in der IT-Sicherheitsstrategie eines Unternehmens. Es ist wichtig, dass dies erkannt und gelebt wird. Hierzu gehört an erster Stelle die umfassende und kontinuierliche Schulung der Mitarbeiter. Jeder muss die für seine Position relevanten Sicherheitsvorgaben kennen und in der Praxis umsetzen können.
Hinzu kommen sorgfältig definierte Security Policies im Unternehmen. Auf deren Basis kann die Identifikation sensibler Informationen und ein angemessener Umgang mit ihnen erst festgelegt und kommuniziert werden. Um sensible und damit schützenswerte Informationen von weniger relevanten Informationen unterscheiden zu können, ist eine Risikobetrachtung und damit eine Bewertung der Gefährdung durch Social Engineering, aber auch andere Sicherheitsvorfälle essenziell.
Ein solches Gerüst für die Unternehmenssicherheit mit klaren Handlungsanweisungen und Vorgaben ist nur so gut wie seine Anwendung und die selbstverständliche Beachtung der vorgegebenen Maßnahmen durch jeden Mitarbeiter. Als Nachweis und ständige Erinnerung ist deshalb die Durchführung unangekündigter, unregelmäßiger Tests unerlässlich. Die Widerstandsfähigkeit jedes Einzelnen zur Verhinderung von Social Engineering muss kontinuierlich vermittelt und erprobt werden, um in der Praxis wirksam zu sein.
Social Engineering - Eine Erfolgsbranche
Social Engineering als Bestandteil umfassender Bedrohungsszenarien für die Cybersecurity von Unternehmen unterliegt den gleichen Mechanismen der digitalen Transformation wie legitime Geschäftsmodelle. Dies muss als Geschäftsmodell verstanden werden, denn es professionalisiert sich nachhaltig und skaliert kontinuierlich nach oben. Phishing ist nicht zuletzt deshalb so populär, weil dieser Angriffsvektor sich weitgehend automatisieren lässt. Damit bedroht eine Vielzahl von kriminellen Akteuren unterschiedlicher Herkunft und Motivationen die Mitarbeiter von Unternehmen und deren Verhalten. Social Engineering ist eine der schwersten und gängigsten Angriffsformen, gegen die sich Unternehmen und Privatpersonen schützen müssen.
- Individuelle Lern-Sessions
Bieten Sie spezifische Inhalte für bestimmte User-Gruppen und Fachbereiche an, anstatt auf „one size fits all“ zu setzen. - Überlänge vermeiden
Die Aufmerksamkeitsspanne Ihrer Mitarbeiter ist begrenzt. Einzelne Sessions sollten im Idealfall nicht länger als 30 Minuten in Anspruch nehmen. - Nicht alles auf einmal
IT Security ist ein weites Feld – konzentrieren Sie sich auf die Dinge, mit denen die betreffenden Mitarbeiter in ihrem Arbeitsalltag konfrontiert werden. - Der stete Tropfen
Security Awareness einmal pro Jahr ist keine Lösung. Sorgen Sie für Trainings in regelmäßigen Abständen - nur so klappt es mit dem Awareness-Durchbruch. - Keine alten Kamellen
Hätten Sie große Lust, mehrmals dieselben Lehrinhalte serviert zu bekommen? Eben. Ihre Mitarbeiter auch nicht. - Aktivität einfordern
Eine rein passive Berieselung mit Best Practices aus dem Security-Bereich ist nicht zielführend. Vielmehr sollten Sie Ihre Mitarbeiter aktiv ins Awareness-Training einbeziehen. - C-Level an Bord?
Auch das Management braucht regelmäßige Weiterbildung in Sachen IT-Sicherheit.