zurück zurück
Sicherheit

Der Mensch ist das Risiko

Was hinter der Betrugsmasche Social Engineering steckt und wie man sich dagegen wehrt.
2020 03 FINT Artikel Social Engineering quer 02 unsplash l Fv0 V3 2 H6s © Photo by Mike Kononov on Unsplash
17.03.2020

Beim Social Engineering brauchen Hacker keine besondere Programmiererfahrung, ein wenig Menschenkenntnis reicht schon. Wie die Betrüger vorgehen, welche Schäden sie anrichten und wie sich Unternehmen und ihre Mitarbeiter schützen können.

Er ist groß, knallrot und an jeder industriellen Maschine zu finden – der Notausschalter. Erfunden hat ihn 1985 die Firma Pilz. Im vergangenen Herbst hätte der Hersteller für Sicherheits- und Steuerungstechnik allerdings selbst einen solchen Schalter brauchen können – und zwar für sein IT-System. Denn Hacker hatten einen Cyberangriff gestartet: Mittels sogenannter Ransomware attackierten sie sämtliche Unternehmens-Server und verschlüsselten die Daten. Zwar reagierte Pilz schnell und schaltete umgehend sämtliche Netzwerke und Server ab, doch der Schaden war angerichtet. In einigen Werken stand die Produktion tagelang still und es dauerte mehrere Wochen, bis das Unternehmen seine IT-Infrastruktur wieder vollständig in Betrieb nehmen konnte.

2020 03 FINT Artikel Social Engineering quer 03 pexels 889839 © Photo by W W on Pexels

Ausgangspunkt für solche Cyberangriffe sind oftmals sogenannte Phishing-Mails. Hinter dem Begriff verstecken sich gefälschte E-Mails, die auf den ersten Blick aus einer seriösen Quelle zu stammen scheinen. Mitarbeiter werden darin zum Beispiel aufgefordert, einen bestimmten Link anzuklicken oder einen Anhang zu öffnen. Kommen sie dieser Aufforderung nach, werden im Hintergrund Schadprogramme eingeschleust und aktiviert. Phishing-Mails sind allerdings nur eines von vielen Phänomenen, die unter der komplexen Betrugsmasche mit der Bezeichnung „Social Engineering“ zusammengefasst werden.

Was ist Social Engineering?

Beim Social Engineering werden die Opfer so manipuliert, dass sie arglos Informationen herausgeben. Die Betrüger benötigen hierfür keine besonderen Programmierkenntnisse, da sie stattdessen den Menschen als Schwachstelle innerhalb des Sicherheitssystems nutzen. Sie nehmen per Telefon oder E-Mail Kontakt auf und versuchen, das Vertrauen des Opfers zu gewinnen. Ziel ist es, durch zwischenmenschliche Beeinflussung an sensible Daten wie Passwörter heranzukommen oder Schadprogramme auf dem Computer zu installieren. Social Engineering umfasst viele verschiedene Betrugsformen – sowohl analog als auch digital.

2020 03 FINT Artikel Social Engineering hoch 03 unsplash xxn48oa73s M © Photo by Joshua Gandara on Unsplash

Welche Arten von Social Engineering gibt es?
Nicht immer muss der Angreifer persönlichen Kontakt aufnehmen. Eine einfachere Social-Engineering-Methode ist etwa, wenn der Hacker an einem öffentlichen Ort wie der Kantine oder der Bushaltestelle Gespräche der Mitarbeiter belauscht. So kann er rasch an firmeninterne Informationen gelangen, etwa, welche Mitarbeiter gerade im Urlaub oder krank sind. Zudem kann er in der Bahn einen Blick auf das Display des Firmen-Notebooks erhalten und an Passwörter und Benutzernamen gelangen.

Folgende Angriffe setzen hingegen voraus, dass der Kriminelle Kontakt mit seinem Opfer aufnimmt:

Pretexting: Im Lügennetz
Der Angreifer stützt sich auf ein Geflecht aus falschen Tatsachen, die jedoch so glaubwürdig wirken, dass das Opfer sie nicht hinterfragt. Er täuscht eine Verbindung zum Unternehmen vor, mit dem Ziel, an sensible Daten zu gelangen oder Zugang zu geschützten Systemen zu erhalten. Er gibt sich zum Beispiel als Mitarbeiter der IT-Abteilung aus, der ein Problem am PC des Opfers beheben möchte. Dafür fordert er das Opfer auf, Login-Daten preiszugeben oder Zugang zum Computer zu gewähren. Angreifer tarnen sich hierfür auch als Techniker, Bankangestellte, Mitarbeiter des Finanzamtes oder Polizisten.

2020 03 FINT Artikel Social Engineering hoch 02 unsplash df092d CB Rv M © Photo by Ussama Azam on Unsplash

Phishing: Am Haken
Phishing beschränkt sich nicht nur auf E-Mails, sondern kann auch per Chat, Telefon – dann spricht man vom sogenannten Vishing (Voice Phishing) – oder sogar in Briefform erfolgen. Die Masche ist aber immer die gleiche: Die Opfer sollen dazu gebracht werden, Schadsoftware zu installieren oder sensible Informationen preiszugeben. Dafür werden sie aufgefordert, auf dubiose Links zu klicken, E-Mail-Anhänge zu öffnen oder ihre Konto- oder Login-Daten auf gefälschten Websites einzutippen. Während E-Mails von nigerianischen Prinzen oder voller Rechtschreibfehler schnell als Spam zu enttarnen sind, wirken professionelle Phishing-Nachrichten authentisch und ködern mit emotionalen Komponenten. Das macht die Betrugsart gleichermaßen beliebt wie gefährlich. Besonders betroffen ist der Bankensektor: Mit über 22 Prozent aller Phishing-Angriffe war er nach globalen Internetportalen das zweithäufigste Ziel.

Spear-Phishing: Im Fadenkreuz
Eine Sonderform ist das sogenannte Spear-Phishing: Der Angriff richtet sich gezielt gegen eine Person oder ein Unternehmen, ist hochgradig individualisiert und wirkt dadurch besonders vertrauenswürdig. Dafür werden sehr spezifische Informationen, etwa Firmeninterna oder die Bezugnahme auf Kollegen, genutzt, um sich das Vertrauen des Opfers zu erschleichen. Oft informieren sich Angreifer vorab genau über ihre Opfer, indem sie etwa soziale Netzwerke wie Facebook, LinkedIn oder Xing nach relevanten Informationen durchsuchen. Spear-Phishing führt durch die Personalisierung häufiger zum Erfolg als die klassische Phishing-Methode.

2020 03 FINT Artikel Social Engineering quer 01 unsplash mg YAR7 Bz Bk4 © Photo by NeONBRAND on Unsplash

CEO-Fraud: Im Namen des Chefs
Ein Mitarbeiter erhält eine dringliche E-Mail seines Chefs, in der er unter höchster Geheimhaltung um die Überweisung einer bestimmten Summe an ein ausländisches Konto gebeten wird. Der sogenannte CEO-Fraud oder CEO-Betrug ist perfide und für Unternehmen besonders gefährlich. Beim Autozulieferer Leoni stahlen Angreifer auf diese Weise 40 Millionen Euro. Ein manipuliertes Absenderfeld in der E-Mail genügte, um den Finanzchef eines rumänischen Subunternehmens hinters Licht zu führen. Denn er kam den Zahlungsaufforderungen nach, die sich auf den ersten Blick nicht von den Anforderungen der deutschen Muttergesellschaft unterschieden. Doch das Geld landete auf dem Konto der Betrüger.

Wie kann man sich schützen?

Während Computer rational arbeiten, lässt sich der Mensch bei seinen Entscheidungen von Emotionen leiten. Etwa, wenn es darum geht, anderen schnell und unbürokratisch zu helfen. Genau das nutzt Social Engineering aus, weshalb man auch vom „Human Hacking“ spricht. Da nicht die Technik, sondern der Mensch die größte Schwachstelle ist, sollten Unternehmen Prävention betreiben und ihre Mitarbeiter umfassend aufklären.

2020 03 FINT Artikel Social Engineering hoch 01 unsplash H Dbavx A Cgg A © Photo by Ryoji Iwata on Unsplash

Bei fast allen Social-Engineering-Methoden hängt die erfolgreiche Ausführung maßgeblich davon ab, dass das Opfer aktiv reagiert. Klickt der Anwender zum Beispiel in einer Phishing-Mail nicht auf den Anhang, verläuft der Angriff im Nichts. Weitere Maßnahmen sind deshalb:

1. Gesundes Misstrauen
Führe bei E-Mails immer den 3-Sekunden-Sicherheits-Check des Bundesamts für Sicherheit in der Informationstechnik (BSI) durch:

  • Ist der Absender bekannt?
  • Ist der Betreff sinnvoll?
  • Wird ein Anhang von diesem Absender erwartet?

Solltest du dir weiterhin unsicher sein, dann erkundige dich telefonisch beim Absender, ob die E-Mail von ihm stammt. Handelt es sich hingegen um einen unbekannten Absender, solltest du vorsichtig sein und im Zweifel nicht darauf reagieren. Ein gutes Training, um Phishing-Mails zu erkennen, bietet übrigens das Phishing-Quiz von Google.

2. Passwörter geheim halten

Seriöse Unternehmen und Banken fordern dich niemals dazu auf, vertrauliche Informationen telefonisch oder per E-Mail preiszugeben. Sollte dich also jemand bitten, dein Passwort, Login-Daten oder Kontoinformationen mitzuteilen, reagierst du einfach nicht darauf.

3. Zurückhaltender Umgang mit persönlichen Informationen

Überlege gut, welche Inhalte du in den sozialen Netzwerken teilen möchtest. Deine Posts und Likes können viel über deine Lebensumstände verraten. Richte deine Profile deshalb so ein, dass sie möglichst nicht öffentlich einsehbar sind – sondern nur für Freunde und bestätigten Kontakte. Vertrauliche Informationen über deine Arbeit und deinen Arbeitgeber solltest du nicht teilen. Denn Kriminelle suchen auf Plattformen wie Facebook oder LinkedIn gezielt nach persönlichen Informationen, um diese für ihre Angriffe zu nutzen.

Du willst mehr über die Maschen der Online-Betrüger erfahren?

Im Podcast spricht Sarah Ochs mit dem Fraud Manager Andreas Hermann über die Betrugsrisiken im Netz. Er sagt: „Es wird noch zu wenig getan, um die Hürden für Täter möglichst hochzuhalten.“

17.03.2020