In einer zunehmend digitalen Welt lauern viele Gefahren im Verborgenen, und eine der tückischsten Bedrohungen ist das Social Engineering. Diese raffinierte Methode nutzt psychologische Tricks und menschliche Schwächen aus, um an sensible Informationen zu gelangen oder Systeme zu kompromittieren.
Vielleicht sind auch Sie schon einmal einem Deepfake aufgesessen – einer bewusst gefälschten Information. Man denke nur an den Papst in der Daunenjacke. Nicht immer sind solche Deepfakes harmlos. Oft stellen sie eine Gefahr dar, vor allem für Kinder. Mit ChatGPT und anderen Large Language Models (LLM) lassen sich manipulative Texte für das sogenannte Cybergrooming einfach erstellen, um Kontakte zu Kindern und Jugendlichen anzubahnen. Dies ist nur eine der perfiden Formen des Social Engineerings.
Was ist Social Engineering?
Social Engineering bezeichnet Angriffsmethoden, die Menschen durch Täuschung, Manipulation oder Ausnutzung menschlicher Schwächen dazu bringen, vertrauliche Informationen preiszugeben, unerlaubten Zugang zu Systemen zu gewähren oder bestimmte Aktionen auszuführen, die die Sicherheit kompromittieren können. Psychologische Prinzipien und Taktiken, die häufig eingesetzt werden, sind Autorität oder Sympathie und Liking. Denn wir Menschen neigen dazu, Personen zu gehorchen, die wir als Autoritätspersonen wahrnehmen oder die wir mögen. Auch die Wahrnehmung, dass etwas knapp und dadurch wertvoller ist, kann uns zu vorschnellem Handeln verleiten.
Formen des Social Engineerings
Die gängigste Angriffsmethode ist das Phishing. Hierzu versenden Social Engineers E-Mails, die beispielsweise dazu verleiten sollen, auf enthaltene Links zu klicken und anschließend persönliche Zugangsdaten einzugeben. Dabei werden dem Opfer täuschend echt wirkende Seiten angezeigt, die etwa die Anmeldeseite der eigenen Hausbank simulieren. Auch möglich ist der Anhang einer schadhaften Datei, die beim Öffnen zu einem automatischen Herunterladen einer Ransomware führt. Ransomware ist ein zusammengesetztes Kunstwort aus Ransom (Lösegeld) und Software. Ziel ist meist Datendiebstahl, anschließende Verschlüsselung der Daten und schließlich Erpressung mit der Drohung des Verkaufs oder der Veröffentlichung der Daten. Phishing ist laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) noch immer das Einfallstor Nummer eins für Ransomware-Angriffe.
Eine andere Variante sind Angriffe per Telefon, man spricht dann von Voice Phishing oder kurz Vishing. Hierbei versucht der Angreifer, durch eine geschickte Gesprächsführung an vertrauliche Informationen zu kommen oder das Opfer anzuleiten, eine Schadsoftware oder Zugangsdaten herunterzuladen.
Mittlerweile sehr bekannt und erfolgreich sind auch Angriffe per Textnachricht, die unter dem Begriff Smishing laufen, wie etwa der vermeintliche Paketbote, der ein Paket zustellen will und die angebliche Lieferadresse bemängelt.
Eine elegante Art, getroffene Sicherheitsvorkehrungen zu umgehen, ist auch das Quishing, bei dem QR-Codes verwendet werden, um Opfer auf kompromittierte Seiten zu locken. Vorsicht ist bei QR-Codes auf Werbeplakaten oder auf Restauranttischen geboten – diese können leicht überklebt werden.
Beim Spear Phishing steht ein Unternehmen oder eine Einzelperson im Visier der Angreifer. Der Name leitet sich daraus ab, dass gezielt einzelne Personen kontaktiert werden. Die Vorbereitungsphase dauert hier deutlich länger und ist ausgeklügelter, da im Vorfeld häufig private Informationen zu Hobbys, Geburtstagen oder letzten Urlaubszielen etwa aus sozialen Medien gewonnen werden müssen – eine ausgezeichnete Basis dafür, dann gezielt mit dem Opfer in eine vermeintlich vertraute Kommunikation treten zu können.
Vom Zufallstreffer zur systematischen Spionage
Social-Engineering-Angriffe reichen vom blinden massenhaften Versand von Phishingmails bis zu einer hochkomplexen und langwierigen Informationsbeschaffung, der sogenannten Reconnaissance- oder Aufklärungsphase durch professionell agierende Cyberkriminelle. Während die massenhaften Phishingmails meist wahllos an potenzielle Opfer gesendet werden, weil irgendjemand schon klicken wird, hat die Reconnaissance ein ganz anderes Gewicht. Sie ist das erste Glied einer Kette (Cyber Kill Chain), an deren Ende dann oft Datendiebstahl, Sabotage oder Erpressung stehen, die eine Firma oder Organisation in ihrer Existenz bedrohen können. Die Dauer der Reconnaissance-Phase hängt im Wesentlichen vom investierten Aufwand des Angreifers und den Sicherheitsmaßnahmen des potenziellen Opfers ab und beträgt unter Umständen ein halbes Jahr oder noch länger.
Informationsbeschaffung
Am Anfang eines jeden erfolgreichen Angriffs steht immer die Information. Mittel der Wahl, um sich diese zu beschaffen, sind zunächst Social Engineering, später dann auch technische Verfahren wie etwa das Ausspähen von Netzwerktopologien. Ein Beispiel, wie so etwas ablaufen kann: Zunächst bewegen sich die Profis nur im öffentlichen Raum und besorgen sich alle öffentlich verfügbaren Informationen, etwa von der Homepage des Opfers oder aus Zeitungsartikeln. Wurden dadurch etwa Namen von einzelnen Mitarbeitern herausgefunden, werden deren Social-Media-Beiträge ausgewertet, um private Details in Erfahrung zu bringen. Im Anschluss werden diese beispielsweise per Mail kontaktiert. Dies geschieht dann unter Nennung der zuvor erschlichenen privaten Informationen. Das schafft eine gewisse Vertrautheit. So kann ein allzu sorgloser Umgang mit Informationen im Internet die Basis für einen späteren technischen Angriff schaffen. Diese spezialisierten und aufwendigen Angriffe führen meist staatliche Akteure, wie Geheimdienste, oder kriminelle Netzwerke durch. Gerade letztere bieten mittlerweile ihre Techniken als Dienstleistung an. Wie bei einem Baukastensystem kann man sich im Darknet die für einen erfolgreichen Angriff benötigten Werkzeuge und ausnutzbaren Sicherheitslücken (Exploits) selbst zusammenstellen. Das nennt man auch Crime as a Service.
Schutz und Abwehr
Elementar wichtig für die Sicherheit ist die Sensibilisierung von Anwenderinnen und Anwendern für Social Engineering. Nur wer die Gefahren kennt und einen Eindruck bekommt, in welcher Gestalt sie auftreten können, hat zumindest eine Chance, dagegen gewappnet zu sein. Es ist daher unerlässlich, Mitarbeiter regelmäßig zu schulen und dadurch Social Engineering erlebbar zu machen. Besonders geeignet sind spielerische Formate, die die Techniken offenbaren. Das können vermeintlich echte Phishingmails sein, gefakte Telefonanrufe oder auch Besucher im Büro, die als Reinigungspersonal oder Handwerker getarnt sind.
Sicherheitsrichtlinien und Verfahren
Die Etablierung klarer Sicherheitsrichtlinien und Verfahren ist ebenfalls ein guter Schutz vor Social Engineering. Diese sollten beschreiben, wie mit sensiblen Informationen umgegangen werden muss. Dies schließt auch das Wissen darüber ein, wer Zugang zu welchen Daten hat und wie der Zugang zu diesen Daten kontrolliert wird. Technisch ratsam ist die Multifaktorauthentifizierung. Sollte ein Passwort kompromittiert werden, stellt der Einsatz von mehr als einem Faktor zur Authentifizierung für den Zugang zu sensiblen Systemen und Daten sicher, dass der Schaden begrenzt bleibt oder ganz verhindert werden kann. Gängige Verfahren sind hier zum Beispiel SMS-TAN-Verfahren oder auch die Verwendung von Authenticator-Apps, wie sie beispielsweise im Banking-Umfeld genutzt werden. Auch die physische Sicherheit sollte stets verbessert werden, um unbefugten Zugang zu Geschäftsräumen zu verhindern.
Für Mitarbeiter hat sich neben der Begrenzung des Datenzugriffs die ABC-Regel bewährt, die auch DATEV-intern eingesetzt wird. Das Kürzel steht für Absender, Betreff und Content. Anwenden lässt sich die Regel nahezu auf alle Formen des Social Engineerings. Letztlich zählt die Kombination aus Wissen, Technologie und präventiven Maßnahmen. Nur so können die vielfältigen Bedrohungen durch Social Engineering wirkungsvoll abgewehrt und digitale Infrastrukturen geschützt werden.
CYBERCRIME VON A BIS Z
Antivirus
Eine Software, um Computersysteme vor schädlichen Software-Programmen wie Viren, Malware und Spyware zu schützen. Antivirenprogramme erkennen, isolieren oder entfernen schädliche Dateien.
Awareness
Bewusstsein für Sicherheitsrisiken und -praktiken
Back-up
Regelmäßige Sicherung wichtiger Daten und Systeme, um im Falle eines Angriffs oder Ausfalls die Wiederherstellung und den Zugriff auf Daten und verschiedene Datenversionen zu ermöglichen.
Baiting
Angreifer versuchen, unbemerkt schädliche Software zu verbreiten, zum Beispiel durch USB-Sticks oder infizierte Dateien.
Cyberattacke
Gezielter Angriff auf Computersysteme, Netzwerke oder Infrastrukturen, um Daten zu stehlen, Schäden zu verursachen oder den normalen Betrieb zu stören.
Datenschutz
Schutz personenbezogener Daten vor unbefugtem Zugriff oder Missbrauch, um die Privatsphäre und Sicherheit von natürlichen Personen zu gewährleisten.
DDos-Attacke
Eine DDos-Attacke (Distributed Denial of Service) ist ein Cyberangriff, bei dem eine Website oder ein Netzwerk mit einer großen Anzahl von Anfragen bombardiert wird, um sie/es zu überlasten und den Zugriff für Benutzer zu verhindern.
Ransomware
Eine Art von Malware (Schadsoftware), die das Computersystem eines Benutzers durch einen E-Mail-Anhang, Links oder Schwachstellen in Anwendungen infiziert und verschlüsselt.
Vishing
Eine Methode, bei der Angreifer sich durch Anrufe als vertrauenswürdige Quelle ausgeben und mithilfe geschickter Gesprächstechniken versuchen, persönliche Informationen von Menschen zu erhalten, zum Beispiel Passwörter oder Kreditkarteninformationen.
