Social Engineering - Sicherheitslücke Mensch erkennen
Haben Sie sich in Ihrem Unternehmen schon einmal mit den Gefahren von Social Engineering auseinandergesetzt? Social Engineering kann jede Firma treffen, oft mit beträchtlichen wirtschaftlichen Schäden. Erfahren Sie hier, wie Sie sich gegen IT-Angriffe wappnen.
Beim Social Engineering setzen Angreifer ausgefeilte Techniken ein, um Ihre Opfer zu Handlungen in ihrem Sinne zu bewegen. Unwissende Mitarbeiter können so schnell zum Sicherheitsrisiko für die gesamte IT-Security von Produktionsanlagen werden. Wir zeigen Ihnen, wie Angreifer dabei vorgehen und welche Schutzmaßnahmen Sie ergreifen können.
Für dieses Sicherheitsrisiko ist keine Lücke in der Firewall verantwortlich, sondern die Mitarbeiter des Unternehmens oder vielleicht sogar Sie selbst! Denn oft gelangt Schadsoftware völlig unbemerkt ins System.
Ein Social Hacker ahmt dabei einen vertrauten Ablauf nach, so dass das Opfer keinen Verdacht schöpft: Eine E-Mail vom Dienstleister oder gar vom Chef persönlich oder USB-Stick mit Firmenlogo. Meist sind die Angriffe so ausgelegt, dass der Empfänger zu einer konkreten Handlung aufgefordert wird: Die Eingabe eines Passwortes auf einer gefälschten Unternehmens-Webseite.
Social Engineering – Angriffsmethoden
Doch wie gelangen Social Hacker an den Kontakt eines Opfers?
Damit der eigentliche Angriff durchgeführt werden kann, bedarf es gewisser Vorbereitungsmaßnahmen. So beschaffen sich Social Hacker Kontaktinformationen, z. B. im Gespräch mit Mitarbeitern, in sozialen Netzwerken oder per Internet-Recherche.
Im zweiten Schritt kann die Zielperson dann direkt kontaktiert werden. Betrüger machen sich dabei meist psychologische Tricks zu eigen, spielen mit Druck, der Neugier, dem Pflichtgefühl oder dem Vertrauen der Zielperson.
Bei dem Angriff auf ein bestimmtes Unternehmen ist Social Engineering meistens erst der Beginn eines ausgefeilten Angriffs. Der Social Hacker erbeutet die Zugangsdaten für einen Rechner des Firmennetzwerks, um von dort aus den Angriff als Einfallstor mit anderen Methoden fortzusetzen. Hat er erst einmal einen Zugang ins Unternehmensnetzwerk geschaffen, ist er in der Lage darin weitere Rechner im internen Netzwerk zu erreichen.
Dabei bedienen sie sich unterschiedlicher Werkzeuge, um den Angriff auf Personen durchzuführen. Zum Einsatz kommen nicht nur E-Mails oder Datenträger wie USB-Sticks, sondern auch Telefonanrufe mit der dringenden Bitte um Preisgabe sensibler Informationen.
Beim Social Hacking nutzen Hacker die Unwissenheit von Netzwerkbenutzern, um die Sicherheitsmaßnahmen des IT-Systems zu überwinden. Folgende Angriffsstrategien werden beim Social Hacking angewandt:
Baiting – Das Spiel mit der Neugier
Was hat es mit dem unbekannten USB-Stick oder der CD auf dem Schreibtisch auf sich? Was verbirgt sich hinter dem Link der seltsamen E-Mail? Beim Baiting (übersetzt “Ködern”) spielt der Angreifer mit der Neugier, aber auch dem Vertrauen von Menschen.
Ein USB-Stick oder eine CD mit dem Firmenlogo kann ja immerhin nichts Schlechtes sein! Wird der Datenträger erst einmal in den PC gelassen, springt die Schadsoftware auf den Computer über.
Phishing – Der Klassiker
Beim Phishing handelt es sich um die klassische und am weitesten verbreitete Variante des Social Engineerings, die in den letzten Jahren immer häufiger zu beobachten ist. Der Begriff ist eine Mischung aus den Wörtern “Password” und “fishing” und verdeutlicht das Ziel, Passwörter von Usern abzufangen.
Direkte Phishing-Strategie
Beim direkten Phishing versucht ein Social Hacker Passwörter und Nutzerdaten direkt zu erbeuten. In einer Mail oder einer SMS wird der User gebeten, den Link zu einer bestimmten Homepage zu folgen, um dort seine Angaben zu hinterlegen – meist mit dem Hinweis, dass dies aus Sicherheitsgründen nötig sei.
Während Phishing-Mails früher oft auf den ersten Blick als solche zu identifizieren waren (schlechtes Design, falsche Anrede, fehlerhaftes Deutsch), versuchen sie heute mit professionellem Design und origineller Ansprache das Vertrauen ihres Opfers zu gewinnen. So wirkt eine vermeintliche Mail von der Bank mit Bitte um dringende Eingabe der Zugangsdaten fürs Online-Banking täuschend echt.
Aufschluss über den wahren Ursprung gibt der SMTP-Header einer Mail, den jedoch viele nicht überprüfen. Meistens finden diese Phishing-Attacken in großen Wellen mit mehreren Tausend Mailempfängern statt.
Spear Phishing – Komplexe Industriespionage
Während man beim Phishing ein Netz auswirft und dabei hofft, dass möglichst viele Fische ins Netz gehen, zielt man beim Spear Phishing (Speerfischen) darauf ab, ganz gezielte Angriffe auf eine bestimmte Beute durchzuführen.
Im Fokus steht also zunächst eine bestimmte Zielperson im Unternehmen. Im ersten Schritt bringt der Angreifer alles in Erfahrung, was man über diese Person und ihr Umfeld wissen muss, z. B. Informationen aus dem Internet oder Social-Media-Accounts. Im zweiten Schritt versendet er dann eine E-Mail oder SMS mit persönlichen Details, die das Vertrauen der Zielperson erwecken soll.
Die Person wird darin zum Beispiel aufgefordert, einen bestimmten Link oder einen Anhang zu öffnen, wodurch Schadsoftware auf den PC und somit ins Unternehmensnetzwerk gelangt. Ist dieser Schritt erst einmal getan, erhalten Social Hacker Zugriff auf wertvolle Informationen, wie Zugangsdaten zu Rechnern.
Neben dem wirtschaftlichen Schaden, z. B. durch Industriespionage oder auch Datenverlust/Downtime durch Krypto Trojaner, entsteht auch ein immaterieller Schaden (z. B. durch Rufschädigung in der Öffentlichkeit und Vertrauensverlust der Kunden)
Social Engineering – 3 Gegenmaßnahmen
1. Mitarbeiter schulen
Social Engineering macht sich die Unwissenheit von Mitarbeitern zu Nutze. Daher sind Prävention und Aufklärung zunächst die effektivsten Gegenmaßnahmen. In Schulungen sollten Mitarbeiter für das Thema Social Engineering sensibilisiert werden.
Bereits mit der Vermittlung einfacher Regeln kann hier schon sehr viel bewirkt werden. Wie entwickelt man eine gesunde Skepsis gegenüber Fremden? Wie erkenne ich Social Engineering Angriffe? Welche Reaktionen gibt es bei möglichen Social Engineering Attacken wie z.B.? Wie gehe ich mit E-Mails oder Speichermedien von unbekannten Absendern um?
Da soziale Netzwerke in den letzten Jahren immer wichtigere Informationsquellen für Social Hacker geworden sind, besteht gerade auch hier Aufklärungsbedarf in Bezug auf den richtigen Umgang mit der Preisgabe persönlicher und beruflicher Informationen. Die Firma VIDEC bietet umfangreiche Mitarbeiterschulungen im Bereich IT-Sicherheit.
2. Penetrationstest durchführen
Der Penetrationstest bietet die Chance neben anderen Angriffen auch Social-Engineering-Angriffe auf ein Produktionssystem live zu erleben. Meist wird der Test von einer Sicherheitsfirma durchgeführt, die dann die Rolle eines Social Hackers einnimmt und verschiedene kontrollierte Angriffe auf das Netzwerk startet.
Je nach Zielsetzung wird i. d. R voher genau vereinbart, welche Mittel zum Einsatz kommen, welche Arten von Penetrationstests man anwendet und unter welchen Voraussetzungen der Angriff stattfinden wird.
Auf diese Weise können Schwachstellen identifiziert und Gefahren besser eingeschätzt werden. Aufgrund der hohen Komplexität, gehen diese Tests jedoch mit einem hohen zeitlichen und finanziellen Aufwand einher.
Dabei handelt es sich immer nur um eine Momentaufnahme ohne Gewährleistung, dass alle relevanten Schwachstellen erkannt wurden. Informationen dazu erhalten Sie hier.
3. IT-Security durch kontinuierliche Überwachung
Während Penetrationstests i.d.R. maximal nur einmal jährlich stattfinden, gewährleisten Industrie Computer Systeme eine kontinuierliche Überwachung des Netzwerks.
Ein Beispiel dafür ist IRMA (Industrie Risiko Management Automatisierung). IRMA analysiert alle Netzwerkverbindungen in einem System und hilft dabei, Angriffe zu erkennen sowie diese verdächtigen Vorgänge unmittelbar zu melden.
Dabei greift das System nicht aktiv in das Produktionsnetz ein, sondern scannt es passiv und vermeidet so unbeabsichtigte Störungen in der Kommunikation des Netzwerks. Durch den passiven Scanvorgang werden Cyber-Angriffe gleich zu Beginn erkannt und entsprechende Gegenmaßnahmen können eingeleitet werden, die das Schadensausmaß begrenzen.
Weitere Eigenschaften machen die Einführung von IRMA zu einer effektiven und kostensparenden IT-Sicherheitsmaßnahme:
Durch die einfache Bedien- und Nutzbarkeit ermöglicht es die Erhöhung der Cybersicherheit, auch ohne Expertenwissen. Das System bietet ein wirkungsvolle Unterstützung beim Erfüllen gesetzlicher Sicherheitsvorgaben, mit denen sich viele Unternehmer aktuell konfrontiert sehen. Dank eines geringen Installationsaufwands kann die Überwachung und Analyse der Sicherheitslage sofort beginnen.
Fazit zum Social Engineering
Aktuelle Hacks belegen, dass in vielen Fällen der Faktor Mensch das größte Einfallstor in Firmen- und Produktionsnetzwerke darstellt. Durch geschickte Manipulation werden unbewusste menschliche Handlungsmuster ausgenutzt, um an wertvolle Geschäftsgeheimnisse zu gelangen oder in gesicherte Netzwerke einzudringen.
Als besonders gefährlich für Unternehmen erweisen sich dabei sogenannte Spear-Phishing-Angriffe, bei denen Social-Hacker gezielt einzelne Mitarbeiter für ihre Angriffe auswählen, da diese in Bezug auf Sicherheitsaspekte heute oft das schwächste Glied in der Kette bilden.
Um vor solchen Angriffen gewappnet zu sein, benötigen Unternehmen einen ganzheitlichen Sicherheitsansatz, der sowohl die Aufklärung und Schulung von Mitarbeitern, als auch die Installation eines Industrie Computer Systems umfasst, welches die IT-Infrastruktur kontinuierlich überwacht.