So funktioniert Social Engineering

21.11.2023
Von 


Matthias Reinwarth ist Senior Analyst bei KuppingerCole und steuert als Lead Advisor das Beratungsgeschäft. Als Director Practice für das Identity & Access Management koordiniert er dieses Thema für alle Tätigkeitsbereiche des Unternehmens. Er veröffentlicht regelmäßig Blogbeiträge und Researchpaper zu IAM, Governance, Cybersecurity, aber auch darüber hinaus.
Beim Social Engineering nutzen Cyberkriminelle die Schwachstelle Mensch. Wir zeigen, wie Sie die Angriffe erkennen und sich und Ihr Unternehmen schützen können.
Social Engineering bedroht Unternehmen und Privatpersonen gleichermaßen. Wir klären Sie über die Psychologie der Scams auf und geben Ihnen Tipps an die Hand, um sich gegen Cybercrime zu schützen.
Social Engineering bedroht Unternehmen und Privatpersonen gleichermaßen. Wir klären Sie über die Psychologie der Scams auf und geben Ihnen Tipps an die Hand, um sich gegen Cybercrime zu schützen.
Foto: Preechar Bowonkitwanchai - shutterstock.com

Es erscheint auf den ersten Blick absurd: Obwohl die Technologien zur Abwehr von Cyber-Angriffen kontinuierlich besser und intelligenter werden, stehen schwere und schwerste IT-Sicherheitsvorfälle in Unternehmen, aber auch im Privatleben, regelmäßig auf der Tagesordnung. Um solche Angriffe erfolgreich durchführen zu können, bedarf es eines nicht so einfach zu kontrollierenden Einfallstors in ein ansonsten weitreichend geschütztes System: Der Mensch ist die zentrale Schwachstelle im Gesamtsystem, er bekommt es mit einer zunehmend professionelleren Front von Cyberkriminellen zu tun.

Die augenscheinlich vom eigenen Vorgesetzten stammende Mail mit einem dringlichen Anliegen, die wie üblich freundschaftlich klingende Kommunikation mit einem Geschäftspartner samt anhängendem Office-Dokument oder die dringend notwendige Entsperrung eines Kontos bei der Bank oder einem sozialen Netzwerk sind häufig die Auslöser für konkrete Sicherheitsvorfälle. Ziel ist es, Anwender im Rahmen der erteilten Berechtigungen dazu zu bringen, aus Sicht des Unternehmens unerwünschte Operationen auszuführen.

Dies kann der Klick auf eine gefälschte Webseite sein oder das versehentliche Ausführen eines bösartigen Programmes, das als Mail-Anhang schon im System vorliegt. Auch die Durchführung von unerwünschten Aktivitäten durch den Anwender selbst auf Basis der Vorspiegelung falscher Tatsachen wird immer häufiger. Der Schaden kann sich in vielerlei Auswirkungen zeigen und reicht von der Installation von Backdoors als Einfallstor für Folgeangriffe über die Aktivierung von Ransomware, bis hin zu konkreten finanziellen Einbußen, etwa durch fälschlicherweise getätigte Überweisungen.

Social Engineering - eine Definition

Social Engineering steht für psychologische Manipulation von Menschen. Man versucht sie so zu beeinflussen, dass sie eine gewisse Verhaltensweise an den Tag legen - zum Beispiel Informationen herausgeben, ein Produkt kaufen, Geld überweisen oder eben den Zugang zu vermeintlich sicheren IT-Systemen ermöglichen. Die Anwendung dieser Methoden stellt typischerweise einen von mehreren Schritten im Rahmen einer komplexeren Strategie zur Durchführung eines Cyber-Angriffs dar.

Social Engineering nutzt auf der psychologischen Ebene grundlegende menschliche Eigenheiten aus. Das Erwerben oder Erschleichen von Vertrauen nimmt hierbei eine zentrale Rolle ein. Um dieses Vertrauen aufzubauen, müssen Angreifer eine weitreichende Kenntnis der Zielorganisation oder -person haben. Das bedeutet, dass im Vorfeld eine umfangreiche Informationssammlung stattfinden muss.

Besonders hilfreich sind für Angreifer im Rahmen einer langfristig angelegten Attacke Informationen, die in früheren, erfolgreichen Angriffen durch eine Backdoor bereits exfiltriert wurden. Zunehmend wird hierbei aber auch auf bereits vorliegende Informationen zurückgegriffen, die zeitgemäß durch aktuelle Big-Data-Technologien verarbeitet und nutzbar gemacht werden. Die Nutzung von Open Source Intelligence (OSINT), also die Sammlung und Analyse von Informationen, die aus allgemein zugänglichen oder offenen Quellen gesammelt werden, hat schon lange Einzug in das Social Engineering gehalten. Als Quellen kommen Medien, veröffentlichte Behördendaten, Webseiten und das Social Web sowie auch das Dark Net in Frage.

Beispiele für Social Engineering

Die im Social Engineering eingesetzten Angriffe zielen darauf ab, vertrauliche Informationen der Mitarbeiter zu stehlen. Die häufigste Art von Social Engineering geschieht hierbei über E-Mail.

Bei dieser als Phishing bezeichnete Vorgehensweise sendet der Angreifer eine E-Mail, die einer scheinbar legitimen Quelle entstammt. Diese kann im eigenen Unternehmen, bei Geschäfts- oder Kommunikationspartnern, aber auch bei vertrauenswürdigen Unternehmen wie Banken oder Kreditkartenunternehmen liegen. Die Anschreiben wirken zum Teil täuschend echt. Ihr Anliegen ist es, vertrauliche und kritische Informationen (Kreditkarten und PINs, Benutzernamen und Passwörter) zu erschleichen. Oft geht die Forderung mit einer Drohung einher (Sperrung von Zugängen, unklare hohe Lastschriften). Die vermeintliche Echtheit der Nachricht und damit das vom Anwender entgegengebrachte Vertrauen hängt nicht zuletzt von der Qualität zielgerichteter verwendeter Informationen ab.

Diese Phishing-Mails enthalten meistens Links, die zu authentisch wirkenden, aber gefälschten Webseiten führen. Dort sollen die Betroffenen dannn ihre persönlichen Informationen hinterlassen. In ähnlichen Szenarien beinhalten die Mails Dateianhänge in Form von PDF- oder Microsoft-Office-Dokumenten, die beim Öffnen Schadsoftware aktivieren. Diese Malware kann dann, ausgestattet mit den Berechtigungen des Nutzers, im Netzwerk aktiv werden und weitere Informationen ausspähen oder als erpresserische Verschlüsselungs-Software essenzielle Unternehmensdaten unbrauchbar machen.

Nicht zuletzt verleiten emotional aufgeladene Falschmeldungen (Fake News) Anwender zum Klick auf Links, die dann den Rechner - etwa durch unbewusste Drive-By-Downloads - infizieren. Die kontinuierlich um sich greifende Infektion von Computernetzen mit dem Schadsoftware-Ökosystem Emotet wird insbesondere über Social Engineering, nämlich Phishing mit betrügerischen Nachrichten, verbreitet.

Neben dem Phishing gibt es auch das Vishing (Voice Phishing): Dabei erfolgt der Angriff über einen oder mehrere Telefonanrufe. Hierbei wird über zielgerichtete, oft informelle Kommunikation versucht, detailliertere Informationen über eine Zielorganisation zu sammeln oder konkrete, verwendbare Informationen wie Passwörter zu erschleichen. Bekannte Beispiele sind die grassierenden Anrufe durch angebliche Microsoft-Support-Mitarbeiter, die wahlweise Zugang zu den Rechnern oder Kreditkarteninformationen erschleichen wollen.

Trotz kontinuierlich abnehmender Nutzung von SMS-Kurznachrichten bleibt auch das Smishing (Phishing via SMS) mit eingebetteten Links weiterhin eine Gefahr. Smishing stellt vor allem in den populären Kurznachrichtendiensten - von WhatsApp bis Facebook Messenger - eine zunehmende Bedrohung dar.

Social Engineering - Angriffe erkennen und abwehren

Social Engineering ist im Kern keine technische Herausforderung. Ihr muss mit einer Vielzahl von vorbeugenden, analytischen und risikobegrenzenden Maßnahmen begegnet werden. Dennoch sind auch technische Mechanismen Teil eines umfassenden Portfolios zur Bekämpfung von Social Engineering und seinen Auswirkungen.

Auf den einzelnen Arbeitsplätzen installierte Werkzeuge für Endpoint Security sind ebenfalls hilfreich: Der klassische Virenscanner erkennt eine Vielzahl von Schadsoftware anhand von Signaturen und kann eine grundlegende, aber nicht ausreichende Basissicherheit erzielen. Modernere Werkzeuge zum Application Whitelisting lassen nur die Ausführung von Software zu, die als legitim definiert ist. Greylisting-Ansätze lassen unbekannte Software erst durch externe Dienste validieren, oder sie sperren unsichere Produkte in isolierte virtuelle Maschinen, so dass das eigentliche System geschützt bleibt.

Auf Infrastrukturebene und damit in der zentralen IT können folgende unternehmensweite Systeme zur Abwehr von Social-Engineering-Auswirkungen angesiedelt sein:

  • Werkzeuge für User Behaviour Analytics, die im Identity und Access Management (IAM), aber auch in der Cybersecurity zum Einsatz kommen, können ungewöhnliche, von normalen Verhaltensmustern abweichende Tätigkeiten erkennen und entsprechende Maßnahmen initiieren.

  • In Cyber-Threat-Intelligence-Systemen laufen Informationen über aktuelle Bedrohungen und externe Informationen zusammen, so dass Kontext, Mechanismen, Indikatoren und Auswirkungen über eine bestehende oder entstehende Bedrohung mit der aktuellen Unternehmenssituation abgeglichen werden und konkrete Maßnahmen abgeleitet werden können.

  • Spezialisierte Social Engineering Toolkits geben den Verteidigern der IT-Sicherheit die technischen Komponenten der von den Angreifern verwendeten Werkzeuge an die Hand. Diese können einerseits zur Analyse und zum besseren Verständnis genutzt werden, also zu Ausbildungszwecken und zur kontinuierlichen Strategieverbesserung. Andererseits können sie auch zur Simulation von echten Angriffen oder für die Validierung bestehender Abwehrmaßnahmen und zur Durchführung konkreter Tests für Systeme und Mitarbeiter herangezogen werden. Kali-Linux-Installationen haben solche Social Engineering Toolkits als schnell nutzbare Analyse- und Stresstest-Systeme vorinstalliert.

Social Engineering - Die Verantwortung der User

Ebenso wichtig wie die technische Absicherung bedrohter Systeme ist die Achtsamkeit und Vorsicht der betroffenen Mitarbeiter. Ein tieferer Blick auf erhaltene Mails oder besuchte Webseiten kann dabei helfen, einen Großteil der Bedrohungen zu erkennen. Startpunkt ist hierbei immer die Plausibilitätsüberprüfung: Passt die Absender-Adresse der Mail und die Domain wirklich zu dem ausgeschriebenen Absender? Würde mich dieser Absender tatsächlich unter dieser Mail-Adresse mit dieser Intention anschreiben?

Falls dies möglich erscheint, ist eine Nachfrage über einen anderen Kanal - also via Telefon oder Chat - sinnvoll. Ist der Klick auf die verlinkte Webseite schon erfolgt, kann es im Zweifelsfall zwar schon zu spät sein, dennoch kann man hier anhand der tatsächlichen URL sowie fehlenden oder nicht passenden Zertifikaten bösartige, gefälschte Webseiten auch als Laie schnell erkennen.

Grundsätzlich kann eine "Deny-by-default"-Policy, die schon bei geringsten Zweifeln eine Nachricht ignorieren, melden oder löschen lässt, dabei helfen, eine Infektion zu vermeiden. Da eine solche Bedrohung aber üblicherweise nicht nur einen Mitarbeiter betrifft, ist es immer sinnvoll, eine zentrale Anlaufstelle für solche Vorfälle im Unternehmen zu haben. So werden Social-Engineering-Bedrohungen ernst genommen, innerhalb des IT-Sicherheitsteams analysiert, im Cyber-Threat-Intelligence-System mit vorhandenen Informationen korreliert und durch entsprechende Maßnahmen mitigiert.

Social Engineering - Bedrohung begrenzen und verhindern

Aber auch das Unternehmen selbst, die Organisation und die implementierten Prozesse sind in der Verantwortung. Aufgeklärte Mitarbeiter sind ein zentrales Element in der IT-Sicherheitsstrategie eines Unternehmens. Es ist wichtig, dass dies erkannt und gelebt wird. Hierzu gehört an erster Stelle die umfassende und kontinuierliche Schulung der Mitarbeiter. Jeder muss die für seine Position relevanten Sicherheitsvorgaben kennen und in der Praxis umsetzen können.

Hinzu kommen sorgfältig definierte Security Policies im Unternehmen. Auf deren Basis kann die Identifikation sensibler Informationen und ein angemessener Umgang mit ihnen erst festgelegt und kommuniziert werden. Um sensible und damit schützenswerte Informationen von weniger relevanten Informationen unterscheiden zu können, ist eine Risikobetrachtung und damit eine Bewertung der Gefährdung durch Social Engineering, aber auch andere Sicherheitsvorfälle essenziell.

Ein solches Gerüst für die Unternehmenssicherheit mit klaren Handlungsanweisungen und Vorgaben ist nur so gut wie seine Anwendung und die selbstverständliche Beachtung der vorgegebenen Maßnahmen durch jeden Mitarbeiter. Als Nachweis und ständige Erinnerung ist deshalb die Durchführung unangekündigter, unregelmäßiger Tests unerlässlich. Die Widerstandsfähigkeit jedes Einzelnen zur Verhinderung von Social Engineering muss kontinuierlich vermittelt und erprobt werden, um in der Praxis wirksam zu sein.

Social Engineering - Eine Erfolgsbranche

Social Engineering als Bestandteil umfassender Bedrohungsszenarien für die Cybersecurity von Unternehmen unterliegt den gleichen Mechanismen der digitalen Transformation wie legitime Geschäftsmodelle. Dies muss als Geschäftsmodell verstanden werden, denn es professionalisiert sich nachhaltig und skaliert kontinuierlich nach oben. Phishing ist nicht zuletzt deshalb so populär, weil dieser Angriffsvektor sich weitgehend automatisieren lässt. Damit bedroht eine Vielzahl von kriminellen Akteuren unterschiedlicher Herkunft und Motivationen die Mitarbeiter von Unternehmen und deren Verhalten. Social Engineering ist eine der schwersten und gängigsten Angriffsformen, gegen die sich Unternehmen und Privatpersonen schützen müssen. (fm)