Kategorien
Risiko

Risiken des Social Engineering – und wie man sie verhindert

Social Engineering macht sich starke Emotionen zunutze, insbesondere Angst, und nutzt sie, um ein Gefühl der Dringlichkeit zu erzeugen und Menschen zu täuschen. In diesem Artikel erfahren Sie mehr über die Risiken und Möglichkeiten, sich davor zu schützen.

Wie funktioniert Social Engineering?

Social-Engineering-Angriffe konzentrieren sich hauptsächlich auf die Manipulation menschlicher Interaktionen und Emotionen, um Benutzer zu unerwünschten Handlungen wie der Weitergabe sensibler Informationen (Passwörter usw.) zu bewegen. Im Allgemeinen machen sich diese Angriffe starke Emotionen zunutze, insbesondere Angst, und nutzen sie, um ein Gefühl der Dringlichkeit zu erzeugen und Menschen zu täuschen.

Ein typischer „Social-Engineering-Angriffszyklus“ sieht folgendermaßen aus:

Social-Engineering-Zyklus

Die Cyber-Kriminellen verwenden oft Strategien wie:

  • Sympathie: Sie erscheinen glaubwürdig oder sympathisch, um Vertrauen aufzubauen
  • Gegenseitigkeit: Sie bieten Werte wie Schnäppchen oder Ratschläge an, die ein Gefühl der Verpflichtung erzeugen
  • Engagement/Dringlichkeit: Sie bringen Leute dazu, zuzustimmen, bevor die Risiken offensichtlich sind
  • Sozialer Vertrauensbeweis: Sie geben vor, dass die Freunde des Opfers die Aktivität gutheißen, um Vertrauen aufzubauen
  • Autorität: Sie geben vor, jemand mit Macht zu sein, um eine Person zum Handeln zu zwingen.
Ablauf eines Angriffs

Warum ist Social Enigneering so gefährlich?

Denn Emotionen und Menschen sind unberechenbar. Social Engineering ist gefährlich, weil bei dieser Art von Angriffen oder Hacks Psychologie als Trick eingesetzt wird und die Betroffenen sich manchmal nicht bewusst sind, dass sie manipuliert worden sind. Wenn Cyberkriminelle während eines Angriffs die Voreingenommenheit vor Autoritäten ausnutzen, manipulieren sie oft eine Voreingenommenheit, von der die Betroffenen nicht wissen, dass sie sie haben. Für Fachleute stellt dies ein schwer zu quantifizierendes Risiko dar.

Formen von Social Engineering-Angriffen

Angriff/HackBeschreibung
KödernBeim Ködern verwenden Cyber-Angreifer einen physischen Gegenstand, z. B. ein USB-Laufwerk, um Menschen anzulocken und ihre Neugier zu wecken. Wenn sie es in das Gerät einstecken, installiert sich die Malware und wird ausgeführt, um sensible Informationen zu sammeln.
PhishingCyberkriminelle senden gefälschte E-Mails an Benutzer, die seriös aussehen und dem E-Mail-Empfänger vorschlagen, so schnell wie möglich zu handeln. Wenn der Link in der E-Mail angeklickt oder der Anhang heruntergeladen wird, installiert sich die Malware auf den Geräten und wird ausgeführt.  
Verschiedene Formen von PhishingPhishing: mittels Telefonanrufen Smishing: mittels Textnachrichten Whaling: mittels Versenden von gefälschten E-Mails, die auf eine bestimmte Person abzielen, oft ein Mitglied des Führungsteams, und die den Anschein erwecken, von jemandem innerhalb des Unternehmens zu stammen. Spear phishing: Speziell angefertigte gefälschte Mails.
ScarewareDiese Art von Angriff verleitet Menschen zum Handeln, indem sie ihnen suggeriert, dass sie Schaden vermeiden, wenn sie die geforderte Handlung ausführen. 
PretextingDabei recherchiert ein Angreifer, erfindet eine Geschichte und gibt sich dann als jemand aus, der sonst als legitim angesehen wird (z. B. IT-Mitarbeiter).
Farming/HuntingDer Hacker baut eine Bindung zu seinem Opfer auf und entwickelt mit der Zeit eine Beziehung. 

Was können Sie tun, um diese zu verhindern?

Als Unternehmen können Sie die folgenden Dinge tun:

  • Multi-Faktor-Authentifizierung,
  • Updates von Hardware und Software,
  • Das Verbot der gemeinsamen Nutzung von Geräten muss durchgesetzt und umgesetzt werden,
  • Mit intelligenten Web-Schwachstellen-Scannern sollten alle Systeme, Netzwerke, Geräte und Server regelmäßig gescannt werden, um Schwachstellen und Sicherheitsfehlkonfigurationen zu erkennen,
  • Außerdem können Sie die Hilfe von Fachleuten in Anspruch nehmen, um Sicherheitsrisiken und Schwachstellen zu identifizieren,
  • Die allgemeine Sicherheitslage muss gestärkt werden.

Für die Mitarbeiter und für die Kunden:

  • Mitarbeiter, unabhängig von ihrer Position und Rolle, und Kunden müssen regelmäßig und konsequent über Social Engineering und seine Gefahren aufgeklärt werden. Dies kann auch mit Hilfe von Experten wie ifb geschehen;
  • die Menschen müssen auf die Warnzeichen aufmerksam gemacht werden, auf die sie achten müssen.
  • Sie müssen gelehrt/angeleitet werden, zu überlegen, bevor sie E-Mails und Links anklicken und öffnen und bei der Annahme von Angeboten äußerste Vorsicht walten lassen.

Und schließlich ist es wichtig zu verstehen, dass der Schutz vor Social Engineering-Angriffen nicht isoliert betrachtet werden kann. Der beste Weg, das Unternehmen zu schützen, besteht darin, ihn mit anderen Maßnahmen aus der Informationssicherheit und dem Risikomanagement zu kombinieren. So können beispielsweise Mitarbeiter je nach Schutzbedarf für die Informationen, mit denen sie arbeiten, unterschiedlich intensiv geschult werden. Aus diesem Grund ist ein allgemeines Informationssicherheits- und Risikomanagement von großem Vorteil und für beaufsichtigte Einrichtungen sogar obligatorisch (BAIT/VAIT/KAIT usw.). Um herauszufinden, ob das Unternehmen Lücken hat (egal ob zur Optimierung der eigenen Informationssicherheitsstrategie oder weil man von der BaFin beaufsichtigt wird), ist es oft hilfreich, Experten zu Rate zu ziehen. ifb bietet hier eine breite Palette von Dienstleistungen an, wie zum Beispiel den „VAIT Quick Check“. Mit dem Quick Check bewerten wir schnell Ihren individuellen Grad der VAIT-Konformität, einschließlich Informationsrisikomanagement und Informationssicherheitsmanagement, um mit Ihnen einen adäquaten Maßnahmenkatalog zur Beseitigung der Lücken zu erarbeiten.

Anforderungsbasiertes Informationsrisikomanagement-System

Ziel der Ermittlung des Schutzbedarfs ist es, zu analysieren, welche Bedrohungen oder Risiken für das Unternehmen durch eine unzureichende Informationssicherheit entstehen können. Daraus ergibt sich ein sogenannter Soll- oder Maßnahmenkatalog. Dieser hat zum Ziel, die Maßnahmen zu beschreiben, die notwendig sind, um die Informationssicherheit im erforderlichen und gewünschten Umfang (unter Kosten-Nutzen-Aspekten) zu gewährleisten. Dazu gehören auch Maßnahmen gegen Social Engineering.

Consultant

Bernhard arbeitet bei ifb Österreich. Er arbeitet seit 2021 bei ifb und beschäftigt sich in der Firma momentan mit den Bereichen Blockchain, KI und IT-Sicherheit.