Die meisten Menschen haben den Begriff “Social Engineering” schon einmal gehört. Doch die wenigsten können sich konkret etwas darunter vorstellen. Wir geben Einblicke!
Vereinfacht gesagt, bedeutet Social Engineering die Beeinflussung oder die Täuschung eines Menschen. Auch in der IT-Sicherheit spielt Social Engineering eine große Rolle.
Doch warum?
Hackern geht es wie vielen Menschen. Sie möchten das maximale Ergebnis mit möglichst geringem Aufwand erzielen. Angriffe auf Computer, Betriebssysteme oder -netzwerke sind oftmals aufwendig und sehr umfangreich. Können Cyberkriminelle nicht ohnehin bestehende Sicherheitslücken in Soft- und Hardware ausnutzen, müssen sie viel Aufwand betreiben, um einen Angriff auf ein Unternehmen erfolgreich durchzuführen. Zuerst muss ein lukratives Ziel ausgespäht werden. Anschließend müssen Firewall, VPN und andere Schutzmechanismen überwunden werden. Es müssen Lücken und Exploits gefunden werden und letztlich müssen diese auch noch funktionieren.
Der technische Schutz, den Unternehmen heutzutage aufbringen, um Cyberangriffe abzuwehren ist verhältnismäßig hoch. In dieser Hinsicht wird es Cyberkriminellen durchaus schwer gemacht, Systeme zu überwinden und in das Innere der Unternehmens-IT einzudringen. Um dennoch an ihr Ziel zu kommen, müssen Hacker alternative Angriffsflächen nutzen. Der Mensch rückt dabei ins Visier und dient als ideales Einstiegstor. Im Vergleich zu der technischen Abwehr, wird in den Faktor Mensch nämlich kaum investiert.
Der Faktor Mensch als Sicherheitsrisiko
Cyberkriminellen ist dieses Sicherheitsrisiko bekannt. Sie nutzen dieses aus und greifen Mitarbeiterinnen und Mitarbeiter eines Unternehmens gezielt an. Das kann sowohl direkt durch einen persönlichen Anruf oder auch indirekt durch eine E-Mail geschehen.
Auch interessant: In seiner jüngst veröffentlichten Studie bestätigt der Bitkom, dass eine Vielzahl an Angriffen mit Social Engineering beginnen. 41 Prozent der befragten Unternehmen gaben an, dass es solche Versuche gab: Bei 27 Prozent der Befragten wurden sie per Telefon und bei 24 Prozent per E-Mail kontaktiert.
Das Ziel ist aber immer das gleiche. Der Hacker möchte Zugang zu sensiblen Daten, Dokumenten und Informationen bekommen (z.B. Login-Informationen oder Bankdaten) oder er möchte eine bestimmte Handlung erwirken (z.B. Überweisung einer Geldsumme)*
Warum funktioniert Social Engineering?
Das lässt sich leicht erklären. Cyberkriminelle nutzen, Methoden, die vertraut sind, um Menschen zu manipulieren. Social Engineering begegnet einem fast tagtäglich. Sei es im Umgang mit Freunden, Familienmitgliedern oder auch fremden Menschen. Mit rhetorischen Mitteln oder verschiedenen psychologischen Vorgehensweisen, können Menschen gezielt geleitet und motiviert werden, eine bestimmte Verhaltensweise an den Tag zu legen. Man kann das Social Engineering als psychologische Waffe beschreiben.
Weitere Informationen über die Beeinflussung des menschlichen Verhaltens im Zuge des Social Engineerings, können Sie hier nachlesen.
Dabei muss auf das Gegenüber spezifisch eingegangen werden. Je nach Charakter funktionieren andere Anreize, die Hacker ansprechen können. Ein Mitarbeitender reagiert beispielsweise besonders auf Schmeicheleien, ein anderer auf besondere Wertschätzung und wieder ein anderer reagiert besonders auf Druck. Mit den richtigen Stimuli ist es Cyberkriminellen möglich, Menschen zu beeinflussen, dass sie das gewünschte Ergebnis liefern.
Phishing, die weitverbreitetste Form von Social Engineering
In der IT-Sicherheit kann Social Engineering in ganz verschiedenen Formen auftreten, die unterschiedlicher nicht sein könnten. Neben dem Pretexting, Tailgating oder dem CEO-Fraud, zählt vor allem das Phishing** zu den weitverbreitetsten Arten.
Beim Phishing versuchen Cyberkriminelle mithilfe von E-Mails, gefälschten Internetseiten oder anderen Methoden an sensible und vertrauliche Informationen zu gelangen. Auch beim Phishing werden Mitarbeiterinnen und Mitarbeiter mehr oder weniger persönlich angesprochen. Phishing-Kampagnen sind besonders erfolgreich, wenn der Inhalt der Phishing-E-Mail auf den Adressaten zugeschneidert ist bzw. wenn sich der Empfänger angesprochen fühlt. Laut einer Studie des US-Unternehmens Proof Points, funktionierten folgende Aufhänger 2020/2021 besonders gut:
- Phishing-Kampagnen, die sich mit Corona, COVID-19 und damit verbundenen Gesundheitswarnungen befassen
- Phishing-Kampagnen, die über eine im Unternehmen genutzten Software informieren, z.B. Microsoft Exchange oder Outlook
- Phishing-Kampagnen, die Mitarbeitervorteile anbieten, z.B. kostenloser Monat bei Netflix, oder Gutscheine bei Amazon und Starbucks
Die letzten Monate zeigen es deutlich. Die Bedrohung durch Phishing-Attacken steigt stetig. Laut ENISA-Report ist die Zahl der Phishing-Angriffe via E-Mail Anfang 2020 in einem Monat um mehr als 600 Prozent gestiegen. Auch Perseus kann bestätigen, dass Phishing-Attacken zunehmen. Eine Studie, die Perseus Spätsommer 2020 veröffentlichte, zeigt, dass mehr als die Hälfte der Cyberangriffe im Jahr 2020 auf Phishing zurückgingen.
Die komplette Studie zum Thema Cybersicherheit im Homeoffice können Sie hier kostenlos downloaded.
Wie schützen Unternehmen ihre Mitarbeiterinnen und Mitarbeiter?
Ein nachhaltiger Schutz gegen Social Engineering und u.a. Phishing-Attacken erfordert ein nachhaltiges Cybersicherheits-Konzept. Mit den gleichen Ressourcen, die ein Unternehmen für die technische Abwehr aufbringt, sollte auch in die “menschliche Firewall” investiert werden. Perseus bietet solch ein Awareness Paket an. Mit umfangreichen Online-Trainings, nützlichen Hinweisen und Tipps und vor allem mit automatisierten Phishing-E-Mail-Simulationen werden Mitarbeiterinnen und Mitarbeiter gezielt für Angriffsmuster sensibilisiert, im Umgang mit Phishing-E-Mails geschult und somit das Cybersicherheits-Niveau im Unternehmen spürbar gehoben.
* Quelle: Aktuelle Umfrage des Bitkom | August 2021. Weitere Inhalte erhalten Sie hier.
** Der Begriff Phishing umfasst hier auch Unterarten wir Spear Phishing, Voice Phishing / Vishing, Smishing, Social Media Attacks, Business E-Mail Compromise, etc.