zur Startseite zur Hauptnavigation zum Hauptinhalt zum Kontaktformular zum Suchformular
web AdobeStock 219593236
Bedrohung, finanzielle Schäden, Prävention

Social Engineering – Gefahr für Unternehmen

15. März 2018 |  Allgeier CyRis

Social Engineering – Einführung

Definition

Der Begriff „Social Engineering“ bezeichnet eine Methode oder Vorgehensweise, um unberechtigten Zugang zu Informationen oder IT-Systeme zu erlangen. Ein Angreifer (Social Engineer) beeinflusst die Zielperson durch psychologische Tricks und nutzt zwischenmenschliche Beziehungen aus, um sensible Informationen zu erhalten oder eine Aktion auszuführen. Besonders Unternehmen sind aufgrund ihrer sensiblen Daten und Informationen ein beliebtes Ziel für Angreifer.

Bedrohung für Unternehmen

Auf den Schutz durch klassische Antiviren-Lösungen und Firewalls sollten sich Administratoren nicht verlassen, sondern IT-Sicherheit als Gesamtkonzept unter Einbeziehung der Nutzer umsetzen. Dieses geht aus dem BSI Lagebericht IT-Sicherheit 2017 hervor.

Unternehmen setzen zunehmend auf Sensibilisierungsmaßnahmen zur Schulung der Mitarbeiter. Diese Schulungen werden nur sporadisch angeboten, es mangelt an Regelmäßigkeit und dem zeitnahen Hinweis auf aktuelle Methoden und Varianten der Angreifer. Ein umfassender Schutz gegen Social Engineering kann nur durch kontinuierliche und in ein Gesamtkonzept eingebundene Sensibilisierungsmaßnahmen erzielt werden. Phishing, Baiting und CEO-Fraud sind nur einige Social Engineering Beispiele, mit denen Angreifer versuchen, sich Zugang zu verschaffen.

Social Engineering – Vorgehensweise in Unternehmen

Strategische Vorgehensweise

Social Engineering ist als soziale Manipulationstechnik zu verstehen. Die Angriffe finden sowohl offline als auch online statt. Während Phishing eine bekannte Methode ist, die auch im Privaten Anwendung findet, sehen sich Unternehmen einer Reihe ausgefeilterer Betrugstechniken ausgesetzt. Ihnen ist gemeinsam, dass die Social Engineers auf menschliche Schwäche beziehungsweise Gutgläubigkeit setzen. Es wird Vertrauen aufgebaut, um anschließend die zwischenmenschliche Beziehung auszunutzen. Auf diese Weise gelangen Kriminelle an wertvolle Daten und Informationen. Da der Faktor Mensch angreifbar ist, gibt es gegen Social Engineering Techniken keine wirksame Softwarelösung.

Die im Jahr 2014 veröffentlichte Studie “Social Engineering Attack Framework” beschreibt sechs Schritte, die ein Social Engineering Angriff durchläuft.

  1. Angriffsformulierung
  2. Sammeln von Informationen
  3. Vorbereitung
  4. Beziehung herstellen
  5. Beziehung manipulieren
  6. Debriefing

OSINT bietet viele Möglichkeiten

Mit Hilfe von OSINT (Open Source Intelligence) erstellen die Angreifer detaillierte Benutzerprofile. Dazu nutzen die Angreifer Suchmaschinen um nach Personen und E-Mail Adressen zu suchen. Auf XING und Facebook analysieren die Angreifer die Beziehungen der Zielperson, die Interessen, das Familienumfeld und Aktivitäten. Diese Informationen helfen den Angreifern eine Vertrauensbeziehung aufzubauen.

Eine ausgeschriebene Stellenbeschreibung eines Unternehmens für eine IT-Stelle, liefert dem Angreifer Informationen über die verwendete IT-Infrastruktur im Unternehmen. Ein ausgeschriebenes Event auf der Unternehmenshomepage liefert den richtigen Aufhänger, um einen effektiven Angriff zu starten. Die Angreifer fälschen durch Spoofing den Absender einer E-Mail.

Diese Möglichkeiten erlauben effektive Angriffe auf das Unternehmen. Die Zielperson erhält beispielsweise eine E-Mail von einem Kollegen, der den mitgesendeten Anhang angeblich nicht öffnen kann und deshalb die Zielperson bittet, dies zu erledigen.

 

Social Engineering – finanzielle Schäden

Die Bedrohung durch Social Engineering steigt seit Jahren stark an. Angriffe zielen vermehrt auf Menschen und nicht auf Schwachstellen in Software ab. Im April 2016 hat die US-Polizeibehörde FBI eine Warnung über die zunehmende Anzahl von E-Mail Betrug veröffentlicht. Demnach ist den Unternehmen in den vergangenen drei Jahren ein Schaden von 2,3 Milliarden US-Dollar entstanden. Laut FBI ist die Zahl der Betroffenen und der ergaunerten Gelder seit Anfang 2015 um rund 270 Prozent gestiegen.

Das Ergebnis einer Umfrage im Auftrag der Bitkom e.V. verdeutlicht nochmal die Bedrohung durch Social Engineering in Unternehmen. Demnach sind 73% der befragten Unternehmen bereits von Social Engineering (Analog + Digital) in den letzten zwei Jahren betroffen gewesen oder vermuten, betroffen zu sein.

Prävention von Social Engineering

Die größte Schwäche bei Social-Engineering-Angriffen ist der gutgläubige Mensch. Daher können keine Sicherheitsprogramme allein die Lösung des Problems sein. Auch die besten Softwarelösungen sind nicht imstande, Angreifer abzuwehren, die sich korrekt und über die regulären Wege mit einem gültigen Log-in und Passwort anmelden. Der Bedrohungslage können Sie daher nur entgegenwirken, indem Sie ein Bewusstsein für die Gefahren entwickeln und im Unternehmen etablieren.

Alle Mitarbeiter müssen für das Thema Social Engineering sensibilisiert werden. Beispielsweise helfen Schulungen und Seminare dabei, Mitarbeiter über die wichtigsten Social Engineering Beispiele und Szenarien aufzuklären. Auf diese Weise wird das Bewusstsein für die Methoden und die entstehenden Gefahren geschärft.

Layer8 bietet Sensibilisierungsmaßnahmen für Ihr Unternehmen. Durch Schulungsvideos und Phishing-Kampagnen können Sie die IT-Sicherheit und die Achtsamkeit Ihrer Mitarbeiter kontinuierlich steigern. Durch unseren Alarmticker werden Sie über neue Bedrohungen und aktuelle Methoden der Angreifer informiert und können Ihre Mitarbeiter durch passende Schulungs- und Phishingkampagnen für diese Gefahren sensibilisieren.

Artikel teilen:

AdobeStock 256822296
CYBERSECURITY-WISSEN DIREKT IN IHR POSTFACH!
WERDEN SIE ZUM CYBERSECURITY INSIDER
CYBERSECURITY INSIGHTS HIER ABONNIEREN ✔
AdobeStock 392993132 Beschnitten