Social Engineering: Mitarbeiter als Angriffsziel von Cyberkriminellen
29. April 2021 | Allgeier CyRis
Die Mail, die dem Mitarbeiter eine Software günstig zum Download zur Verfügung stellt, oder die persönliche Social Media Nachricht, die einen neuen Online-Shop vorstellen möchte: Cyberkriminelle setzen immer stärker darauf, gezielt Menschen ins Visier zu nehmen und sich so zum Beispiel Anmeldedaten oder sensible Finanzinformationen zu beschaffen. Diese Betrugsform ist als Social Engineering bekannt. Social Engineering stellt eine immer größere Bedrohung für Unternehmen dar. Einer Erhebung des Digitalverbands Bitkom zufolge waren in den vergangenen zwei Jahren ca. 40 Prozent der deutschen Unternehmen von Social Engineering betroffen oder vermutlich betroffen. In diesem Beitrag erfahren Sie, welchen Social Engineering-Methoden sich Hacker bedienen und welche Möglichkeiten Betriebe haben, Ihre Mitarbeiter und Ihr Unternehmen davor zu schützen.
Erläuterung: Social Engineering ist ein Verfahren, um sicherheitstechnisch relevante Daten in Erfahrung zu bringen. Kriminelle nutzen dabei menschliche Verhaltensweisen wie Vertrauen, Neugier, Hilfsbereitschaft oder Pflichtbewusstsein aus, um gezielt Handlungen bei ihren Opfern hervorzurufen. Abhängig vom Autoritätslevel der betrogenen Person können durch Social Engineering beträchtliche Schäden entstehen.
Social Engineering Vorfälle gibt es schon seit einigen Jahren. Allerdings hat die Corona-Krise dazu geführt, dass sich die Zahl der Attacken multipliziert hat, findet doch der Berufsalltag seit Monaten nahezu ausschließlich im Digitalen statt. Die Methoden der Angreifer sind dabei heute sehr unterschiedlich:
- Phishing/Spear Phishing: Um authentische E-Mail-Inhalte zu verfassen, greifen Hacker auf öffentlich zugängliche Unternehmens- und Mitarbeiterinformationen zurück. Oft bedienen sie sich dabei der Angaben, die in Sozialen Medien zu finden sind. Ziel ist es, Empfänger dazu zu bewegen, Anhänge zu öffnen oder Links zu folgen, die auf gefälschte Internetseiten, Online-Shops oder andere Online-Dienste verweisen. Dort wird meist die Bestätigung eines Zugangs angefordert, mit denen sensible persönliche Daten abgegriffen werden. Spear Phishing stellt eine gezieltere Art des Phishings dar. Klar definierte Nutzergruppen werden mithilfe hoch-personalisierter Inhalte attackiert. Demnach richten sich Spear Phishing-Attacken häufig an bestimmte Abteilungen eines Unternehmens und nicht an die gesamte Belegschaft.
- Scareware: “Ihr Rechner ist infiziert”, heißt es in einem plötzlich erscheinenden Popup-Fenster. Eine Liste mit bösartigen Programmen, die sich auf dem Rechner befinden sollen, wird gleich mitgeliefert. So verläuft die klassische Scareware-Attacke. Ziel ist es, Nutzer in Schrecken zu versetzen und eine Ad-hoc-Handlung anzustoßen – nämlich die, eine als Antiviren-Programm getarnte Malware herunterzuladen, mit der Cyberkriminelle zum Beispiel Zugriff auf sensible Unternehmens- oder Kundendaten erhalten.
- Media-Dropping: Diese Methode spricht die Neugier potenzieller Opfer an und setzt sich aus einer analogen und einer digitalen Komponente zusammen. Hierbei werden USB-Sticks, CDs oder andere Speichermedien mit Malware infiziert und so platziert, dass sie für Mitarbeiter gut sichtbar sind. Das geschieht in der Regel im Zuge von sogenannten Tailgating-Aktionen, bei denen sich Externe mithilfe von Vorwänden Zugang zu Unternehmensräumen verschaffen. Wird ein Mitarbeiter hierauf aufmerksam, weckt das oft das Verlangen, die Inhalte zu prüfen. Mit dem Öffnen gelangt die Schadsoftware auf den Firmenrechner.
- Quid-pro-Quo-Angriffe: „Eine Hand wäscht die andere“ – so lautet die vermeintliche Devise bei dieser Form des Social Engineerings. Cyberkriminelle bauen im ersten Schritt Vertrauen zu ihren Opfern auf, indem sie sich beispielsweise als Service-Personal ausgeben und Hilfestellungen bei bestimmten Aufgaben anbieten. Dafür benötigen sie im Gegenzug allerdings persönliche oder geschäftliche Informationen, mit denen sie sich Zutritt zu Unternehmensrechnern verschaffen.
- CEO-Fraud: Beim CEO-Fraud, auch bekannt als Chefbetrug, nutzen Betrüger vor allem das Pflichtbewusstsein bzw. den Respekt vor Autoritäten seitens der Angestellten aus. Mitarbeiter werden dabei durch Vorspiegelung einer falschen Vorgesetzten-Identität getäuscht, zum Beispiel per E-Mail oder Telefon. Bei Letzterem greifen die Betrüger auf Künstliche Intelligenz (KI) zurück, um Stimmen relevanter Führungskräfte aus dem eigenen Unternehmen zu imitieren. Inhaltlich geht es bei dieser Form häufig um eine schnell zu tätigende Überweisung (i.d.R. Auslandsüberweisung) – besonders betroffen sind daher Finanz- und Buchhaltungsabteilungen von Unternehmen.
Die größten Sicherheitsrisiken bei der Arbeit auf Distanz
Home-Office und das Arbeiten per Remote vereinfachen es Cyberkriminellen, sich mithilfe von Mitarbeitern Zugang zu Unternehmensnetzwerken zu verschaffen. Die Gründe hierfür sind vielfältig:
- Der direkte Kontakt zur IT-Abteilung fehlt: Mitarbeiter im Home-Office neigen dazu, sich bei IT-Problemen online zu informieren, da ihnen der direkte Kontakt zur den IT-Administratoren fehlt. Dabei laufen sie Gefahr, auf nicht vertrauenswürdige Quellen im Internet zu stoßen.
- Schatten-IT: Schatten-IT bezieht sich auf alle Geräte und Anwendungen, die sich außerhalb der Sichtbarkeit und Kontrolle der unternehmenseigenen IT-Verantwortlichen befinden. Beispiele sind mit dem privaten Netzwerk verbundene Smart-Home-Geräte sowie Tools und Anwendungen, die von Mitarbeitern eigenständig aus dem Internet heruntergeladen werden. Das hiermit verbundene Risiko können Mitarbeiter oftmals nicht bewerten. So kann es geschehen, dass neben den eigentlichen Anwendungen auch versteckte Schadprogramme heruntergeladen und installiert
werden.
- Private Nutzung der Firmen-IT: Im Home-Office werden Firmengeräte oft auch von mehreren Familienmitgliedern für private Zwecke genutzt. Ob für Social-Media-Aktivitäten, Online-Shopping oder zur Informationsgewinnung – die Gefahr, Social Engineering zum Opfer zu fallen, vervielfacht sich hiermit.
- Zusätzliche Schulungsangebote fehlen: Viele Unternehmen haben bei den Forderungen nach vermehrter Arbeit aus dem Home-Office ad hoc reagiert und entsprechend kurzfristig IT-Infrastrukturen geschaffen. Mitarbeiter-Schulungen, in denen die Belegschaft auf die Umstellung vorbereitet wurden, gab es indes nicht. Dabei überfordert viele Mitarbeiter die neue, ungewohnte Situation aufgrund fehlenden Know-hows – vor allem mit Blick auf die IT-Sicherheit. Sie sind sich den Gefahren schlichtweg nicht bewusst. Das hat zur Folge, dass Risiken von Mitarbeitern unterschätzt werden und sie Cyberkriminellen zum Opfer fallen.
Gut geschulte Mitarbeiter sind die beste Versicherung
Jeder einzelne Mitarbeiter kann in einem Unternehmen Opfer von Social Engineering werden. Betriebe sollten daher Wert darauflegen, das Bewusstsein für diese wachsende Bedrohungsform zu stärken. Das Wissen der Belegschaft hierzu sollte regelmäßig überprüft und laufend aktualisiert werden, denn Cyberkriminelle entwickeln kontinuierlich neue Formen, die „Schwachstelle Mensch“ auszunutzen. Mit Mitarbeitern, die für das Thema Security Awareness sensibilisiert worden sind, kann das Risiko, Opfer einer Social Engineering Attacke zu werden, erheblich gesenkt werden.
Seminare und Workshops stellen adäquate Formate hierfür dar. Grundlegende Themen sollten dabei die Erkennung gefakter E-Mails sowie Anforderungen an Passwörter und sichere Kommunikation sein. Mithilfe von Phishing-Simulationen durch IT-Experten sollten Bedrohungen verdeutlicht und das Bewusstsein geschärft werden. Durch regelmäßige Simulationen lassen sich zudem Fortschritte beim Thema IT-Sicherheit messen.
Risikofaktor Social Engineering
Laden Sie jetzt unsere IT-Security Insights kostenfrei herunter.
Stärken Sie Ihr „Schutzschild Mitarbeiter“
Als Spezialist auf dem Gebiet der IT-Sicherheit bietet die Allgeier CyRis umfangreiche Awareness-Trainings und Sensibilisierungsmaßnahmen für Führungskräfte und Mitarbeiter an: von interaktiven Online-Schulungen über Live-Workshops bis hin zu standort-übergreifenden Sicherheitskampagnen.
Fazit
Social Engineering hat sich zu einem der größten Cyberrisiken für Unternehmen entwickelt. Cyberkriminelle attackieren vermehrt die „Schwachstelle Mensch“ via E-Mail, Social Media oder per Telefon, um sich Informationen zu Unternehmensnetzwerken oder Online-Diensten zu verschaffen. Remote-Work als „Neue Normalität“ führt dazu, dass sich Hackern immer neue Angriffspunkte bieten. Umso wichtiger ist es für Betriebe, auf das Bedrohungspotential hinzuweisen und ihre Mitarbeiter für die Gefahren zu sensibilisieren.