Social Engineering – Menschliche Schwachstellen verstehen

Bei einem Social Engineering Angriff macht sich der Täter die Schwachstelle Mensch durch virtuelle oder physische Manipulationstechniken zunutze. Mit unserem Social Engineering Assessment helfen wir Ihnen, Mitarbeiter zu sensibilisieren und Ihre IT-Sicherheit zu verbessern. Jeder von uns hatte schon einmal einen Anruf oder eine Mail, die einem seltsam vorkam. Dort wurden sensible Daten wie Kontoinformationen oder Passwörter verlangt. Genau darauf zielt das sogenannte Social Engineering ab.

Gezielte Manipulation von Menschen

Eine Social-Engineering-Attacke markiert oft den Beginn eines Hackerangriffs

Das macht Social Engineering gefährlich. Umgekehrt heißt das aber auch: Wenn es Ihnen gelingt, Social-Engineering-Attacken zu verhindern, sind viele Angriffe auf Ihr Unternehmen wirkungslos.

Physische Sicherheit: Der Angreifer verschafft sich zum Beispiel über Social Engineering Zutritt zu einem Gebäude, in dem er dann weitere Möglichkeiten hat, das System anzugreifen.
Angriffsvektoren: Er schreibt eine Phishingmail, um darüber an ein Passwort zu gelangen und sich so erste Zugriffsrechte zu sichern.
Phishingmail: Mehr als 75 % aller Social-Engineering-Attacken starten mit einer Phishingmail. Nur ein Bruchteil der existierenden Exploits nutzt eine rein technische Schwachstelle aus.
Malware: 97 % der Malware greift dagegen den User mit Social-Engineering-Techniken an.

Referenzen

Zertifikate

Den Angreifer verstehen und abwehren

Social Engineering Methoden erkennen und abwehren

Mittlerweile gibt es eine ganze Reihe an Social Engineering Methoden. Für die meisten Mitarbeiter ist IT-Sicherheit allerdings nur ein abstraktes Konzept, das keinerlei Verbindung zu Ihrer Realität hat. In unserem Social Engineering Assessment schulen wir Sie und Ihr Personal ganz besonders auf die Herangehensweise der Angreifer, damit Sie diese im Ernstfall erkennen und abwehren können.

Unsere Tipps:

Sensibilisierung und Schulung: Nehmen Sie regelmäßig an Schulungen teil, um typische Social-Engineering-Methoden wie Phishing, Vishing oder gefälschte Anrufe zu erkennen. Simulationen und Rollenspiele helfen, verdächtige Situationen frühzeitig zu identifizieren und angemessen zu reagieren.
Skepsis bei E-Mails, Anrufen und Links: Öffnen Sie keine Anhänge und klicken Sie nicht auf Links von unbekannten Absendern. Überprüfen Sie die Absenderadresse und achten Sie auf Rechtschreibfehler oder ungewöhnliche Formulierungen. Hinterfragen Sie unerwartete Anfragen nach sensiblen Daten stets kritisch.
Keine vertraulichen Daten weitergeben: Teilen Sie Passwörter, Zugangsdaten oder Bankinformationen niemals per E-Mail, Telefon oder Messenger. Seriöse Unternehmen fordern solche Informationen nie auf diesen Wegen an.
Starke Passwörter und Zwei-Faktor-Authentifizierung: Verwenden Sie für jedes Konto ein einzigartiges, sicheres Passwort und aktivieren Sie, wo möglich, die Zwei-Faktor-Authentifizierung. So erschweren Sie Angreifern den Zugriff auf Ihre Konten, selbst wenn ein Passwort kompromittiert wurde.
Software aktuell halten: Installieren Sie regelmäßig Updates für Betriebssystem, Programme und Sicherheitssoftware. Aktuelle Antiviren- und Anti-Malware-Lösungen schützen vor Schadsoftware, die häufig über Social-Engineering-Angriffe verbreitet wird.
Reduzierung des digitalen Fußabdrucks: Geben Sie in sozialen Netzwerken nur so viele persönliche Informationen preis wie unbedingt nötig. Je weniger öffentlich bekannt ist, desto weniger Angriffsfläche bieten Sie für gezielte Täuschungsversuche.
Klare Sicherheitsrichtlinien und Meldewege: Unternehmen sollten klare Regeln für den Umgang mit sensiblen Daten und verdächtigen Anfragen aufstellen. Verdachtsfälle müssen unkompliziert gemeldet werden können, ohne negative Konsequenzen für die Mitarbeitenden.
Technische Schutzmaßnahmen: Nutzen Sie Firewalls, Spamfilter, Intrusion-Detection-Systeme und Endpoint-Security, um Angriffe frühzeitig zu erkennen und abzuwehren. Penetrationstests und Sicherheitsaudits helfen, Schwachstellen zu identifizieren und zu beheben.

Methodik

Verschiedene Methoden der Angreifer

Kriminelle recherchieren im Vorfeld, sammeln Informationen über das Opfer und bauen gezielt Vertrauen auf, um ihre Glaubwürdigkeit zu erhöhen. Sie schaffen künstliche Dringlichkeit oder nutzen soziale Beweise, um das Opfer unter Druck zu setzen und zu schnellen Handlungen zu verleiten.

Genau deshalb ist Social Engineering so effektiv, weil es emotionale Reaktionen wie Angst, Unsicherheit oder Neugier auslöst und so das rationale Urteilsvermögen umgeht. Besonders gefährdet sind neue Mitarbeitende, Administratoren und Personen mit weitreichenden Zugriffsrechten. Fast alle gezielten Cyberangriffe nutzen Social Engineering als Einstieg, da technische Schutzmaßnahmen allein nicht ausreichen.

Pretexting: Beim Pretexting werden Geschichten erfunden, um das Vertrauen der Opfer zu erlangen. Dies könnten zum Beispiel Betreffzeilen sein, die um Hilfe bitten oder Überraschungen für die Belegschaft planen. Mitarbeiter werden auch angerufen und um Hilfe gebeten, zum Beispiel durch den vermeintlichen System-Administrator, der Zugänge braucht und fingierte Probleme zu lösen. Häufig wird ein großer Aufwand betrieben, eigene E-Mail-Adressen oder Websites für diesen Zweck angelegt, um die “Echtheit” zu verifizieren.
E-Mail Spear Phishing: Beim Spear Fishing wird ein gezielter Angriff auf Einzelpersonen oder Unternehmen vorgenommen. Die Mailadresse kann vertrauenswürdig aussehen und ist den Mitarbeiter häufig bekannt. Das kann ein anderes Unternehmen oder ein Bekannter sein. Bei genauerem Hinsehen unterscheiden sich die Mailadressen jedoch geringfügig.
CEO-Fraud: Diese Methode zielt darauf ab, dem Mitarbeiter vorzutäuschen, die Mail käme von einem Vorgesetzten mit der Bitte um sofortige Offenlegung von wichtigen Daten. Durch die vermeintliche Autorität des Absenders übergehen die Opfer häufig die Sicherheitsprotokolle.

Vishing, Whaling und Scareware im Überblick

Moderne Social-Engineering-Bedrohungen:

Vishing: Dabei handelt es sich um betrügerische Telefonanrufe oder Sprachnachrichten, bei denen Angreifer versuchen, sensible Informationen wie Passwörter, Bankdaten oder Zugangsdaten zu erlangen. Die Täter geben sich häufig als Mitarbeiter von Banken, Behörden oder Unternehmen aus und nutzen dabei oft VoIP-Technologie und gefälschte Rufnummern, um seriös zu wirken. Vishing kann sowohl Privatpersonen als auch Unternehmen betreffen und ist besonders schwer zu erkennen, da die Angreifer gezielt auf menschliche Schwächen und Dringlichkeit setzen.
Whaling: Diese spezielle Form des Phishings richtet sich gezielt gegen Führungskräfte oder andere hochrangige Personen in Unternehmen richtet. Die Angreifer gestalten ihre E-Mails oder Nachrichten individuell und adressieren das Opfer persönlich, oft unter Verwendung von Informationen aus öffentlichen Quellen oder sozialen Netzwerken. Ziel ist es, die „großen Fische“ – beispielsweise CEOs oder Finanzleiter – dazu zu bringen, vertrauliche Daten preiszugeben, Überweisungen zu veranlassen oder schädliche Anhänge zu öffnen. Häufig kommen dabei gefälschte E-Mails zum Einsatz, die scheinbar von anderen Führungskräften stammen.
Scareware: Scareware ist eine Art von Schadsoftware, die Nutzer durch gefälschte Warnmeldungen oder Pop-ups in Angst versetzen soll. Die Opfer erhalten zum Beispiel die Nachricht, ihr Computer sei mit Viren infiziert, und werden aufgefordert, eine bestimmte Software herunterzuladen oder zu kaufen, um das angebliche Problem zu beheben. In Wirklichkeit handelt es sich bei der angebotenen Software um Malware, die persönliche Daten stiehlt oder das System weiter infiziert.

Gebäudesicherheit

Physische Methode

Der globalen Wirtschaft entstehen jedes Jahr Schäden in Milliardenhöhe durch Social-Engineering-Attacken. Trotzdem ist Social Engineering eine unterschätzte Gefahr. Im Gegensatz zu einer Lücke im Code ist sie schlecht greifbar und stellt zugleich die letzte Verteidigungslinie des Unternehmens dar. Die konkreten Folgen für Ihr Unternehmen können trotzdem gravierend sein, da Passwörter oder kritische Informationen in falsche Hände gelangen.

Tailgating: Einige Täter geben sich als Lieferant, Gebäudereiniger oder neuen Mitarbeiter aus, um in geschützte Bereiche des Unternehmens vorzudringen. Häufig wird im Vorfeld Pretexting oder eine Phishing E-Mail genutzt, um das Vertrauen zu erlangen.
Media Dropping: Dies ist eine Kombination aus virtueller und physischer Methode. Dabei wird über beispielsweise das Tailgating ein USB Stick, der mit Spyware oder Malware infiziert ist, auffällig platziert. Eine passende Beschriftung soll die Neugierde des Mitarbeiters wecken, den USB-Stick zu öffnen und so die Software ins System zu schleusen.

Mehrwert

Vorteile des Social Engineering Assessments

Gegen Social Engineering gibt es keine Software, kein Update und kein Gerät. Wenn Sie Ihr Unternehmen effektiv vor Social-Engineering-Attacken schützen wollen, müssen Sie alle Mitarbeiter regelmäßig schulen. Das gilt für die gesamte Belegschaft: Auch wenn ein Mitarbeiter nur einfache Zugriffsrechte auf bestimmte Systeme hat - dieses Einfallstor könnte einem Angreifer genügen, um weitere tiefergehende Angriffe zu starten. Jeder Mitarbeiter ist eine potenzielle Schwachstelle, aber kaum ein Mitarbeiter verfügt über ein adäquates Sicherheitsbewusstsein. Für die meisten Mitarbeiter ist IT-Sicherheit nur ein abstraktes Konzept, das keinerlei Verbindung zu Ihrer Realität hat. Deshalb fällt es ihnen schwer, Social-Engineering-Angriffe im Ernstfall zu erkennen und abzuwehren.