Social Engineering

Bei einem Social Engineering Angriff macht sich der Täter die Schwachstelle Mensch durch virtuelle oder physische Manipulationstechniken zunutze. Mit unserem Social Engineering Assessment helfen wir Ihnen, Mitarbeiter zu sensibilisieren und Ihre IT-Sicherheit zu verbessern. Jeder von uns hatte schon einmal einen Anruf oder eine Mail, die einem seltsam vorkam. Dort wurden sensible Daten wie Kontoinformationen oder Passwörter verlangt. Genau darauf zielt das sogenannte Social Engineering ab.

Gezielte Manipulation von Menschen

Eine Social-Engineering-Attacke markiert oft den Beginn eines Hackerangriffs

Das macht Social Engineering gefährlich. Umgekehrt heißt das aber auch: Wenn es Ihnen gelingt, Social-Engineering-Attacken zu verhindern, sind viele Angriffe auf Ihr Unternehmen wirkungslos.

Physische Sicherheit

Der Angreifer verschafft sich zum Beispiel über Social Engineering Zutritt zu einem Gebäude, in dem er dann weitere Möglichkeiten hat, das System anzugreifen.

Angriffsvektoren

Er schreibt eine Phishingmail, um darüber an ein Passwort zu gelangen und sich so erste Zugriffsrechte zu sichern.

Phishingmail

Mehr als 75 % aller Social-Engineering-Attacken starten mit einer Phishingmail. Nur ein Bruchteil der existierenden Exploits nutzt eine rein technische Schwachstelle aus.

Malware

97 % der Malware greift dagegen den User mit Social-Engineering-Techniken an.

Branchen

Den Angreifer verstehen und abwehren

Social Engineering Methoden erkennen und abwehren

Mittlerweile gibt es eine ganze Reihe an Social Engineering Methoden. Für die meisten Mitarbeiter ist IT-Sicherheit allerdings nur ein abstraktes Konzept, das keinerlei Verbindung zu Ihrer Realität hat. In unserem Social Engineering Assessment schulen wir Sie und Ihr Personal ganz besonders auf die Herangehensweise der Angreifer, damit Sie diese im Ernstfall erkennen und abwehren können.

Methodik

Verschiedene Methoden der Angreifer

Jeder von uns hatte schon einmal einen Anruf oder eine Mail, die einem seltsam vorkam. Dort wurden sensible Daten wie Kontoinformationen oder Passwörter verlangt. Genau darauf zielt das sogenannte Social Engineering ab. Täter versuchen das menschliche Verhalten der Opfer durch Vertrauen und Autorität zu manipulieren, um an die gewünschten Informationen zu kommen, um ihre kriminellen Absichten umzusetzen. Häufig werden zusätzlich über Phishing-E-Mails auch Malware in die Systeme eingeschleust.

Pretexting
Beim Pretexting werden Geschichten erfunden, um das Vertrauen der Opfer zu erlangen. Dies könnten zum Beispiel Betreffzeilen sein, die um Hilfe bitten oder Überraschungen für die Belegschaft planen. Mitarbeiter werden auch angerufen und um Hilfe gebeten, zum Beispiel durch den vermeintlichen System-Administrator, der Zugänge braucht und fingierte Probleme zu lösen. Häufig wird ein großer Aufwand betrieben, eigene E-Mail-Adressen oder Websites für diesen Zweck angelegt, um die “Echtheit” zu verifizieren.
E-Mail Spear Phishing
Beim Spear Fishing wird ein gezielter Angriff auf Einzelpersonen oder Unternehmen vorgenommen. Die Mailadresse kann vertrauenswürdig aussehen und ist den Mitarbeiter häufig bekannt. Das kann ein anderes Unternehmen oder ein Bekannter sein. Bei genauerem Hinsehen unterscheiden sich die Mailadressen jedoch geringfügig.
CEO-Fraud
Diese Methode zielt darauf ab, dem Mitarbeiter vorzutäuschen, die Mail käme von einem Vorgesetzten mit der Bitte um sofortige Offenlegung von wichtigen Daten. Durch die vermeintliche Autorität des Absenders übergehen die Opfer häufig die Sicherheitsprotokolle.
social engineering

Gebäudesicherheit

Physische Methode

Der globalen Wirtschaft entstehen jedes Jahr Schäden in Milliardenhöhe durch Social-Engineering-Attacken. Trotzdem ist Social Engineering eine unterschätzte Gefahr. Im Gegensatz zu einer Lücke im Code ist sie schlecht greifbar und stellt zugleich die letzte Verteidigungslinie des Unternehmens dar. Die konkreten Folgen für Ihr Unternehmen können trotzdem gravierend sein, da Passwörter oder kritische Informationen in falsche Hände gelangen.

Tailgating
Einige Täter geben sich als Lieferant, Gebäudereiniger oder neuen Mitarbeiter aus, um in geschützte Bereiche des Unternehmens vorzudringen. Häufig wird im Vorfeld Pretexting oder eine Phishing E-Mail genutzt, um das Vertrauen zu erlangen.
Media Dropping
Dies ist eine Kombination aus virtueller und physischer Methode. Dabei wird über beispielsweise das Tailgating ein USB Stick, der mit Spyware oder Malware infiziert ist, auffällig platziert. Eine passende Beschriftung soll die Neugierde des Mitarbeiters wecken, den USB-Stick zu öffnen und so die Software ins System zu schleusen.
infrastruktur

Mehrwert

Vorteile des Social Engineering Assessments

Gegen Social Engineering gibt es keine Software, kein Update und kein Gerät. Wenn Sie Ihr Unternehmen effektiv vor Social-Engineering-Attacken schützen wollen, müssen Sie alle Mitarbeiter regelmäßig schulen. Das gilt für die gesamte Belegschaft: Auch wenn ein Mitarbeiter nur einfache Zugriffsrechte auf bestimmte Systeme hat - dieses Einfallstor könnte einem Angreifer genügen, um weitere tiefergehende Angriffe zu starten. Jeder Mitarbeiter ist eine potenzielle Schwachstelle, aber kaum ein Mitarbeiter verfügt über ein adäquates Sicherheitsbewusstsein. Für die meisten Mitarbeiter ist IT-Sicherheit nur ein abstraktes Konzept, das keinerlei Verbindung zu Ihrer Realität hat. Deshalb fällt es ihnen schwer, Social-Engineering-Angriffe im Ernstfall zu erkennen und abzuwehren.

cyber security

Aktuelle Informationen

Aktuelle Blog-Artikel

Unsere Mitarbeiter veröffentlichen regelmäßig Artikel zum Thema IT-Security

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: