Social Engineering

Der Begriff stammt ursprünglich aus den Sozialwissenschaften und meint die Beeinflussung von Einstellungen und Verhalten mit sozialen Mitteln für soziale Zwecke. Dahinter steht die Annahme, Mensch und die sozialen Strukturen, in denen sie sich bewegen funktionieren ähnlich wie Maschinen nach vorhersehbaren Regeln.

Beim Social Engineering – auch Soziale Manipulation – genannt, richten sich Angriffe nicht auf technische Systeme, sondern auf ihre Benutzer.

Also richtet sich der Angriff im Gegensatz zum normalen (technischen) Hacking nicht auf die Schwachstelle eines Computersystems, um an geheime Informationen zu gelangen, sondern auf die Schwachstelle des Menschen.

Hier wird auch sehr häufig von „Social Hacking“ gesprochen. Das Ziel ist Informationsgewinnung. Dabei führt ein Benutzer (aus dem System) die vom Angreifer gewünschten Aktionen aus. Die Wahl der Person, die ausspioniert werden soll, kann zufällig (z.B. im Bus oder Bahn) oder durch eine gezielte Suche über die Sozialen Netzwerke erfolgen. Diese bieten eine gute Basis für das Social Engineering. Über die jeweiligen Plattformen können viele Informationen über Personen gefunden werden. Diese unerschöpfliche Informationsquelle dient als Grundlage für die weitere Informationsbeschaffung. Zudem ist es unter den Nutzern Sozialer Netzwerke weitverbreitet, dass der Nutzer viele seiner „Freunde“ nicht kennt. Auch dadurch können Social Engineers direkt mit ihren Opfern in Kontakt treten. Wichtig ist die Konfiguration sicherer Datenschutzeinstellungen in sozialen Netzwerken, auch wenn diese vornehmlich oder in vollem Umfang privat genutzt werden. Letztlich führt dies auch im betrieblichen Umfeld zu einer Risikoreduzierung bezogen auf „Social Engineering“.

Dringt ein Angreifer durch, können dem Unternehmen große Schäden entstehen, sei es durch Industriespionage, Identitätsdiebstahl, Image- oder Rufschädigung, Erpressung oder der einfache Zugriff auf firmeninterne Datensysteme.

Bei IT-Sicherheit wird oft zuerst oder ausschließlich an die Technik gedacht und zu wenig an den Faktor Mensch. Dieser sollte mehr beachtet werden, denn diese Gefahr gibt es immer, sei es bei Freunden, Verwandten, dem Partner oder dem Sitznachbarn im Bus oder Bahn. Dabei kann jede menschliche Schwäche ausgenutzt werden.

Hilfsbereitschaft, Vertrauen, Angst, Stolz, Neid oder Schuldgefühle können ausgenutzt werden, um an Information zu kommen. Die Angreifer bleiben meist im Hintergrund und werden nicht wahrgenommen. Das Opfer erfährt meist nicht, dass er ausspioniert worden ist.

Das Telefon spielt beim Social Engineering eine wichtige Rolle. Angreifer greifen für die erste persönliche Kontaktaufnahme gerne zum Telefon. Dieses Medium ermöglicht es ihnen Distanz zu wahren und ihre wahre Identität zu verschleiern, aber dennoch flexibel auf die Reaktion des Opfers einzugehen. Sie bauen eine persönliche Beziehung zum Opfer auf und wollen so das Vertrauen gewinnen, um an vertrauliche Informationen zu kommen.

Wie kann es verhindert werden?

Eine Verhinderung des Social Engineering gibt es nicht, jedoch können die Unternehmen Ihre Mitarbeiter sensibilisieren. Die Sensibilisierung lässt sich mit Schulungen und anderen Maßnahmen realisieren. Neben Schulungen spielen auch die Geschäftsführung und die Arbeitskollegen eine wichtige Rolle. Fühlt sich ein Mitarbeiter im Unternehmen nicht wohl und vermisst er die Anerkennung durch die Geschäftsführung oder den Kollegen, dann ist er wesentlich empfänglicher für Lob und Schmeicheleien von außen. Eine weitere Herausforderung für Unternehmen ist es die Loyalität der Mitarbeiter zu stärken und zu fördern. Täter können auch aus der eigenen Firma kommen. Der Verkauf von Daten kann teilweise sehr lukrativ für Innentäter sein.

Besprechung von firmeninternen Angelegenheiten sollten nie an öffentlichen Orten durchgeführt werden. Vermeiden Sie Shoulder-Surfing durch Hilfsmittel. Lassen Sie sich nicht auf den Bildschirm schauen, wenn Sie mit Ihren mobilen Geräten an öffentlichen Stellen arbeiten.

Benutzen Sie keine unsicheren Downloadkanäle (z.B. Apps aus nicht offiziellen Quellen).

E-Mails müssen kritisch hinterfragt werden. Geben Sie niemals firmeninternes oder Passwörter per Mail weiter. E-Mails können gefälscht werden. Der Absender mag Ihnen bekannt vorkommen, es kann sich jedoch um eine Fälschung handeln. Öffnen Sie niemals ausführbare Dateien, die per Mail ankommen.

Geben Sie keine Informationen, wie bspw. Passwörter oder Transaktionsnummern am Telefon oder per Mail weiter, auch wenn Sie der Meinung sind, dass derjenige gegenüber nur helfen möchte. Seien Sie besonders skeptisch gegenüber unerwarteten Anrufen und überprüfen sie die Identität des Anrufers. Holen Sie sich stets eine zweite Meinung ein, wenn Sie sich über ein technisches Thema im Unklaren sind oder wenn Sie nicht wissen, wie vertraulich eine Information wirklich ist.

Verzichten Sein auf USB-Sticks, wenn Sie Ihnen als Geschenk angeboten werden. Stecken Sie gefundene USB-Sticks niemals an Ihren Computer an.

Sensibilisieren Sie Ihre Mitarbeiter darauf, dass sie auffälliges Verhalten an die Geschäftsführung oder eine Vertrauensperson (z.B. dem Datenschutzbeauftragten) melden.

Nehmen Sie die Angst – auch wenn ein Mitarbeiter Opfer eines Angriffs geworden ist und dies erst im Nachhinein bemerkt, sollte er keine Angst vor Abmahnungen oder der fristlosen Kündigung haben. Diese Mitarbeiter sollten als Opfer und nicht als Mittäter angesehen werden. Erfährt ein Unternehmen zeitnah von den Sicherheitsvorfällen, können vielleicht noch größere Schäden vermieden werden und weitere Angriffe verhindert werden. Auch das stärkt das Loyalitätsbewusstsein bei den Mitarbeitern.

 

Über den Autoren:

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.