Informationssicherheit - 22. März 2018

Angriff auf allen Ebenen

Nach einer Studie des Bitkom entstand 2017 der deutschen Wirtschaft durch Spionage, Sabotage und Datendiebstahl ein Schaden von 55 Milliarden Euro. Ein Anteil dessen geht auf sogenanntes Social Engineering zurück, das gezielte Ausspä­hen und Aushorchen von Menschen.

Warum sollte ein Hacker gegen eine starke IT-Schutzmauer anrennen, wenn er an anderer Stelle viel schneller Erfolg hat?

Der Mensch ist ein soziales Wesen, deshalb kann jeder zum Ziel eines Social-Engi­nee­ring-Angriffs werden, im Beruf oder im privaten Bereich. Warum sollte ein Hacker gegen eine starke IT-Schutzmauer anren­nen, wenn er an anderer Stelle viel schneller Erfolg hat? Stattdessen kann er sich eine falsche Identität zulegen und zum Beispiel Firmenmitarbeiter aushorchen. Der Angreifer besorgt sich Informationen über Freunde, Bekannte und Arbeitgeber aus sozialen Netz­werken und kombiniert sie dann mit öffentlich zugänglichen Informationen über das genannte Unternehmen. Er belauscht Telefonate im öffentlichen Raum, Unterhaltungen im Taxi, beim privaten Kneipentreffen mit Kollegen, Gespräche auf Messen oder offen zugänglichen Firmenveranstaltungen. Ein starkes Argument dafür, sich hier sehr zurück­zunehmen, wenn Un­be­kann­te dabeistehen. Denn viele Gesprächsthemen lassen sich wieder bei einem anderen dazu verwenden, einen vertrauenserweckenden Eindruck zu machen, weil man Insider-Informationen hat. Auch das Mitlesen von E-Mails zählt dazu.

Angriffe dieser Art sind häufig sehr spezialisiert, können sich über lange Zeiträume erstrecken und nutzen menschliche Verhaltensprägungen aus. Dass es sozial erwünscht ist, kooperativ und in Not­lagen hilfsbereit zu sein, spielt den Angreifern sehr in die Karten. Auch Stolz auf die eigene Arbeit, Vertrauen in Vorgesetzte oder großer Respekt können eine Motivation sein.

Schwachstelle: autoritäre Chefs, ängstliche Mitarbeiter

Auch Angst ist ein starker Impuls für unüberlegte Handlungen. Sehr gefährdet sind daher Mitarbeiter mit Chefs oder Vorgesetzten, die einen autoritären Führungsstil haben oder oft Druck ausüben. Denn dann neigen Mit­ar­bei­ter dazu, nicht kritisch zu hinterfragen, um nicht negativ aufzufallen. Sie sind auch eher bereit zu unüblichen Handlungen, wenn der Angreifer Dringlichkeit im Interesse ihres Chefs vortäuscht. Beim CEO-Fraud wird sogar im Namen des Vor­stands­vor­sitzen­den der Auftrag für eine hohe Geldüberweisung gegeben und auch nachgehakt, ob das erledigt wurde. Wenn ja, wird schnell noch ein weiterer Auftrag nachgeschoben.

USB-Sticks als Köder

Mobile Datenträger wie USB-Sticks scheinen eine unwiderstehliche Anziehungskraft zu haben. In einem Test der Universität Illinois wurden sie auf einen Firmenparkplatz platziert. Es dauerte nur wenige Minuten, bis der erste Stick am System des Finders angesteckt wurde. „Unglaubliche 69 Prozent der Versuchsteilnehmer unternahmen keinerlei Vorkehrungen vor dem Öffnen der Geräte und deren Inhalten“, schreibt das Magazin CIO. „Die Erfolgsrate […] lag er­schrecken­der­weise zwischen 45 und 98 Prozent. […] Lediglich 16 Prozent der unfreiwilligen Probanden sahen es als erforderlich an, den USB-Stick mittels Antivirus-Software zu prüfen. Wäre auf diesen schadhafter Code gewesen, hätte der Cyberangriff in kürzester Zeit zum Erfolg geführt.“
Um die Wahrscheinlichkeit zu erhöhen, dass gefundene USB-Sticks auch eingesteckt werden, bedienen die Angreifer verschiedene Emotionen: Ein USB-Stick mit Plüsch­tierchen und Schlüsselbund appelliert an die Hilfsbereitschaft. Neugier oder sogar Gier ist schnell geweckt mit dem Aufkleber Vorstandsbudget. Inzwischen ist auch der Aufkleber Bitcoins bei den Kriminellen sehr beliebt.

E-Zigaretten

Kritisch kann es auch sein, eine E-Zigarette mit dem USB-Anschluss eines Computers zu ver­bin­den, um sie aufzuladen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, dass präparierte Verdampfer auf diesem Weg Malware einschleusen könnten.

Elektronische Karten

Zu Weihnachten oder anderen Anlässen werden gern elektronische Karten mit lieben Grüßen verschickt. Eine gute Gelegenheit für Angreifer, denn die Karten haben ver­hält­nismäßig hohe Klickraten. Die Empfänger klicken die in der Mail angegebenen Links, um die Karte lesen zu können, und der Weg in ihren Computer ist offen. Nächster Termin dafür ist Ostern.

So schützen Sie sich

  • Geben Sie keine sensiblen Daten über soziale Netzwerke oder Messenger-Dienste weiter.
  • Fordern Sie auch von Mitarbeitern ein striktes Einhalten vereinbarter Regeln zur Datenweitergabe.
  • Akzeptieren Sie keine Freundschaftsanfragen, ohne die Person zu prüfen.
  • Besprechen Sie keine Firmeninterna oder streng Vertrauliches an einem öffentlichen Ort.
  • Verwenden Sie einen Sichtschutz für Ihr Notebook, sobald Sie in einer unsicheren Umgebung vertrauliche Dokumente bearbeiten. Durch das sogenannte Shoulder Surfing gelangen andere sonst leicht an sensible Daten oder Passwörter.
  • Jeder einzelne Mitarbeiter kann zum Schutz im sozialen Bereich beitragen, dort, wo keine Firewall und kein Virenschutz helfen. Schulen Sie also Ihre Mitarbeiter, damit sie ein gesundes Misstrauen entwickeln.
  • Ermutigen Sie Ihre Mitarbeiter dazu, kritisch zu sein und nachzufragen, wenn ihnen etwas seltsam erscheint – selbst dann, wenn es um einen Auftrag in Ihrem Namen als Chef gehen sollte.
  • Klicken Sie nicht auf jeden zugesendeten Link. Bei einem unbekannten Absender sollte man per se vorsichtig sein.

Dubiose Links erkennen

Das eine Merkmal für einen verdächtigen Link gibt es leider nicht. Aber manches kann ein Hinweis sein: Ist der geschriebene Link derselbe wie beim Mouse-over?
Wenn nicht, ist das ein Warnsignal.
Ist der Link prägnant, wie etwa www.firmenname.de/praesentationen/titel.php, spricht es für einen unverdächtigen Link.
Dubios ist dagegen eher ein langer Link mit merkwürdiger Syntax wie www.amazon.kundenservice-fbblgruhgrubrftskdjjfhg.ru/blaarbradhig/nfdhhuerf.html.
Aber auch echte Links können lang und komplex aussehen. Wenn man unsicher ist, empfiehlt es sich, beim Absender anzurufen – wenn es ein Kollege, Partner, Bekannter ist – und zu fragen, ob er die Mail geschickt hat.

Quellen: www.bitkom.org (Spionage, Sabotage), www.golem.de (E-Zigaretten), www.clio.de (USB-Sticks)

Zu den Autoren

JZ
Jennifer Zahl

DATEV eG

Weitere Artikel der Autorin
SH
Stefan Hager

DATEV eG, Bereich Internet Security

Weitere Artikel des Autors
Martina Mendel

Redaktion DATEV magazin

Weitere Artikel der Autorin