Berichte über erfolgreiche Cyberattacken auf Unternehmen sind mittlerweile keine Seltenheit mehr. Durch zwischenmenschliche Manipulation versuchen die Angreifer an sensible Daten zu gelangen und setzen dabei zunehmend auf den Risikofaktor Mensch.
Social Engineering ist die von Angreifern am zweithäufigsten genutzte Methode, um an Unternehmensdaten zu gelangen – 19 Prozent der Angriffe gehen auf das Konto von Social Engineers, wie eine Studie des Verbandes BITKOM herausfand. Häufiger ist nur der Diebstahl von IT- oder Kommunikationsgeräten. Das Risiko von Social-Engineering-Attacken steigt durch die zunehmende Nutzung von sozialen Netzwerken sowie die vielfältigen Möglichkeiten, sich im Internet mit Freunden und Bekannten, aber auch fremden Personen auszutauschen. Da auch die Hürden, über IT-Systeme einzudringen, durch Firewalls, Anti-Viren-Programme, Verschlüsselungstechnologien und ähnliches höher geworden sind, haben die Kriminellen nun ein neues Angriffsziel gefunden: den Menschen. Für die Manipulation werden gezielt elementare, menschliche Eigenschaften bzw. Emotionen genutzt: Autoritätshörigkeit, Stolz auf die eigene Arbeit, Tendenz zur unbürokratischen Hilfe in Notlagen sowie Vertrauen oder Angst. Eine weitere potentielle Quelle für Social Engineering-Attacken ist die starke Verbreitung von mobilen Datenträgern (USB-Stick) zum Datenaustausch.
Die Angriffsmethoden
Eine weit verbreitete Methode des Social Engineerings ist das sogenannte Pretexting, bei dem die Angreifer quasi in eine andere Haut schlüpfen. Ein erfolgreicher Pretexter macht beispielsweise ein Lokal aus, in dem viele Mitarbeiter des anvisierten Unternehmens mit Geschäftspartnern verkehren. Dort hält er sich selber über einen längeren Zeitraum auf, analysiert Dresscode bzw. Umgangsweise der Mitarbeiter und erfasst relevante Gesprächsinhalte über aktuelle Projekte, aufgetretene Probleme, beteiligte Firmen, anstehende Urlaube und Termine usw. Mit diesem Wissen kann er bei einem Anruf oder Eindringen in die Geschäftsräume seine Beteiligung an dem Projekt glaubhaft vorspielen. Eine andere Angriffs-Methode ist das sogenannte Elizitieren. Der Social Engineer beeinflusst hier sein Opfer derart, dass dieses von sich aus Informationen mitteilt. Dabei wählt der Angreifer häufig eine Situation mit lockerer Atmosphäre, wie etwa eine Abendveranstaltung, an der auch die Zielperson teilnimmt. Bei ein, zwei Cocktails an der Bar erwähnt der Angreifer beispielsweise die Vorteile und besondere Qualität eines bestimmten Programms und das Opfer stimmt zu. Anschließend behauptet der Angreifer aber, dass in dem Programm eine weitergehende Sicherung von Daten nicht möglich sei. Das Opfer widerspricht und klärt bereitwillig auf. Gegen derartige Bedrohungspotenziale können sich die Unternehmen jedoch einfach und effektiv schützen, wie Rechtsanwalt Thilo Märtin aus Nürnberg, spezialisiert auf Fragen des IT-Rechts, des Datenschutzes und des Schutzes von Unternehmensdaten, weiß.
Thema auch auf der it-sa 2015
Social Engineering war auch ein Schwerpunktthema auf der diesjährigen it-sa, die vom 6.-8.10.2015 in Nürnberg stattfand. Auf dem vielfältig und hochkarätig besetzten Kongress äußerte sich am dritten Messetag Edward Snowden per Live-Schaltung und appellierte in seiner Keynote u.a. ein noch stärkeres Bewusstsein für die Gefahren in einer zunehmend digital vernetzten Gesellschaft zu haben. Ausdrücklich rief er dazu auf, gemeinsam daran zu arbeiten, technische Möglichkeiten für mehr IT-Sicherheit im privaten und unternehmerischen Bereich auf breiter Basis zugänglich zu machen.
Leitfaden zum Sensibilisieren
Wie die Studie „DsiN Sicherheitsmonitor 2015: Mittelstand IT-Sicherheitslage 2011 bis 2015“ des Vereins Deutschland sicher im Netz (DsiN) zeigt, gewinnt das Wissen darüber auch im Arbeitsalltag immer mehr an Bedeutung. Und gleichzeitig wird ein sicherheitsbewusstes Handeln der Mitarbeiter eine immer wichtigere Voraussetzung für die Informationssicherheit. Gleichwohl verzichten immer noch fast 75 % der Unternehmen auf Schulungen der Mitarbeiter, um sie auch gegen Gefahren des Social Engineerings zu rüsten. Um den Lernprozess zu fördern, haben DATEV und DsiN „Verhaltensregeln zum Thema Social Engineering“ entwickelt. Unternehmer können den gleichnamigen Leitfaden gezielt einsetzen, um ihre Mitarbeiter für die Gefahren des Social Engineering zu sensibilisieren und mit wirksamen Schutzstrategien auszustatten. Zusätzlich enthält der Leitfaden einen Testfragebogen, mit dem die Mitarbeiterinnen und Mitarbeiter selbst überprüfen können, wie anfällig sie noch für Social Engineering sind.
Über den Autor:
Robert Brütting ist Rechtsanwalt in Nürnberg sowie Fachjournalist für Recht. Bei DATEV arbeitet er als Redakteur und schreibt unter anderem für das DATEV magazin.
