Social Engineering

Als Social Engineering wird die psychologische Manipulation von Menschen mit dem Ziel bezeichnet, Zugriff auf vertrauliche Daten oder Systeme zu erhalten. Es handelt sich um eine Form von Trickbetrug mit dem Ziel der Erschleichung von Informationen oder arglistigen Täuschung, um sich Zugriff auf ein System zu verschaffen. Angriffe mit Social-Engineering-Methoden werden zumeist telefonisch oder per E-Mail verübt und können dazu dienen, vertrauliche Informationen bzw. Daten von Mitarbeitern zu stehlen. In anderen Fällen von Social Engineering geben sich Kriminelle als Handwerker oder Techniker aus und verschaffen sich auf diese Weise physischen Zutritt zu den Räumlichkeiten eines Unternehmens.

Grundlagen des Social Engineering

Die gängigen Methoden, die bei Social-Engineering-Angriffen zum Einsatz kommen, sind keineswegs neu. Sie basieren auf verhaltenspsychologischen Grundprinzipien, die von den Angreifern ausgenutzt werden, um sich Zugang zu vertraulichen Daten zu verschaffen.

• Reziprozität: Menschen neigen dazu, einen Gefallen zu erwidern. Wenn sich ein Angreifer beispielsweise in irgendeiner Weise großzügig oder rücksichtsvoll gibt, fühlt das Opfer sich möglicherweise genötigt, sich dafür erkenntlich zu zeigen, indem es ihm regelwidrigen Zugriff auf Daten gewährt oder andere Ausnahmen macht.
• Verpflichtung: Die Bereitschaft, einer einmal eingegangenen Verpflichtung tatsächlich nachzukommen, ist bei vielen Menschen hoch, weil mit einer solchen Verpflichtung das Gefühl einhergeht, persönliche Verantwortung für ihre Erfüllung zu übernehmen. Daraus erklärt sich beispielsweise, warum Menschen bei Online-Auktionen oft Gebote abgeben, die weit über ihrem ursprünglichen Limit und über dem eigentlichen Wert des Artikels liegen.
• Sozialer Einfluss: Menschen neigen dazu, das Verhalten anderer nachzuahmen. Deswegen steigert z. B. die Empfehlung einer prominenten Persönlichkeit den Wert eines Software-Produkts – unabhängig von seiner tatsächlichen Qualität – in der Wahrnehmung vieler Verbraucher.
• Autorität: Menschen neigen dazu, Aufforderungen von Autoritätspersonen auch dann nachzukommen, wenn es ihrem sittlichen Empfinden eigentlich widerstrebt. Dieser Gehorsam wird bei Social-Engineering-Angriffen beispielsweise ausgenutzt, indem sich der Angreifer am Telefon als Kriminalbeamter ausgibt und das Opfer zur Preisgabe von Informationen auffordert.
• Sympathie: Menschen lassen sich leicht von Personen beeinflussen, die ihnen sympathisch sind. Ein angenehmes Auftreten und ein paar freundliche Worte reichen oft schon, damit das Opfer bereit ist, für den Angreifer eine Ausnahme zu machen und ihm Zugriff auf vertrauliche Daten gewährt.

Social Engineering Methoden

Cyberkriminelle nutzen Social Engineering zur effektiven Umsetzung verschiedener Angriffsformen:

• Phishing: Eine Technik zur Entwendung vertraulicher Daten durch Manipulation. Im typischen Fall sendet der Angreifer eine E-Mail, die angeblich von einem legitimen Unternehmen stammt. Darin wird das Opfer zur Authentifizierung vertraulicher Angaben aufgefordert, und es werden ihm Konsequenzen angedroht bei Nichtbefolgung der Aufforderung. Diese Drohung verleitet das Opfer zur Preisgabe vertraulicher Daten.
• Watering-Hole-Angriffe: Als „Auflauern an der Wasserstelle“ wird eine gezielte Social-Engineering-Strategie bezeichnet, die das Vertrauen der Anwender in Websites ausnutzt, die sie regelmäßig besuchen. In einer vertrauten und als sicher empfundenen Umgebung rechnet das Opfer nicht mit Bedrohungen und lässt sich daher leicht in die Falle locken.
• Quid pro quo: Ein Angreifer kontaktiert Mitarbeiter eines Unternehmens nach dem Zufallsprinzip und täuscht einen legitimen Grund für den Anruf vor. Früher oder später stößt er garantiert auf eine Person, die ein echtes Problem hat und die angebotene Hilfe dankbar annimmt. Der Angreifer versucht dann, das Opfer als Gegenleistung für die Unterstützung zur Preisgabe von vertraulichen Daten zu bewegen.

Tipps zur Abwehr von Social-Engineering-Angriffen

Unternehmen können sich durch eine Reihe von Maßnahmen vor schwerwiegenden Social-Engineering-Angriffen auf Mitarbeiter schützen:

• Schaffung eines Standard-Vertrauensrahmens: Schaffung eines starken Vertrauensrahmens auf Mitarbeiter-/Personalebene durch Schulung des Personals im Umgang mit vertraulichen Daten.
• Risikobewertung: Identifizierung vertraulicher Daten und Bewertung des Risikos durch Social-Engineering-Angriffe und Ausfälle in Sicherheitssystemen.
• Sicherheitsprotokolle: Festlegen von Sicherheitsprotokollen, Richtlinien und Standardverfahren für den Umgang mit vertraulichen Daten. Mitarbeiterschulungen: Schulung der Mitarbeiter zur Anwendung der für ihre jeweilige Rolle relevanten Sicherheitsprotokolle.
• Regelmäßige Tests: Genauso wichtig wie die Entwicklung eines Rahmenkonzepts ist die regelmäßige Überprüfung zur Gewährleistung seiner Wirksamkeit. Durch regelmäßige Tests im Rahmen kontrollierter Social-Engineering-Versuche lässt sich feststellen, inwieweit die Mitarbeiter die Lerninhalte verinnerlicht haben. Das Schulungsprogramm kann dann ggf. entsprechend angepasst werden.

Die menschlichen Systeme rund um die Technologie erweisen sich immer wieder als schwächstes Glied in der Sicherheitskette. Der sorgfältige Aufbau einer Schulungs- und Sicherheitsinfrastruktur kann einen wesentlichen Beitrag zum Schutz vor Cyberangriffen und den damit verbundenen Folgen leisten.

Zugehörige Begriffe

• Phishing
• Spear Phishing
• Malware
• Ransomware
• Domain-Spoofing
• E-Mail-Spoofing

Weiterführende Ressourcen

• Blog: Don’t be afraid of Social Media in the workplace (Englisch)
• Blog: Can a social engineer capture your flag? (Englisch)
• Datenblatt: Barracuda PhishLine

Wie Barracuda Sie unterstützen kann

Barracuda Email Protection ist eine umfassende, benutzerfreundliche Lösung für Gateway-Abwehr, API-basierte Impersonation Protection und Phishing Protection, Incident Response, Datenschutz, Compliance und Schulung zur Benutzererkennung. Ihre Funktionen können Social-Engineering-Angriffe verhindern:

Barracuda Impersonation Protection ist ein API-basierter Posteingangsschutz, der dafür sorgt, dass Ihre geschäftlichen E-Mails nicht kompromittiert werden und der Ihr Unternehmen vor Account Takeover, Spear Phishing und anderen Cyber-Fraud-Versuchen abschirmt. Sie kombiniert künstliche Intelligenz und eine tiefe Integration mit Microsoft Office 365 zu einer umfassenden Cloud-basierten Lösung.

Dank der einzigartigen API-basierten Architektur kann die KI-Engine Details aus vergangenen E-Mails analysieren und die einzigartigen Kommunikationsmuster individueller Benutzer erfassen. Mittels Problembehebung in Echtzeit können so Phishing-Angriffe, die ansonsten zu entwendeten Zugangsdaten und illegalem Account Takeover führen würden, blockiert werden.

Das Barracuda Security Awareness Training ist eine Lösung für ein besseres E-Mail-Sicherheitsbewusstsein und bietet Phishing-Simulationen, die Ihr Unternehmen vor gezielten Phishing-Angriffen schützen. In der Sicherheitsschulung werden Mitarbeiter darin geschult, die neuesten Social-Engineering-Phishing-Techniken zu verstehen, subtile Phishing-Hinweise zu erkennen und E-Mail-Betrug, Datenverlust und Markenschäden zu verhindern. Die Schulung zur Stärkung des Risikobewusstseins verwandelt Mitarbeiter von einem potenziellen E-Mail-Sicherheitsrisiko in eine wirksame Verteidigungslinie gegen schädliche Phishing-Angriffe.

Barracuda Incident Response automatisiert die Incident Response und bietet Wiederherstellungsoptionen an, um Probleme schneller und effizienter anzugehen. Administratoren können Warnungen an betroffene Benutzer schicken und mit wenigen Klicks schädliche E-Mails direkt vom Posteingang aus unter Quarantäne stellen. Die von der Incident Response Plattform bereitgestellten Discovery und Threat Insights helfen bei der Erkennung von Anomalien in zugestellten E-Mails und ermöglichen dadurch proaktivere Methoden zum Aufspüren von E-Mail-Bedrohungen.

Haben Sie weitere Fragen zum Social Engineering? Wir freuen uns auf Ihre Nachricht!