Hacker brechen nicht in Unternehmen ein, sie loggen sich ein: Obwohl vielfach die Vorstellung herrscht, dass Cyberkriminelle ausgefeilte Techniken anwenden, um bestimmte Schutzmechanismen auszuhebeln und so die Verteidigungslinien ihrer Opfer zu durchbrechen, sieht die Realität häufig anders aus. Die Angreifer sammeln Informationen und verschaffen sich Zugang zu Login-Daten, mit denen sie dann ganz einfach in das Unternehmensnetzwerk vordringen können. Diese Daten werden entweder im Darknet erworben oder aber über klassisches „Social Engineering“ erbeutet.
Symbolbild von Darwin Laganzon via Pixabay
Social Engineering umfasst zahlreiche Strategien, deren Ziel es ist, Menschen so zu manipulieren, dass sie Zugriffe erlauben, Daten preisgeben, Informationen teilen oder Geld transferieren. Die Angreifer nutzen dabei das Vertrauen, die Unbedarftheit und Hilfsbereitschaft ihrer Opfer aus – und teilweise auch den Respekt und das Pflichtbewusstsein gegenüber Autoritäten.
Vierteiliger Prozess
Obwohl es viele Spielarten des Social Engineering (etwa Phishing und Smishing, Pretexting und BEC sowie EAC) gibt – online und offline – folgen Attacken immer demselben vierteiligen Prozess. Diesen zu verstehen, ist hilfreich, um sich vor dem hinterhältigen Vorgehen der Angreifer zu schützen:
- Informationen sammeln: In dieser ersten Phase recherchiert der Bedrohungsakteur das Ziel, um herauszufinden, welche Schwachstelle für den Angriff am besten geeignet ist. Dazu nutzt er entweder Informationen, die er bei früheren Eindringversuchen gesammelt hat oder setzt auf sogenannte Open Source Intelligence (OSINT). Öffentliche Unternehmenskommunikation wie Pressemitteilungen und Blogs oder berufliche Networking-Websites wie LinkedIn machen es den Betrügern dabei sehr leicht, umfassende Informationen zu sammeln – z. B. zu Umsatzzahlen (ist das Unternehmen ein zahlungskräftiges Opfer?) oder Personen, die ein attraktives Ziel darstellen (weil sie aufgrund ihrer Position über bestimmte Rechte und Informationen verfügen, etwa im Management oder in der Finanzabteilung).
- Beziehung aufbauen: Dies ist der Zeitpunkt, an dem der Bedrohungsakteur die Grundlage für den Angriff legt. Dies kann bedeuten, dass er oder sie eine bestimmte Abteilung mit einer Phishing-Nachricht (z. B. per E-Mail, Sprachnachricht oder SMS) kontaktiert oder sich als eine bestimmte vertrauenswürdige Person ausgibt, z. B. als Assistent der Geschäftsführerin oder Mitarbeitender der Finanzabteilung – je nachdem, was als erfolgsversprechend erachtet wird. Generative künstliche Intelligenz ist dabei ein enorm hilfreiches Tool, das es den Angreifern ermöglicht, automatisiert und im grossen Stil hochpersonalisierte Nachrichten zu generieren, die z. B. den Interessen der potenziellen Opfer entsprechen und als sprachlich authentisch wahrgenommen werden. Das schafft zusätzlich Vertrauen.
- Ausbeutung: Dies ist der eigentliche Angriff. Dabei setzen die Kriminellen beispielsweise auf eine E-Mail, die angeblich von einer Autoritätsperson stammt, um zusätzlichen Druck aufzubauen. Durch den Verweis auf eine echte Kundenbeziehung (die Info könnte z. B. einer Pressemitteilung oder einem LinkedIn-Post entnommen sein) erscheint sie zudem glaubwürdiger. Eine Nachricht könnte dann so lauten: „Hallo Frau Müller, es ist dringend: Leider ist bei der Abrechnung unseres Kunden Schraubenkrause etwas schief gegangen. Es wurde zu viel überwiesen. Das müssen wir schnellstmöglich korrigieren, um diesen guten Kunden nicht zu verlieren. Bitte überweisen sie die Korrektur von 10'000 Euro umgehend an folgendes Konto. MfG Thomas Schmidt, Geschäftsführer“. Natürlich ginge diese Überweisung jedoch an das Konto der Kriminellen.
- Ausführung: Wenn Frau Müller nun davon überzeugt ist, dass die Nachricht von ihrem Chef Herrn Schmidt kam und die Überweisung vornimmt, haben die Betrüger ihr Ziel erreicht.
Neben Überweisungen können auch die Herausgabe von Zugangsdaten zum Unternehmensnetzwerk – oder im „Real Life“ der Zugang zu physischen Büros oder Produktionsstätten – Ziel von Social-Engineering-Angriffen sein. Um zu verhindern, dass Social-Engineering-Versuche erfolgreich sind, sind regelmässige Schulungen erforderlich – und das nicht nur einmal im Jahr, damit Mitarbeitende die teilweise subtilen Anzeichen erkennen und ermutigt werden, auf ihr Bauchgefühl zu hören, wenn der Eindruck entsteht, dass etwas nicht stimmt.
Ein gutes Security-Awareness-Training
- Beinhaltet aktuelle Schulungsinhalte, die für die Branche des Unternehmens relevant sind
- Nutzt eine Sprache, die die User als Schlüsselelement der Cybersicherheitsstrategie des Unternehmens und nicht als “schwaches Glied” betrachtet
- Verwendet Phishing-Simulationen, um Lernfortschritte zu testen
- Setzt auf Microlearning für besseres Verstehen und langfristiges Lernen
- Beinhaltet Schulungen, die eine unternehmensweite Sicherheitskultur schaffen, indem die Lerninhalte gut und spannend aufbereitet sind – Stichwort: Gamification und ähnliches
- Kann von spezialisierten Anbietern als Managed Service in Anspruch genommen werden
Im Idealfall geht das Führungsteam mit gutem Beispiel voran, indem es die Cybersicherheit ernst nimmt, Best Practices vorlebt und die Art von zeitkritischen Taktiken mit hohem Druck, die Betrüger anwenden, vermeidet.
Weitere Erkenntnisse zur aktuellen Cybersecurity-Lage und Informationen, wie Sie sich vor Social Engineering und anderen Bedrohungen schützen können, finden Sie im aktuellen Arctic Wolf Labs Threat Report unter arcticwolf.com.