Social Engineering

Wurden Sie schon einmal manipuliert? Haben Sie womöglich ein Produkt gekauft, da der Verkäufer Sie geschickt zum Kauf animierte, obwohl Sie das Produkt vielleicht gar nicht wollten? Oder wurden Sie vielleicht sogar Opfer eines Telefonbetrügers und haben unbeabsichtigt sensible Daten preisgegeben? Hinter all diesen nicht technischen “Angriffen“ steckt  Social Engineering – auch soziale Manipulation genannt.

 

Das menschliche Verhalten als Sicherheitslücke

Beim Social Engineering oder Social Hacking versucht der Angreifer, seine Opfer durch Manipulation, falsche Identitäten oder autoritäre Verhaltensweise dazu zu bringen, vertrauliche Informationen preiszugeben oder Dienstleistungen umsonst zu erhalten. Dies passiert nicht nur bei Privatpersonen, sondern besonders häufig in Unternehmen, wobei Mitarbeiter gezielt „gehackt“ werden und so das menschliche Verhalten als Sicherheitslücke ausgenutzt wird.

Dies geschieht beispielsweise, indem sich der vermeintlich seriöse Telefonanrufer als Mitarbeiter des Supports oder als Admin ausgibt. Der Anrufer kann sich so vom Opfer gezielt durch den technischen Prozess leiten lassen. Denn neben der Tatsache, dass das Opfer die Identität des Anrufers nicht infrage stellt, gibt das Opfer zudem unabsichtlich sein Benutzerpasswort preis und hat nun ungehinderten Zugang zu vertraulichen Daten.  Das Ergebnis: Infizierte Dateien und ein hintergangenes Opfer.

 

Potentielle Opfer auch in sozialen Netzwerken

Eine weitere Methode, um an sensible Daten zu kommen ist der Zugang über soziale Netzwerke. Dabei schließen Angreifer Freundschaften mit dem potentiellen Opfer – beispielsweise mit Mitarbeitern eines Unternehmens. Die Masche: Ist das Vertrauen des Opfers gewonnen, werden möglicherweise sensible Informationen preisgegeben. Dies müssen übrigen nicht immer sensible Zugangsdaten sein, sondern können auch Strategien, Produktideen oder bereits konkrete Produktentwicklungen betreffen, die der Mitarbeiter im guten Vertrauen ausplaudert. Es ist deshalb wichtig, seine Mitarbeitern auf den Unterschied von beruflicher und privater Kommunikation – egal ob persönlich oder digital – zu sensibleren.

 

Prüfen Sie den Backround Ihrer Bewerber

Neben der Opfersuche in sozialen Netzwerken, können auch angebliche Bewerber eine Gefahr für sensible Daten darstellen. So können beispielsweise vermeintliche Bewerber infizierte Anhänge mitschicken, die im guten Glauben (beispielsweise bei einer Initiativbewerbung) von einem Mitarbeiter geöffnet und so massiven Schaden durch einen Computervirus anrichten können.

Social Engineering kann jedoch genauso gut von „gefälschten Mitarbeitern“, die ins Unternehmen eingeschleust wurden, umgesetzt werden. Auch hier ist es das Ziel der Angreifer, strategische Informationen des Unternehmens zu erhalten oder sensible Daten abzufangen. Prüfen Sie deshalb immer den Backround Ihrer Bewerber!

 

Social Engineering kann mit der Putzkraft beginnen

Auch Dienstleister, die für ein Unternehmen tätig sind, können zur Sicherheitslücke werden. So kann zum Beispiel die Reinigungskraft das Tor zum Social Engineering sein. Nämlich deshalb, da sie in der Regel den Schlüssel für alle Räume hat und meist in den Abend- oder sogar Nachtstunden tätig ist, wenn keiner der Mitarbeiter anwesend ist. Ein Angreifer könnte beispielsweise die Reinigungskraft „beauftragen“ einen USB-Stick an einen Rechner anzuschließen. So kann der Angreifer in Ruhe einen Datentransfer vornehmen und einen Virus einschleusen, während die Reinigungskraft die Räume säubert. Beim Start der Rechner am nächsten Morgen startet dann automatisch auch der Virus und alle Daten können ausspioniert werden.

Überlegen Sie deshalb, ob wirklich jeder Ihrer Mitarbeiter Zugriff auf alle Dateien haben muss. Ein Buchhalter muss beispielsweise nicht unbedingt Zugriff auf die Daten der Produktentwicklung haben.

 

Auch über infizierte Hardware können Sicherheitslücken entstehen

Sicherheitslücken können jedoch nicht nur durch menschliche Verhaltensweisen auftreten, sondern auch durch gezielt platzierte Hardware. So gab es bereits Fälle, in denen gefundene USB-Sticks zum totalen Systemzusammenbruch in einem Unternehmen geführt haben. Der Angreife platziert dafür einen mit einer Malware infizierten USB-Stick so geschickt, dass es für Mitarbeiter so aussieht, als wäre er verloren gegangen. Um nun den Besitzer zu identifizieren, muss der Finder den Stick an einen Rechner anschließen und schon ist der Virus auf dem PC.

Über derartige USB-Sticks, die meist über Drittanbieter gezielt im Internet angeboten werden, kann die Steuersoftware gezielt ausgeschaltet und das gesamte Stromsystem lahmgelegt werden, was wiederum zum totalen Zusammenbrich der gesamten Unternehmensinfrastruktur führen kann – der Worst Case für ein Unternehmen.

Vorsicht gilt übrigens auch bei USB-Sticks als Werbegeschenke. Vor allem, wenn Sie das Unternehmen nicht kennen und/oder es sich auch im Internet bzw. über intensive Recherchen nicht finden lässt. Von derartigen USB-Sticks sollten Sie dann lieber keinen Gebrauch machen.

Beziehen Sie Ihre Hardware deshalb immer nur von vertrauenswürdigen Lieferanten und schauen sie generell, von welchem Anbieter Sie Ihre Hardware beziehen. Größere Firmen gehen aus Sicherheitsgründen mittlerweile so weit, dass Daten nur über verschlüsselte und registrierte Datenträger ausgelesen werden können. Und das ist gut so!

Sie haben Fragen zum Thema Social Engineering oder sind selbst betroffen?

Gern informieren und beraten wir Sie in einem persönlichen Gespräch.