Wenn man über den Begriff IT Sicherheit redet, kommt dem Ottonormalverbraucher wahrscheinlich zunächst der Hacker im Keller in den Sinn, bekleidet mit schwarzem Hoodie und Guy Fawkes-Maske. Oder hättest Du an den Handwerker im knallorangenen Overall mit der Leiter über der Schulter gedacht, der gerade am Empfang vorbei geschlendert ist, um die defekte Lampe in der Tiefgarage zu reparieren? Wohl eher nicht. Stattdessen schlendert er gemächlich an der Pforte vorbei und verschafft sich Zugang zum Serverraum. Dein Unternehmen wurde Opfer von Social Engineering!
Smoking kills (your servers)!
Eine weitere Anekdote zum Thema Social Engineering schließt sich an eine bereits im Jahr 2016 herausgegebene Warnung vom BSI an. Dort warnt das BSI ausdrücklich vor E-Zigaretten – So kam es bei einer bekannten Firma im Rahmen einer IT Sicherheitsschulung der Mitarbeiter zu der Situation, dass einige gut aussehende junge Damen den Mitarbeitern E-Zigaretten als Werbegeschenke verteilten. Leider waren diese nicht ausreichend geladen. Praktischerweise lieferten die großzügigen Hostessen direkt ein Mini-USB-Ladekabel mit, sodass die E-Zigaretten direkt am Arbeitsplatz angesteckt werden konnten.
In den E-Zigaretten war ein kleiner Chip verbaut , der anfing seinen Schadcode abzufeuern, sobald er an einem Computer angeschlossen wurde. Das ahnten jedoch die Wenigsten.
Diese beiden Beispiele sollen die Gefahr des sogenannten Social Engineerings verdeutlichen.
Der Mensch als Schwachstelle
Angreifer suchen beim Social Engineering keine Schwachstelle in der IT Infrastruktur. Stattdessen wird der Mensch als schwächstes Glied in der Sicherheitskette ausgenutzt.
Dabei nutzen Angreifer menschliche Eigenschaften wie
- Vertrauen, beispielsweise auf Stereotypen und Uniformen
- Hilfsbereitschaft
- Respekt und Angst, beispielsweise vor Vorgesetzten oder anderen Autoritäten
- Neugier
- Gier, beispielsweise bei dem genannten Angebot von Geschenken
Phishing – Die bekannteste Form des Social Engineerings
Das Ausnutzen des Menschen soll eine oder mehrere Personen zu einer Handlung verleiten, die dem Angreifer eine bessere Position bietet. Beispielsweise wird bei der bekanntesten Form des Social Engineerings, dem Phishing, durch eine E-Mail häufig versucht, den Empfänger mit einem Klick auf einen Link auf eine externe Website zu locken. Dort wird eine bekannte Website imitiert und das Opfer dazu aufgefordert, seine Logindaten einzugeben. Diese werden dann nicht an die echte Webseite weitergeleitet, sondern landen beim Angreifer.
Beim Beispiel der E-Zigarette wird deutlich, warum Social Engineering auch Offline eine große Gefahr darstellt: Selbst die sicherste IT Sicherheitsinfrastruktur schützt nicht vollständig gegen Mitarbeiter, die unwissentlich infizierte Geräte in die Infrastruktur einbringen. So wird Schadcode an Firewalls nach außen einfach vorbei geschleust und direkt im Firmennetzwerk ausgeführt. So hat ein Hacker ein leichtes Spiel.
CEO-Fraud – brandgefährlich!
Ein weitere, häufig genutzte Methode des Social Engineerings ist der sogenannte CEO-Fraud. Dabei wird auf die Autorität des Geschäftsführers gesetzt. Die Umsetzung ist denkbar einfach: Ein Angreifer fälscht die Absenderadresse einer Email und sendet der Buchhaltung einen verhältnismäßig geringen Betrag, mit der Bitte um sofortige Überweisung an das angegebene Konto. Je nach Größe der Firma wird die Buchhaltung sich nicht unbedingt noch einmal absichern, wodurch schnell ein Schaden in fünf- bis sechsstelliger Höhe entstehen kann.
Es wird also deutlich, dass Social Engineering eine nicht zu vernachlässigende Gefahrenquelle darstellt, insbesondere für Kleine- und Mittelständische Unternehmen, bei denen das Gefahrenbewusstsein häufig noch immer viel zu gering ist.
Was sind deine Erfahrungen mit Social Engineering? Sind sich deine Kollegen und Mitarbeiter ausreichend der Gefahren bewusst?
