Social Engineering – Phishing-Angriffe erkennen und verhindern

Die Gefahr von Cyberangriffen und der daraus resultierende Bedarf an durchdachten Strategien und Methoden für die IT-Sicherheit sind in Unternehmen zum integralen Bestandteil ihres Alltags geworden. Während Cyberkriminelle oft als technisch versierte Spezialisten mit umfassenden Programmierkenntnissen abgebildet werden, kann die Realität auch ganz anders aussehen. Bei Social Engineering gilt weniger die Technik, sondern der Mensch als Schwachstelle. Wie Kriminelle Betroffene durch gezielte Manipulation von der Herausgabe sensibler Daten überzeugen, wie Social Engineering Attacken im Unternehmensalltag aussehen können und wie Unternehmen sich vor ihnen schützen können, erklärt dieser Artikel.

‍

Cyberkriminalität ohne Programmierkenntnisse – Was ist Social Engineering?

Bei Social Engineering handelt es sich um eine Vorgehensweise, bei der Cyberkriminelle ihre Opfer zu einer konkreten Handlung bewegen oder vertrauliche Informationen von ihnen erhalten möchten. Durch gezielte Manipulation, in den meisten Fällen per E-Mail, aber auch per Telefon, Brief oder persönlich, erlangen Betrüger vertrauliche Informationen, verbreiten Malware oder erhalten Zugang zu gesicherten Systemen. Die besondere Gefahr: Betrüger sind in der Regel durch umfassende Recherche gut informiert und können sich als vermeintlich vertrauenswürdige Person ausgeben. Ausgenutzt werden dabei Gutgläubigkeit, Unwissenheit oder Neugierde von Menschen – statt der Technik sind bei Social Engineering Angriffen klar Menschen die Schwachstelle. Die Taktik kann verschiedene Ziele verfolgen.  

• Diebstahl von Informationen: Ob Unternehmensgeheimnisse, persönliche Daten, Passwörter oder Benutzernamen – vertrauliche Informationen sind einer der häufigsten Gründe, aus denen Social Engineering Angriffe durchgeführt werden.  
  
• Identitätsdiebstahl: Mit entsprechenden Informationen wie Bankdaten oder internen Unternehmensdaten können Betrüger sich als jemand anderes ausgeben und Informationen missbrauchen sowie finanziellen Schaden anrichten.  
  
• Malware: Durch gefälschte Links oder Anhänge in E-Mails, sogenanntes Phishing, kann Malware durch einen Klick auf diesen Link oder Anhang installiert werden. Auch sensible Informationen wie Bankdaten können über Links abgegriffen werden, die zu einer gefälschten, vermeintlich seriösen Website führen.  
  
• Systemzugriff: Die unwissentliche Installation bösartiger Software kann Betrügern den Weg für ihren Zugriff auf Systeme im Unternehmen freimachen. Einmal mit Berechtigung installiert, kann sich Malware schnell unternehmensweit ausbreiten und Daten stehlen oder anderweitig Schaden anrichten.  
  
• Betrug & Finanzmanipulation: Ob Ausführung einer Überweisung, Kauf gefälschter Produkte oder Preisgeben vertraulicher Unternehmensinformationen – bei Social Engineering stehen Betrug und Finanzmanipulation im Mittelpunkt.  

‍

Wie kann eine Social Engineering Attacke im Unternehmensalltag aussehen?

Social Engineering Angreifer nutzen menschliche Schwachstellen im Unternehmen aus – mit verheerenden Folgen für die betroffenen Unternehmen. Bei erfolgreichem Angriff können sensible Mitarbeiter-, Unternehmens- oder Kundendaten gestohlen werden, Malware kann sich im Unternehmen ausbreiten, Daten verschlüsseln und damit für Lücken in der Geschäftskontinuität sowie Vertrauens- und finanzielle Verluste sorgen.  

Ein Cyberangriff auf Basis von Social Engineering benötigt nur wenig technisches Wissen der Angreifer. Vielmehr basieren ihre Angriffe vor allem auf umfassender vorangehender Recherche. Sie kennen Informationen zu Kollegen, Vorgesetzten oder der Person, von der sie Daten abgreifen möchten. Denn: Je besser die Angreifer ihr Opfer bereits kennen, desto höher ist die Wahrscheinlichkeit, dass sie glaubwürdig auftreten. Informationen erhalten sie aus Artikeln im Internet, Jahresberichten und vor allem aus den sozialen Medien. Aber wie kann ein Social Engineering Angriff konkret aussehen? Wir zeigen einige Beispiele.  

• Phishing: Bei Phishing handelt es sich um die häufigste und bekannteste Form des Social Engineering. E-Mails von vermeintlich seriösen Absendern wie einer Bank fordern Empfänger auf, ihre Zugangsdaten über einen Link zu verifizieren, hinter dem eine gefälschte Website steckt. Über diese wiederum können Hacker die Daten abfangen.  
  
• Vishing: Hierbei handelt es sich um eine alternative Form des Phishings, bei der Opfer telefonisch um Anmeldedaten oder andere sensible Informationen gebeten werden. Oft gibt sich der Angreifer als Kollege aus, etwa als Mitarbeiter des IT-Helpdesk.  
  
• Baiting: Köder wie USB-Sticks oder gefälschte Dateien erscheinen auf dem physischen oder digitalen Schreibtisch eines Mitarbeiters, der aus Neugierde darauf zugreift und damit die Tore für die Verbreitung von Malware öffnet.  
  
• Quid pro quo: Werden im Austausch für Informationen oder Daten wertvolle Leistungen, Produkte oder Informationen angeboten, sprechen wir von Quid pro quo.  
  
• Scareware: Scareware ist ein gutes Beispiel für die Quid pro quo Taktik: Per E-Mail wird eine vermeintlich vertrauenswürdige Software gegen eine Sicherheitslücke im System angeboten. Die eigentliche Sicherheitsbedrohung ist jedoch die angebotene Software.  
  
• Pretexting: Mit geschicktem Storytelling versuchen Angreifer im Zuge von Pretexting an sensible Daten wie persönliche Informationen, Passwörter oder Finanzdaten zu gelangen.  

• KI-generierte Angriffe: Inzwischen ist auch die Gefahr durch Angriffe in Form von KI-generierten Stimmen deutlich gestiegen. Mit einem AI Voice Generator können Kriminelle beispielsweise die Stimme des Geschäftsführers täuschend echt nachahmen. Dieser weist vermeintlich eine hohe Überweisung an, die von Mitarbeitern nicht mehr hinterfragt wird, da die Person am Telefon klingt, wie der bekannte Geschäftsführer.  

‍

Die Gefahr von Social Engineering Attacken liegt vor allem darin, dass sie häufig nicht als solche wahrgenommen werden. Mitarbeitende handeln im Glauben, das Richtige zu tun, weshalb solche Angriffe längere Zeit unbemerkt bleiben können.

‍

Beispiele aus dem Unternehmensalltag: Phishing Angriffe in zahlreichen Variationen

Phishing Angriffe sind die beliebteste Form des Social Engineering - schließlich benötigt es ausschließlich eine gut gestaltete E-Mail mit einem schädlichen Link, über den Daten abgegriffen oder ein Download für Malware gestartet werden kann. So können diese Mails aussehen:  

• Die Sendungsverfolgung: “Ihr Paket ist versandbereit! Transportkosten von 2€ wurden noch nicht bezahlt.” Die vermeintlich ausstehenden Transportkosten können über einen Link gezahlt werden, über den Kriminelle wiederum Bankdaten und weitere Informationen abgreifen können.  

• Der Abgleich des Firmenkontos: Die Hausbank fordert einen Abgleich der Bankdaten, damit das Unternehmen weiterhin Zugriff auf sein Bankkonto behält. Die Bankdaten werden über einen Link eingetragen und können dort vom Absender abgefangen werden. Diese Methode kommt auch häufig per Telefon zur Anwendung, um beispielsweise die PIN zum Bankaccount zu erhalten – Kriminelle hoffen hier auf das Überraschungselement.  

• Die Mail der HR-Abteilung: “Nächsten Monat tritt eine neue Unternehmensrichtlinie zum Thema Krankengeld, Bezahlung und Urlaubsanspruch in Kraft. Die neue Richtlinie finden Sie im Anhang.” Hier fühlt sich wohl jeder Mitarbeiter zunächst angesprochen, der eine solche Mail erhält und ist schnell davon überzeugt, den dubiosen Anhang zu öffnen. Über diesen Anhang kann sich schließlich Malware ins System einschleichen.  

‍

Schutz vor Social Engineering: So können Unternehmen sich vor Phishing & Co. schützen

Die Gefahr von Social Engineering Attacken liegt vor allem darin, dass sie häufig nicht als solche wahrgenommen werden. Mitarbeitende handeln im Glauben, das Richtige zu tun, weshalb solche Angriffe längere Zeit unbemerkt bleiben können. Erst, wenn ein finanzieller Schaden entstanden ist oder sich Malware im Unternehmen verbreiten konnte, wird nach der Ursache gesucht. Deshalb ist die wichtigste Aufgabe zum Schutz vor Social Engineering das Bewusstsein und die Fähigkeit aller Mitarbeiter, Angriffe zu erkennen und sie zu melden. Unternehmen können dafür verschiedene Wege gehen.  

• Awareness Training: Um das Bewusstsein der Mitarbeiter zu stärken, kann die IT regelmäßige Trainings zum Thema IT-Sicherheit durchführen. Diese Trainings können für alle Mitarbeiter in gewissen Zeitabständen verpflichtend sein, sodass ihnen die Themen rund um Sicherheit und Cyberangriffe immer wieder vor Augen geführt werden. Auch unregelmäßige Tests in Form von gefälschten Phishing-Mails sind eine gute Möglichkeit, die Awareness zu stärken. Wer die durch die IT generierte E-Mail durchschaut und meldet, wird beglückwünscht, wer fälschlicherweise darauf reagiert, wird zu einer Schulung weitergeleitet

• Guides für Mitarbeitende: Zusätzlich zu regelmäßigen Awareness Trainings bietet es sich an, Mitarbeiten Guides zur Verfügung zu stellen, in denen sie immer wieder nachschlagen können, wenn sie glauben, Ziel einer Social Engineering oder einer anderweitigen Cyberattacke zu sein. Ein solcher Guide kann beispielsweise verschiedene Tipps zum Erkennen und Verhindern von Social Engineering Angriffen umfassen:
  • Quellen & Absender prüfen
  • Skeptisch sein  
  • Bei Unsicherheit persönlich beim betreffenden Absender nachfragen, falls es sich um einen vermeintlichen Mitarbeiter der IT-Abteilung handelt
  • Auf Rechtschreibfehler achten
  • Nicht auf unbekannte Links klicken
  • Keine ungewöhnlichen Mailanhänge öffnen

• Geräte schützen: Zwar sind technische Maßnahmen an sich nur bedingt geeignet für den Schutz vor Social Engineering Angriffen – sie können allerdings den Weg durch die Unternehmenssysteme erschweren. Haben Mitarbeiter nur auf die Bereiche und Daten Zugriff, die sie wirklich für ihre Arbeit benötigen, erschwert das einerseits die unbefugte Weitergabe von Informationen und andererseits die Ausbreitung von Malware im Unternehmen. Für Logins empfiehlt sich beispielsweise die Mehr-Faktor-Authentifizierung, sodass Mitarbeiter verdächtige Login-Versuche sofort mitbekommen.

• Ganzheitliche IT-Sicherheitsstrategie: Letztendlich bietet eine ganzheitliche Strategie für die IT-Sicherheit den maximal möglichen Schutz vor Cyberangriffen jeder Art. Zu dieser Strategie zählen neben technischen Maßnahmen eben auch organisatorische Maßnahmen und die Schaffung eines Bewusstseins für IT-Sicherheit und mögliche Gefahren bei allen Mitarbeitern. Denn IT-Sicherheit ist ein anhaltender Prozess, der nicht mit einmaliger Installation von Software erledigt ist.  

‍

Awareness für Social Engineering als fester Bestandteil der IT-Sicherheit

Die Schwachstelle Mensch wird bei Social Engineering Angriffen von Kriminellen ausgenutzt. Bei dieser Art von Cyberangriff handelt es sich deshalb um eine Strategie, die keine oder nur wenig Programmierkenntnisse erfordert, sondern vor allem auf intensiver Recherche und überzeugendem Auftreten basiert. Deshalb ist es für Unternehmen auch so schwierig, Social Engineering Angriffe zuverlässig abzuwehren. Rein technische Maßnahmen wie eine Firewall oder Identitätsmanagement reichen nicht aus, um Phishing-Angriffe per E-Mail zu verhindern. Vielmehr steht das Bewusstsein aller Mitarbeiter für die Relevanz von IT-Sicherheit im Mittelpunkt. Regelmäßige Schulungen und Phishing-Tests helfen dabei, dieses Bewusstsein zu schaffen und die Chancen zu erhöhen, dass Angriffe nicht unerkannt bleiben – sie sollten deshalb unbedingt Bestandteil der ganzheitlichen IT-Sicherheitsstrategie im Unternehmen sein.  

‍

‍