Social Engineering: Hauptrisiko »Faktor Mensch«

grafik dsin datev sicherheitsleitfaden

Die internen Netzwerke vieler Unternehmen verfügen mittlerweile über sehr sichere Schutzsysteme (etwa Firewalls, Virenschutz, Verschlüsselung) und sind selbst für erfahrene Hacker schwer zugänglich. Deshalb ist heute der Mensch Risikofaktor Nr. 1, da er oftmals leichter zu »hacken« ist als das System. So hält der ehemalige Hacker und heutige Sicherheitsexperte Kevin Mitnick, dem es über Jahre hinweg gelang, in einige der am besten gesicherten Computersysteme der USA einzudringen, Social Engineering für die bei Weitem effektivste und schnellste Methode, um an Passwörter zu gelangen. Aus seiner Sicht ist Social Engineering rein technischen Ansätzen weit überlegen.

Welche menschlichen Eigenschaften und Schwächen werden genutzt?

Ein Social Engineer nutzt menschliche Wünsche, Ängste und verbreitete Verhaltensmuster aus, um seine Opfer zu manipulieren.

Wünsche:

Eines der wichtigsten Bedürfnisse, das Social Engineers ausnutzen, ist der Wunsch, sich kooperativ und hilfsbereit zu verhalten. Die Methode ist noch wirksamer, wenn sie mit Mitleid gekoppelt wird: So geben sich Angreifer zum Beispiel als gestresste Kollegen aus, die unter Druck stehen.

Aber auch eigennützige Wünsche können zur Angriffsfläche werden: Zum Beispiel nutzt der sogenannte Vorschussbetrug die Gier des Opfers, das in Vorleistung gehen soll, um später einen hohen Gewinn zu realisieren (vgl. Schneeballsysteme). Ausgenutzt werden also zum Beispiel die folgenden Wünsche:

  • in Notsituationen unbürokratisch zu helfen,
  • auf Hilfe mit Gegenhilfe zu reagieren,
  • störungsfreie Abläufe zu gewährleisten,
  • materiellen Gewinn zu erzielen,
  • sich vor der Führungskraft auszuzeichnen,
  • der / dem attraktiven Kollegin / Kollegen zu gefallen.

Ängste:

Unser Bedürfnis, Schaden zu vermeiden, richtet sich oft auf die gleichen Inhalte wie die oben genannten Wünsche. Wir möchten nicht negativ auffallen, als unkooperativ erscheinen und womöglich dadurch dem Unternehmen Nachteile verursachen. Angreifer nutzen etwa die Angst:

  • Arbeitsabläufe zu behindern und damit Schaden anzurichten,
  • vor der Führungskraft schlecht dazustehen,
  • einen wichtigen Kunden (durch Unwissenheit) nicht angemessen zu behandeln und vielleicht zu verlieren,
  • unseren Mitmenschen nicht zu gefallen.

 

Automatische Reaktionen und Charaktereigenschaften:

Die meisten Entscheidungen werden nicht ausschließlich bewusst und nach reiflicher Überlegung getroffen, sondern gesteuert durch erfahrungsbedingte Automatismen und Reaktionsmuster sowie durch Charaktereigenschaften. Zum Beispiel vertrauen wir im Zweifel eher bekannten Personen als unbekannten und wir orientieren uns an Autoritäten und Fachleuten – beides sind normalerweise sinnvolle Faustregeln, die uns aber im Fall von Social Engineering angreifbar machen. Die Gefahr, dann falsche Entscheidungen zu treffen, wächst noch, wenn wir besonders unsicher sind und / oder unter Druck stehen. So nutzen Social Engineers häufig Unsicherheiten ihrer Opfer (etwa technische Unwissenheit, fehlende Vertrautheit mit den Unternehmensabläufen) aus: Sie überzeugen durch selbstbewusstes Auftreten und Fachjargon, drohen vielleicht damit, die Führungskraft einzuschalten, verunsichern das Opfer und erhöhen so die Wahrscheinlichkeit, dass es dem Angreifer hilft. Häufig ausgenutzte Reaktionsmuster und Eigenschaften sind:

  • Vertrauen in bekannte Personen
  • Vertrauen in unbekannte Personen mit gemeinsamen Bekannten
  • Vertrauen in Autoritäten (Autoritätsgläubigkeit)
  • die Neigung zu schnellen Entscheidungen
  • unüberlegtes Handeln unter Druck und Unsicherheit
  • Gutgläubigkeit und Hilfsbereitschaft
  • Gier und Eitelkeit  Angst, Respekt und Scham
  • Nachlässigkeit in der täglichen Routine

 

Wer ist besonders gefährdet?

Prinzipiell kann jeder Mitarbeiter Ziel eines Social-Engineering-Angriffs werden. Dennoch gibt es bevorzugte Zielgruppen für Social Engineers – zum einen Mitarbeiter, bei denen man besonders wertvolle Informationen vermutet, zum anderen solche, die als besonders anfällig für Angriffe erscheinen. Gefährdet sind insbesondere:

  • in technischen Fragen unsichere Mitarbeiter und Unternehmer,
  • unerfahrene Personen, die mit den Verhältnissen im Unternehmen nicht sehr vertraut sind (neue Mitarbeiter, Auszubildende, Studenten etc.),
  • Mitarbeiter mit häufigem Kontakt zu unternehmensfremden Personen, etwa im Vertrieb oder Service,  AssistentInnen von Top-Managern,
  • Manager,
  • generell alle Mitarbeiter, die nicht für das Thema Social Engineering sensibilisiert wurden.

 

Bitte beachten Sie: Es kann jeden treffen!

Verbreitet ist die Annahme, Manager und Führungskräfte seien vor Social-Engineering-Angriffen geschützt, weil sie in solchen Themen geschult sind und die Angreifer nicht das Risiko eingehen wollen, ertappt zu werden. Auf der anderen Seite sind aber gerade diese Personen aufgrund ihres Wissens wertvolle Social-Engineering-Ziele und oft auch ideale Opfer: Denn egal wie versiert ein Mitarbeiter, eine Führungskraft oder ein Manager in technischen Fragen ist, so bietet er doch Angriffsflächen, wenn er sich seiner Schwächen in Bezug auf Social Engineering nicht bewusst ist. Aber auch Mitarbeiter ohne direkten Zugang zu unternehmenskritischen Informationen können zum Ziel solcher Angriffe werden, weil diese oft mehrstufig aufgebaut sind und im ersten Schritt nur Informationen über andere Mitarbeiter gesammelt werden sollen.

Sensibilisierung und Loyalität

Ebenso wie die Social-Engineering-Angriffe selbst müssen auch Abwehrmaßnahmen dagegen beim »Faktor Mensch« ansetzen. Das A und O ist die Sensibilisierung, etwa durch Schulungen und andere Awareness-Maßnahmen. Prävention geht aber noch weiter: Sie beginnt schon bei der Arbeitsatmosphäre im Unternehmen. Fühlt sich ein Mitarbeiter im Unternehmen unwohl und vermisst er Anerkennung durch Vorgesetzte und Kollegen, dann ist er empfänglicher für Lob und Schmeicheleien von außen. Unternehmen sollten gezielt die Loyalität ihrer Mitarbeiter fördern, um das Risiko zu minimieren, dass diese aus Ärger oder Resignation sensible Daten weitergeben, um dem Unternehmen zu schaden. Wichtig ist auch die Vermeidung von Druck und Angst. Denn zum einen sind, wie oben erläutert, verunsicherte Mitarbeiter anfälliger für Angriffe. Zum anderen aber wird dadurch die Aufklärung von Vorfällen erschwert: Wenn ein Mitarbeiter bei einem Social-Engineering-Angriff unwissentlich sensible Daten weitergegeben und dies erst im Nachhinein bemerkt hat, wird er sich aus Angst vor einer Abmahnung oder fristlosen Kündigung scheuen, den Vorfall zu melden. Deshalb müssen die Mitarbeiter stets als Opfer und nicht als Mittäter angesehen werden. Nur wenn das Unternehmen zeitnah von Sicherheitsvorfällen erfährt, können vielleicht noch rechtzeitig größere Schäden vermieden und zukünftige Angriffe abgewehrt werden.

 

Risiko Social Network

Michaela, 32 Jahre alt, ist seit Kurzem in einem Social Network aktiv und begeistert von den vielen Möglichkeiten, mit Bekannten und Unbekannten in Kontakt zu treten, persönliche Informationen, Bilder und Videos mit ihren Freunden zu teilen und immer auf dem Laufenden zu bleiben. Auch die Anregungen, die sie von Freunden mit ähnlichen Interessen erhält, weiß sie zu schätzen.

Ist Michaela sehr interessiert an einem geposteten Beitrag, klickt sie auch manchmal auf weiterführende Links im Artikel oder auf Links zu empfohlenen (mit »Gefällt mir« markierten) Beiträgen. Natürlich weiß sie, dass man im Internet Vorsicht walten lassen muss, doch fühlt sie sich auf der sicheren Seite, da sie nur Inhalte seriöser und bekannter Seiten verfolgt.

Wo liegen mögliche Gefahren in Michaelas Verhalten? »Social Networks«, zu Deutsch »soziale Netzwerke«, sind in: Fast anderthalb Milliarden Menschen weltweit (1,49 Mrd.) nutzen beispielsweise Facebook, fast 970 Millionen davon täglich. In Deutschland hat Facebook geschätzte 28 Millionen Mitglieder (Stand 2014) , von denen 18 Prozent ihr Netzwerk gar für »unverzichtbar« halten. Soziale Netzwerke geben ihren Mitgliedern die Möglichkeit, auf einfache Weise mit anderen Menschen zu kommunizieren und virtuell zu interagieren. Gleichzeitig aber stellen sie ideale Plattformen für Social-Engineering-Angriffe dar, denn:

a) Soziale Netzwerke sind unerschöpfliche Informationsquellen für Social Engineers.

Die hohe Dichte an persönlichen Daten und ihr hoher Vernetzungsgrad nehmen dem Social Engineer die größte Arbeit ab: das Nachfragen und Recherchieren. Mit diesen Informationen über eine Person können Angreifer leicht auf Passwörter schließen, die Identität einer Person für eigene Zwecke nutzen oder die Kontakte der Person ausspähen. Viele Menschen geben in ihrem Profil an, für welches Unternehmen sie arbeiten. Findet der Angreifer unter den Freunden beziehungsweise Kontakten einer Person weitere Kollegen, kann er diese im Namen der Person kontaktieren und so vielleicht an vertrauliche Informationen gelangen.

b) Die Nutzer sozialer Netzwerke kennen viele ihrer Freunde gar nicht.

Grund Nr. 1: Nutzer populärer Netzwerke haben meist Hunderte Kontakte oder Freunde, von denen sie viele noch nie gesehen haben. Der durchschnittliche Facebook-Nutzer hat einer Studie von 2013 zufolge 342 Freunde. Grund Nr. 2: Soziale Netzwerke verlangen meist keine Identifizierung zur Profilerstellung. Jeder kann sich als eine x-beliebige Person ausgeben. So können sich Social Engineers als vermeintliche Bekannte das Vertrauen ihrer Opfer erschleichen, sich als besonders attraktiv darstellen oder auch Profile beziehungsweise Seiten von Prominenten oder seriösen Unternehmen (etwa auch Zeitungen, Organisationen, Parteien) fälschen. Anfang 2010 gelang es einer attraktiven Dame namens Robin Sage, über soziale Netzwerke zahlreiche Militärs, Industrielle und Politiker zu kontaktieren und ihnen im Laufe der Zeit vertrauliche Informationen zu entlocken. Die angebliche Cyberthreat-Analystin stellte sich später als Kunstfigur in einem Experiment des US-IT-Experten Thomas Ryan heraus. 

c) Social Engineers können hier direkt mit ihren Opfern in Kontakt treten.

Dabei wird der Social Engineer sein Opfer meist nicht sofort direkt ansprechen, sondern sich langsam in der Freundesliste etablieren. Schickt er seinem Opfer dann eine Kontaktanfrage, werden bereits einige gemeinsame Kontakte angezeigt und lassen das Opfer glauben, dass es sich um eine reale und im Freundeskreis bekannte Person handelt.

d) Manche Nutzer klicken ohne nachzudenken auf von Freunden empfohlene Links.

Ein solcher Link kann dann auf speziell präparierte Seiten weiterleiten, die etwa gefälschte Informationen enthalten können, um eine Täuschung zu unterstützen, die Eingabe persönlicher Daten fordern, um vermeintlich interessante Inhalte ansehen zu können, oder aber Malware verbreiten.

Verbote fruchten nicht

Soziale Netzwerke sind heutzutage aus dem privaten wie beruflichen Alltag nicht mehr wegzudenken. Seiten wie Facebook, Twitter, Instagram oder Xing sind fester Bestandteil moderner Kommunikation. Es ist damit fast unmöglich, sie im Unternehmen zu verbieten. Nicht zuletzt bieten diese Plattformen für Unternehmen auch große Chancen, etwa als Vermarktungskanäle und zur Erhöhung des Bekanntheitsgrades, und auch die Mitarbeiter können dort durchaus als Botschafter des Unternehmens fungieren. Anstelle von Verboten empfiehlt es sich daher, Verhaltensrichtlinien (»Social Media Guidelines«) einzuführen und Aufklärung zu betreiben. Ausführliche Informationen und Beispiele finden Sie am Ende dieses Kapitels.

Bitte beachten Sie: Ihr Profil und andere Daten in sozialen Netzwerken bieten Social Engineers vielfältige Angriffsmöglichkeiten!

Risiken

  1. Ihre im sozialen Netzwerk veröffentlichten Informationen können weitergegeben werden oder gegen Sie verwendet werden.
  2. Ein unbemerktes Sammeln Ihrer Daten könnte der Vorbereitung eines Social-Engineering-Angriffs dienen.
  3. Durch die Nutzung sozialer Netzwerke erhöht sich das Risiko, Viren oder Schadprogramme zu erhalten. Dies ist vor allem am Arbeitsplatz zu bedenken.

Verhaltensregeln

  1. Akzeptieren Sie keine Freundschaftsanfrage ohne Prüfung. Erkundigen Sie sich über Ihnen unbekannte Personen genau (etwa im Internet, bei gemeinsamen Kontakten). Widersprüchliche Aussagen im Profil (Wohnort, Kontakte, Firma etc.) sind verdächtig.
  2. Überprüfen Sie regelmäßig Ihre Privatsphäre-Einstellungen und checken Sie, für wen die Inhalte Ihres Profils sichtbar sind. Seien Sie vorsichtig bei der Auswahl der Informationen, die Sie auf Ihrem Profil preisgeben.
  3. Sensible Daten (Kontodaten, firmeninterne Informationen) sind niemals über soziale Netzwerke weiterzugeben.
Textquelle: https://www.sicher-im-netz.de/sites/default/files/download/leitfaden_social_engineering.pdf

Weiterführende Informationen und Links

Auf der DATEV-Webseite finden Sie als Beispiel die Social Media Guidelines von DATEV. Pfad: www.datev.de > Über DATEV > DATEV im Web > Social Media Guidelines 

Gefahren durch Social Networks für Unternehmen und Mitarbeiter werden hier kurz dargestellt: www.it-sicherheit-in-der-wirtschaft.de > Themen > Soziale Netzwerke

Weitere Möglichkeiten des Missbrauchs sozialer Netzwerke beschreibt das BSI. Pfad: www.bsi.bund.de > Themen > IT-Grundschutz-Kataloge > Inhalt > Gefährdungskataloge > G 5 Vorsätzliche Handlungen > G 5.158 Missbrauch sozialer Netzwerke

Informationen von DSiN: www.sicher-im-netz.de > Für Verbraucher > E-Mails und Soziale Netzwerke

Tipps für Unternehmen des Bitkom zum Thema Social Media Guidelines können Sie hier downloaden: www.bitkom.org > Publikationen > Leitfaden > Social Media Guidelines – Tipps für Unternehmen (Suchfunktion vorhanden)

Einen Artikel zum Thema Social Media im Unternehmen finden Sie unter www.dsin-blog.de > Themen > News & Trends > »Social Media im Unternehmen – Fluch oder Segen?«

Dem technischen Umgang mit Social Media im Unternehmen widmet sich ein Beitrag auf zdnet.de: »Social Engineering: Angriff auf Mitarbeiter-Konten«