1003 Unternehmen hat der Digitalverband Bitkom zum Thema Cyberkriminalität durch „Social Engineering“ befragt. Die alarmierenden Ergebnisse: In fast jedem zweiten deutschen Unternehmen kam es innerhalb eines Jahres zu Angriffen dieser Art –15 Prozent der Betriebe berichteten sogar von häufigen Attacken. Doch was steckt hinter der Masche der Cyberkriminellen und wie können Betriebe sich dagegen wappnen?
Text: Sarah Lohmann
„Social Engineering“ beschreibt eine Manipulationstechnik, die menschliche Schwächen gezielt ausnutzt, um vertrauliche Informationen zu erlangen. Hacker setzen dabei insbesondere auf Hilfsbereitschaft, Angst oder Autorität. Im Alltag kann das bedeuten, dass die angebliche Kollegin per SMS um Hilfe mit ihrem Laptop bittet oder die fiktive IT-Abteilung harmlos wirkende E-Mails zur Herausgabe von Passwörtern schickt. Laut Proofpoint, einem Cybersicherheitsunternehmen, ist Social Engineering eine der effektivsten Methoden, um sensible Daten zu erbeuten.
Die Merkmale des Social Engineerings
Wie die Angreifer dabei vorgehen, ist eine Wissenschaft für sich. Kaspersky, ein Anbieter von Sicherheitssoftware, beschreibt, dass der Angriff oft mit einer tiefergehenden Recherche beginnt, um die Geschichte glaubhaft zu machen. Vertrauen wird gezielt manipuliert, oft begleitet von Zeitdruck – schließlich hilft man einem Kollegen in Not gern und trifft unter Stress eher risikobehaftete Entscheidungen. Social Engineering bedient sich dabei weiterhin emotionaler Druckmittel: Es wird Angst geschürt, etwa vor Jobverlust oder dem Zerbrechen des kollegialen Zusammenhalts, um die üblichen Sicherheitsregeln zu unterlaufen.
Das sogenannte Phishing, etwa durch gefälschte E-Mails, SMS oder manipulierte Websites, ist eng mit Social Engineering verbunden. Beide Methoden setzen auf Täuschung und psychologische Manipulation, indem sie menschliche Eigenschaften mit dem Ziel der Informationsbeschaffung ausnutzen. Während Phishing oft allgemeiner angelegt ist, kommen beim Social Engineering häufig komplexere Strategien zum Einsatz.
Wachsame Augen für neue Methoden
Kaspersky rät, sich stets über aktuelle Cyberkriminalitätsmethoden zu informieren. Besonders tückisch ist das unter anderem das „Spear-Phishing“, bei dem Hacker gezielt eine bestimmte Person angreifen und durch persönliche Informationen täuschen. Diese sammeln sie beispielsweise in den Sozialen Netzwerken oder durch die Überwachung der Online-Aktivitäten.
Auch das „Watering Hole“ gehört zu den gefährlicheren Attacken: Hier wird eine oft besuchte Website, etwa die Menükarte eines Restaurants, mit Schadsoftware infiziert. Besucht ein Mitarbeiter diese Website, wird sein Computer kompromittiert. Auch „Vishing“ (Voice Phishing) nimmt zu: Hacker geben sich am Telefon als Vorgesetzte oder IT-Mitarbeiter aus, um vertrauliche Daten zu erbeuten.
Besonders in großen Unternehmen birgt das Risiken, da Mitarbeiterinnen und Mitarbeiter die Stimme einer selten gesprochenen Person nicht immer erkennen. Laut einem Info-Blatt des Bundesamtes für Verfassungsschutz (BfV) kann Social Engineering sogar in Form persönlicher Treffen, beispielsweise im Rahmen von Messen oder auf Dienstreisen, vorkommen oder durch das Auslegen von Ködern. Ein USB-Stick kann ein solcher sein. Mit dem Aufkommen der Künstlichen Intelligenz (KI) sind Social-Engineering-Angriffe noch raffinierter geworden. Das BfV warnt vor sogenannten Deepfakes. Dabei werden manipulierte Ton- und Videodateien entwickelt.
Vier Tipps zum Schutz
Laut des Digitalverbandes Bitkom tragen vier Säulen maßgeblich dazu bei, um Unternehmen besser vor Social Engineering zu schützen. Das ist auch notwendig, denn laut Proofpoint stecke diese Form der Manipulation hinter 98 Prozent aller Cyber-Angriffe.
- Sensibilisierung: Regelmäßige Schulungen sollen den Mitarbeiterinnen und Mitarbeitern helfen, verdächtige Nachrichten oder Anfragen zu erkennen. Die Initiative „Deutschland sicher im Netz“ (DsiN) des Bundesinnenministeriums empfiehlt, ein „gesundes Misstrauen“ zu fördern. Arbeitnehmer sollten keine Abkürzungen im Dienstweg wählen – auch nicht bei scheinbar dringenden Anfragen. Zu den Vorsichtsmaßnahmen zählt das sorgfältige Prüfen von E-Mail-Absendern und das Hinterfragen der Nachricht. Bestehen Zweifel hinsichtlich der Plausibilität, sollten E-Mails nicht geöffnet, Anhänge nicht heruntergeladen und Links nicht angeklickt werden.
- Sichere Prozesse: Unternehmen sollten klar definieren, welche Informationen über welche Kommunikationskanäle geteilt werden dürfen und welche Daten, wie beispielsweise Passwörter, tabu sind. Doppelte Sicherheitsmechanismen, etwa die Überprüfung sensibler Entscheidungen durch mindestens zwei Personen, erhöhen den Schutz.
- Multi-Faktor-Authentifizierung: Zusätzliche Sicherheitsfaktoren neben dem Passwort erschweren unbefugten Zugriff. Hierfür können zum Beispiel einmalig generierte Codes an die hinterlegte Telefonnummer geschickt werden. Auch ein sicheres Passwort spielt eine zentrale Rolle, denn einfache Kombinationen wie „1234!“ bieten keinerlei Schutz.
- Moderne IT-Sicherheitssoftware: Spam-Filter und Anti-Phishing-Software wehren einfache Angriffe ab. Komplexere Bedrohungen können durch KI-basierte Systeme oder Anomalie-Erkennungstechnologien aufgespürt werden.
Schulungen fürs Personal
Der BfV rät außerdem, auf der Unternehmenswebsite auf die Nennung von Namen zu verzichten und möglichst generische E-Mail-Adressen wie info@unternehmen.de zu verwenden. Gleiches gilt für Stellenanzeigen – nur so viele Informationen wie nötig sollten darin enthalten sein.
Über den beruflichen Kontext hinausgehend kann es sinnvoll sein, Arbeitnehmer hinsichtlich der Gefahren im Umgang mit Sozialen Netzwerken aufzuklären, das ist schließlich mit eine der Hautanlaufstellen für die Informationsbeschaffung, wenn komplexere Social-Engineering-Angriffe vorbereitet werden. Am Ende bleibt der Mensch das schwächste Glied im Sicherheitsnetz. Hier muss der Schutz ansetzen – vor allem durch gezielte Schulungen.
Fotos: Adobe Stock, Midjourney
