Das größte Einallstor: der Mensch
Hacker haben es längst nicht mehr nur auf die IT-Infrastruktur abgesehen. Im Mittelpunkt ihrer Angriffe stehen mittlerweile die Mitarbeiter von Unternehmen – Social Engineering heißt diese Methode. Wir erklären, warum sie so effektiv ist, und wie Sie sich davor schützen können.
Firewall, Anti-Malware-Software, Patch Management: Wer diese oder andere unerlässliche Systeme und Maßnahmen in seinem Unternehmen implementiert hat, hält sein Business vermutlich für gut geschützt gegen Hackerangriffe. Doch während der Fokus auf Viren, Trojaner und Co. liegt, wird die größte Schwachstelle gerne übersehen – der Mensch. Cyberkriminelle haben sie längt erkannt und ein eigenes „Business“ entwickelt: Social Engineering. Dabei wird nicht die IT-Infrastruktur angegriffen, sondern der Mensch selbst – vom Lagermitarbeiter bis zum CEO sind alle potenzielle Opfer.
Profis manipulieren die Psyche
„Amateure hacken Systeme, Profis hacken Menschen“, hat Bruce Schneier, US-Experte für Cybersicherheit einst treffend festgestellt. Denn mit ein wenig psychologischem Know-how lassen sich Menschen leichter manipulieren als IT-Systeme. Dafür nutzen die Hacker menschliche Urinstinkte wie Neugier, Vertrauen, Angst oder Respekt vor Autorität aus – ähnlich wie beim bekannten Enkeltrick oder einem Trickbetrug an der Haustür. (Wie einfach das geht, zeigt dieses Video.) Das Ziel ist dabei immer dasselbe: sensible Daten abzugreifen.
CEO-Fraud: Social Engineering und der Betrug vom Chef
Ein Beispiel für Social Engineering, das aktuell besonders beliebt bei Hackern ist, nennt sich CEO Fraud: Dabei wird ein Mitarbeiter vom vermeintlichen Vorgesetzten per E-Mail angewiesen, große Geldsummen zu überweisen. Eine andere Methode ist der „Quid pro quo“-Angriff. Hierbei gibt sich der Hacker meist telefonisch oder per E-Mail als IT-Administrator aus und bittet einen Mitarbeiter um Zugangsdaten, Dateien, etc., um ein vermeintliches technisches Problem zu lösen. „Vertrauen ist die Schwachstelle, die durch Social Engineering ausgenutzt wird“, hat es der ehemalige Hacker Kevin Mitnick auf den Punkt gebracht.
5 Tipps zum Schutz vor Social Engineering
Um sich vor Social Engineeringzu schützen, bedarf es gewisser Strategien, denn: „Der Mensch ist das einzige System, das nicht gepatcht werden kann“, sagt Kevin Mitnick. Diese 5 Tipps helfen, um die Sicherheitslücke „Mensch“ zu schließen:
1.
Weitergabe von Informationen
Die oberste Regel lautet: Geben Sie keine internen oder vertraulichen Informationen wie Passwörter, Kunden- und Mitarbeiterdaten, etc. weiter – weder per Telefon noch per E-Mail. Eine Möglichkeit ist übrigens, intern mündlich (!) ein monatlich wechselndes Codewort zu vereinbaren, das es zum Anweisen von Transaktionen braucht. Wird das Codewort nicht genannt, wissen Sie sofort, dass man Ihnen eine Falle stellen will.
2.
Lieber einmal mehr nachfragen
Bei ungewöhnlichen Anfragen sollten Sie die Identität und die Berechtigung des Fragenden aufnehmen und nachprüfen. Bis diese nicht sichergestellt ist, gilt Punkt 1.
3.
Nicht anklicken!
Kommt Ihnen der Inhalt einer E-Mail verdächtig vor, laden Sie keine Anhänge runter und öffnen Sie auch nicht mitgeschickte Links. Es könnte sich um eine Pishing-Mail handeln!
4.
Hover-Check
Enthält die eingegangene E-Mail einen Link, fahren Sie generell immer mit der Maus über diesen (das nennt sich auch „hovern“). In der Regel wird dabei unten in der Statusleiste am unteren Fensterrand das Ziel des Links angezeigt. Dies ist der URL, der durch den Klick auf den Link aufgerufen werden würde. Kontrollieren Sie diesen grundsätzlich, bevor Sie klicken. Kommt die Adresse Ihnen merkwürdig vor, gilt Punkt 3.
5.
Security-Schulung
Sie können die Sicherheits-Lücke Mensch in Ihrem Unternehmen nicht durch einen Patch schließen, aber ein Bewusstsein für die Gefahren des Social Engineerings und vieler anderer Risiken und Gefahren sowie deren Abwehr durch Cybersecurity-Schulungen schaffen. LWsystems bietet diese Schulungen übrigens auch an. Infos dazu finden Sie hier.
Es muss nicht immer CEO-Fraud sein …
Folgende Masche des Social Engineerings funktioniert laut Sicherheitsbehörden selbst in gut informierten Unternehmen:
Vorgehen
- Hacker schicken eine präparierte E-Mail im Namen der Geschäftsführung oder des CFO an die Buchhaltung.
- In der E-Mail wird darum gebeten, alle Eingangsrechnungen der letzten vier Wochen aufzustellen.
Erstohlenes Wissen
- Angreifer erhalten eine Übersicht der gelisteten Lieferanten.
- Sie bekommen ein Gefühl für Höhe von in Rechnung gestellten Leistungen.
Angriff
- Hacker geben sich per E-Mail als Mitarbeiter eines der Lieferanten aus.
- Sie erbitten Änderung der gespeicherten Stammdaten, konkret die Änderung der Bankverbindung.
Erfolg
- Die nächste Lieferantenrechnung gehen auf das Konto der Hacker ein, bis der Betrug auffliegt.
- Dieser wird in der Regel erst bei Anmahnung offener Rechnungen durch den Lieferanten entdeckt.