Social Engineering – Schwachstelle Mensch

Social Engineering: Schwachstelle Mensch
@thinkstock

Der Mensch ist eines der wichtigsten und meistunterschätzten IT- und Cyber-Security-Risiken im Unternehmensalltag. Durch Unvorsichtigkeit und Hilfsbereitschaft entstehen Sicherheitslücken, die zum Einfallstor für die Gefahren und manipulativen Methoden des sogenannten Social Engineering werden.

Social Engineering nutzt menschliche Schwächen aus, um zum Beispiel Passwörter zu entlocken oder Malware und Attacken via Erpressungstrojaner zu lancieren. Unternehmensserver und Rechner können durch Manipulation in Botnetze integriert und für sogenannte DDoS-Attacken verwendet werden.

Weltweit koordinierte Angriffe

Die Angreifer operieren mittlerweile weltweit. Hinter manchen Attacken stehen große kriminelle Organisationen, Wettbewerber des Unternehmens oder sogar feindlich gesinnte Staaten. Cyberkriminelle und Social Engineers sind sehr einfallsreich, wenn es darum geht, Zugang zu Unternehmensinformationen,  Datenbanken oder IT-Systemen zu erlangen. Sie manipulieren Mitarbeiter – häufig im ersten Schritt am Telefon – und verstehen es, Vertrauen, Hilfsbereitschaft oder Respekt vor Autoritäten für sich auszunutzen.

Bekannte Strategien

Als Assistentin oder Sekretärin gehören Sie zu den bevorzugten Zielen solcher Angriffe. Bei Ihnen laufen die Fäden zusammen und Sie sind oft die erste Kontaktstelle für Externe – sowohl per Telefon als auch per E-Mail. Cyberkriminelle suchen sich einen Weg ins Unternehmen, indem sie

  • einen angeblichen zeitlichen oder sachlichen Notstand erfinden, bei dem ein schnelles Handeln gefragt ist,
  • einen Verweis auf eine angebliche Verpflichtung des Opfers erbringen,
  • das Gegenüber durch ein sehr sympathisches, seriöses oder verbindliches Auftreten für sich einnehmen oder eine Autoritätsbeziehung gegenüber dem Opfer erfinden.

Im Namen des Chefs

Eine Methode – von der bisher eher große Konzerne betroffen waren – ist das CEO-Fraud. Dabei geben sich Täter, nachdem sie alle möglichen Informationen über das Unternehmen gesammelt haben, beispielsweise als Geschäftsführer (CEO) oder Prokurist des Unternehmens aus und veranlassen einen Mitarbeiter zum Transfer eines größeren Geldbetrags ins Ausland. Die Täter nutzen Auskünfte, die Unternehmen in Wirtschaftsberichten, im Handelsregister, auf ihrer Homepage oder in Werbebroschüren veröffentlichen. Sie legen ihr Augenmerk auf Angaben zu Geschäftspartnern und künftigen Investments. Für sie sind besonders E-Mail-Erreichbarkeiten interessant, so können die Täter die Systematik von Erreichbarkeiten herleiten und Absenderadressen fälschen.

Fundgrube Social Media

In einer Zeit, in der viele Menschen freiwillig intime Informationen auf Facebook und Co. veröffentlichen, ist es leicht, emotionale Brücken zu Mitarbeitern zu  bauen und sich so ihr Vertrauen zu erschleichen. Wenn Sie zum Beispiel Ihre Facebook-Privatsphäre nicht ausreichend schützen oder die WhatsApp-Sicherheit nicht ernst nehmen, bieten Sie Cyberkriminellen ein ideales Einfallstor ins Unternehmen, durch das diese Ihre Profile ausspähen und maßgeschneiderte Angriffsstrategien und -stories entwickeln. Sie können beispielsweise E-Mails oder Messenger-Nachrichten mit Links zu Trojanern, Malware, Ransomware oder auch Adware und Spyware erhalten. Ein Klick auf den Link kann das Netzwerk infizieren oder verschlüsseln – schon ist die Katastrophe nah.

„Bitte überweisen …!“

In anderen Fällen nehmen die Täter mit dem „ausgeforschten“ Mitarbeiter Kontakt auf und geben sich als leitende Angestellte, Geschäftsführer oder  Handelspartner aus. Dabei fordern sie zum Beispiel unter Hinweis auf eine angebliche Unternehmensübernahme oder geänderte Kontoverbindungen den Transfer eines größeren Geldbetrags auf Konten in China, Hongkong oder osteuropäischen Staaten. Die Kontaktaufnahme erfolgt in der Regel über E-Mail oder Telefon, wobei E-Mail-Adressen verfälscht und Telefonnummern verschleiert werden. Die Täter weisen auf eine angebliche firmeninterne  Verschwiegenheitspflicht hin, um die frühe Entdeckung des Betrugs zu verhindern. Mit dieser Masche konnten Kriminelle bereits mehrere Millionen Euro mit zum Teil gravierenden Folgen für die betroffenen Unternehmen erbeuten.

Die Polizei rät dazu:

Als Sekretärin oder Assistentin haben Sie einige Möglichkeiten, um Ihr Unternehmen und Ihre Kollegen vor solchen Angriffen zu schützen:

  • Wenden Sie sich bei Auffälligkeiten und Fragen an die örtlichen Polizeidienststellen oder die Landeskriminalämter Ihres Bundeslandes.
  • Sensibilisieren Sie Ihren Chef, sollte er die Risiken noch nicht erkannt haben.
  • Achten Sie darauf, welche Informationen über Ihr Unternehmen öffentlich zugänglich sind bzw. wo und was Mitarbeiter im Zusammenhang mit Ihrem Unternehmen publizieren.
  • Führen Sie klare Abwesenheitsregelungen und interne Kontrollmechanismen ein.
  • Sensibilisieren Sie Ihre Kollegen hinsichtlich des beschriebenen Betrugsphänomens. Bei ungewöhnlichen Zahlungsanweisungen sollten – vor Veranlassung der Zahlung – folgende Schritte durchgeführt werden:
    • Überprüfen Sie den E-Mail-Absender und die korrekte Schreibweise.
    • Verifizieren Sie die Zahlungsaufforderung über einen Rückruf oder eine schriftliche Rückfrage beim Auftraggeber und nehmen Sie Kontakt mit der Geschäftsleitung auf.
  • Bieten Sie den Mitarbeitern regelmäßige Schulungen zu den Themen Social Engineering und Human Hacking an.

Erpresser auf dem Vormarsch

Unternehmen sind aktuell vermehrt das Ziel von Cyberkriminellen, die sogenannte Ransomware (Erpresser-Software) über falsche Online-Bewerbungen verbreiten. Die betroffenen Unternehmen erhalten E-Mails von angeblichen Bewerbern, die professionell aussehen und in gutem Deutsch verfasst sind. Die kriminellen „Bewerber“ schreiben die Geschäftsführung, deren Vorzimmer oder die Personalabteilung direkt an. Die angeblichen Bewerber bieten weitere Informationen zu ihrer Person über eine in der E-Mail enthaltene „Dropbox-Verknüpfung“ an. Beim Betätigen dieses Links installiert sich eine Schadsoftware,
die unmittelbar mit der Verschlüsselung der Firmendaten beginnt. Zusätzlich wird ein „Erpresserschreiben“ mit dem Titel: „Your_files_are_encrypted.
html“ heruntergeladen. Anschließend fordern die Erpresser zur Entschlüsselung der Daten ein Lösegeld in der elektronischen Währung „Bitcoin“. Im Gegenzug
sichern die Erpresser die Entschlüsselung zu. Geschehen ist dies bisher in keinem bekannten Fall.

Die Polizei empfiehlt hier

  • Prüfen Sie eingehende E-Mails sorgfältig, besonders wenn Sie über einen Link zum Download von Unterlagen unbekannter Quelle aufgefordert werden.
  • Überprüfen Sie Links hinsichtlich der tatsächlichen Zieladresse, indem Sie mit dem Zeiger der Maus über den Link streifen („Mouseover“), aber nicht klicken.
  • Gehen Sie nicht auf die Forderung der Kriminellen ein.
  • Erstatten Sie Anzeige bei der nächsten Polizeidienststelle.
  • Stellen Sie Ihre Daten wieder her, ggf. mithilfe eines IT-Spezialisten.
  • Sichern Sie Ihr System mit Schutzsoftware.

Der Autor Klaus Kapinos ist ehemaliger Beamter des Landeskriminalamts Schleswig-Holstein und Pressesprecher der Allianz für Sicherheit in der Wirtschaft Norddeutschland.

Download der Woche: Sicherheitshinweise im Unternehmen (Musterbrief)

IT-Sicherheit ist in allen Firmen ein großes Thema. Nutzen Sie diese Vorlage für Unternehmensrichtlinien zur Softwarenutzung.
Laden Sie sich hier das kostenlose Dokument herunter:

Musterbrief: Sicherheitshinweise im Unternehmen Musterbrief: Sicherheitshinweise im Unternehmen