Gehackt werden Unternehmen (und Privatleute) durch Trojaner oder andere Schadprogramme. Durch entsprechende Sicherheitsvorkehrungen wie Firewalls sowie eine korrekte Konfiguration von Netzwerkgeräten lassen sich digitale Sicherheitslücken weitgehend schließen – so jedenfalls die vorherrschende Meinung. Was allerdings häufig außer Acht gelassen wird, ist die Schwachstelle Mensch.
Social-Engineering in Unternehmen
Beim Social-Engineering (auch: “Social-Hacking”) versuchen “ Hacker” durch persönliche Beeinflussung von Mitarbeitern oder Führungskräften an Informationen zu gelangen. Dabei kann es direkt um die Daten / Infos handeln, die Hacker aus einem bestimmten Zweck erhalten wollen oder aber um solche, mit denen sich weitere Angriffe planen und durchführen lassen.
Keine eindeutige Methodik
Da es sich beim Social-Engineering nicht um eine eindeutige Methode handelt, sind Angriffe in der Praxis oft schwer zu erkennen. Das gilt vor allem für kombinierte Attacken, die verschiedene Methoden miteinander verbinden.
Beispiel für eine Social-Engineering Attacke
Kriminelle (Social-Engineers) beginnen häufig mit dem sog. Pretexting. Dieses bildet die Grundlage für die nächsten Schritte. Dabei erschaffen die Angreifer ein bis in kleinste Detail ausgearbeitetes Fake-Gebilde aus Webseiten und E-Mail Adressen, um sich als jemand anderes auszugeben. Das kann eine Behörde, eine Lieferanten-Firma oder ein IT-Unternehmen sein.
Auf Basis des durch die Lüge aufgebauten Vertrauens, werden nicht selten persönliche Gespräche vor Ort im Unternehmen vereinbart. Indem sich die Social-Engineers als Lieferant oder Service-Techniker ausgeben, bekommen sie oft Zugang zu sensiblen Unternehmensbereichen. Hier könnten Hacker beispielsweise physische Keylogger* (Keygrabber) oder Abhörwanzen installieren.
Im Falle des Service-Techniker-Betrugs wird das Pretexting gerne mit dem Platzieren von Schadsoftware verbunden, um Hilfestellung bei der Lösung des Problem anbieten zu können.
| *Was ist ein Keylogger? Keylogger zeichnen jegliche Tastatureingaben auf. Hacker gelangen so an Bankverbindungen, Passwörter oder andere sensible Daten. → Mehr Infos zu Soft- und Hardware-Keyloggern |
Weitere Social-Engineering Methoden
Der sog. Chef-Trick (CEO-Fraud) ist sehr effektiv und schnell, verlangt den Social-Engineers jedoch viel Überzeugungskraft ab. Ein Angreifer gibt sich dabei als Vorgesetzter aus und fordert die sofortige Herausgabe einer bestimmten Information (z. B. eines Passworts).
Bei der Honeypots-Methode geben sich Angreifer als wirtschaftlich oder persönlich attraktiv empfundene Personen aus. Die Kontaktaufnahme zu Führungskräften oder Mitarbeiterinnen / Mitarbeitern erfolgt häufig über Social-Media-Plattformen. Dabei versuchen die Angreifer (Honeypots) eine persönliche oder wirtschaftliche Beziehung zum Opfer aufzubauen, um es im Nachgang zu erpressen.
Eine ähnliche Angriffsmethode ist das “Quid pro Quo”. Dabei wird den Opfern eine attraktive Gegenleistung für die Herausgabe einer konkreten, internen Information angeboten.
| Passwort-Knacker: die Methoden der Hacker Was sind Trojaner, was hat es mit Malware auf sich und um was genau handelt es sich beim Phishing? Erfahren Sie mehr über die Methoden der Hacker. Zum Beitrag |
Wie kann man sich vor Social-Engineering schützen?
Den 100-prozentigen Schutz vor Social-Engineering-Angriffen gibt es nicht. Eine ausreichende Mitarbeiter-Sensibilisierung für das Thema sowie regelmäßige Schulungen minimieren allerdings das Risiko, Opfer eines Angriffs zu werden.
Das individuelle Gefahrenpotential lässt sich beispielsweise mit einem Social-Engineering-Penetrationstest aufdecken. Im Auftrag von Unternehmen nutzen IT-Security-Spezialisten dabei die gleichen Methoden, die auch Kriminelle verwenden würden, um einen Betrieb “zu hacken”.
