Social Engineering: Sicherheitslücke Mensch

13. Februar 2020

Das Außenministerium in Österreich, den Automobil­zu­lieferer Gedia und das Kammer­gericht in Berlin verbindet auf den ersten Blick nicht viel – außer dass sie allesamt unlängst Opfer von Cyber­angriffen geworden sind. Bei der Stadt­verwaltung Potsdam schlüpften Angreifer erst im Januar durch eine Sicherheits­lücke der Server­soft­ware. Doch immer wieder nutzen Cyber­kriminelle auch menschliche Schwächen aus, um an sensible Daten zu kommen. Welche Manipulations­methoden dabei besonders verbreitet sind und wie Unter­nehmen ihre Mitarbeitenden für das sogenannte Social Engineering sensibilisieren können, erklärt Security-Experte Tobias Kippert von TÜViT.

#explore: Wie groß ist die Sicherheits­lücke Mensch als Einfallstor für Cyber­kriminelle im Vergleich zu anderen Risikofaktoren?
Tobias Kippert: Wir können uns zwar technisch best­möglich absichern. Aber am Ende müssen diese technischen Maßnahmen von Menschen korrekt bedient werden – und die agieren natur­gemäß nicht nach Null und Eins. Außer­dem kann der Mensch selbst zum Ziel eines Angriffs werden. Denn dieser ist nach wie vor eine der größten Schwach­stellen im Sicherheits­management, wie auch Statistiken immer wieder belegen.

Was versteht man unter Social Engineering?
Social Engineering steht für Manipulation mit sozialen Mitteln. Menschliche Eigenschaften wie Neugierde, Hilfsbereitschaft oder Vertrauen werden ausgenutzt, um Mitarbeitende etwa zur Preisgabe von Informationen zu verleiten, die dann für einen Angriff verwendet werden können. Ein vermeintlich harm­loser Anrufer möchte zum Beispiel einen Kollegen sprechen. Und dann ist man schnell versucht zu sagen, dass die Person wegen Krankheit momentan nicht zu erreichen oder zwei Wochen im Urlaub ist. Damit verletzt man aber gegebenen­falls nicht nur den Daten­schutz, man verrät auch einem potenziellen Einbrecher wichtige Informationen.

Social Engineering ist also nicht nur ein rein digitales Phänomen?
Tatsächlich gehen Angreifer oft auf analoger Ebene vor – wenn auch meist mit digitalen Hilfsmitteln. Sie suchen sich etwa über soziale Netzwerke wie LinkedIn oder Xing den Kollegen eines Opfers, um über diesen Informationen zu erschleichen. Jeder von uns kennt ja auch diese Phishingmails, die dazu verleiten sollen, auf einen Link zu klicken, wodurch die Kriminellen dann Anmeldedaten bei Amazon oder beim Onlinebanking abgreifen können. Die Quantität und vor allem die Qualität dieser Angriffe haben deutlich zugenommen. Die Angreifer sind professioneller geworden und suchen sich gezielter einzelne Opfer aus. Da werden beispielsweise auf Verkaufsportalen teure Produkte angeboten. Mit dem Ziel, dass der Käufer per Vorkasse Geld ins Nicht-EU-Ausland transferiert, das Produkt aber letztlich natürlich nie erhält. Die Angreifer investieren immer mehr Zeit in solche individuellen Fälle, bauen über E-Mails eine Story und Vertrauen auf, um den Käufer zur Überweisung zu bewegen. Aktuell mehren sich Fälle, bei denen die sogenannte „Emotet-Malware“ eingesetzt wird. Dabei schicken Kriminelle Betroffenen gefälschte E-Mails im Namen von tatsächlichen Bekannten oder Kollegen. Nach dem Öffnen der infizierten Anhänge oder dem Klick auf einen Link können dann erhebliche Schäden entstehen.

Was sind denn im beruflichen Umfeld weitere gängige Manipulations­methoden?
Das prominenteste Beispiel ist der „CEO-Fraud“ – die Vorstands­falle. Dabei erhält die Buchhaltung eine vermeintliche E-Mail vom Vorstand mit der Anweisung, eine hohe Summe ins Ausland zu transferieren. Und hier kommt dann wieder der Faktor Mensch ins Spiel: Aus Angst, sich mit einer Nachfrage beim Vorstand bloß­zu­stellen, tätigt man lieber die Überweisung. Ein weiterer Klassiker ist ein mit Schad­soft­ware präparierter USB-Stick, der im Büroflur oder in der Firmen­toilette „verloren“ wird. Die meisten Finder stecken den USB-Stick erst mal in ihren Rechner – aus Neugier oder um den Besitzer ausfindig zu machen. Hier fehlt bei Mitarbeitenden oft noch das Bewusst­sein, und in vielen Firmen gibt es noch nicht die nötigen Prozesse, um einen gefundenen USB-Stick zunächst sicher über­prüfen zu lassen oder den Fall zu melden.

Wie können Mitarbeitende für Social Engineering sensibilisiert werden?
Idealerweise werden entsprechende Sensibilisierungs­maßnahmen vom Management getragen und von einem Informations­sicherheits­beauftragten durchgeführt. Grundsätzlich sollten Unternehmen offen mit der potenziellen Gefahr umgehen und Mitarbeitenden auch an Beispiel­fällen mögliche Angriffs­szenarien demonstrieren. Das kann gerade bei technisch weniger versierten Angestellten für einen nachhaltigen Aha-Effekt sorgen. Diese sollen natürlich nicht künftig jede E-Mail misstrauisch beäugen, sondern vielmehr ein Sensorium für mögliche Angriffe entwickeln. Damit Mitarbeitende wissen, an wen sie sich etwa mit einer verdächtigen E-Mail wenden können, sollten entsprechende Alarmierungs­prozesse in den Unternehmen etabliert werden. Ganz wichtig: Man muss den Menschen die Scheu nehmen, einen eventuellen Sicherheits­vorfall zu melden. Sie dürfen sich auf keinen Fall als Störfaktor fühlen oder befürchten müssen, dass ein „Fehlalarm“ in irgendeiner Form auf sie zurückfällt. Hierzu braucht es unter­nehmens­seitig eine gelebte Kultur der Offenheit und eine eindeutige Haltung: Jede Meldung ist willkommen und wertvoll, unabhängig davon, ob sich der Verdacht am Ende erhärtet. Darüber hinaus muss eine Basis des Vertrauens aufgebaut werden, da es auch Meldungen geben kann, die mit Diskretion zu behandeln sind.

Zusätzlich zu sogenannten Penetrations­tests prüfen Sie neben der Sicherheit der IT-Systeme die Anfälligkeit gegen Social Engineering in Unternehmen. Wie gehen Sie dabei vor?
Unsere Experten führen beispiels­weise fingierte Telefonate, schicken Phishingmails und verteilen präparierte USB-Sticks. Um das Sicherheits­bewusst­sein zu testen, beschränken sie sich dabei nicht auf Methoden, die bei Kriminellen aktuell besonders populär und daher den Mitarbeitenden bekannt sind. Anschließend werten die Experten aus, wie oft etwa auf einen Link geklickt und der USB-Stick in den Rechner eines Finders gesteckt wurde. Diese Auswertung erfolgt natürlich anonymisiert. Es soll ja niemand an den Pranger gestellt werden, sondern vielmehr das Bewusstsein aller Mitarbeitenden gefördert werden.

Wie steht es heute um das Problembewusstsein deutscher Unternehmen für Social Engineering?
Datenschutz war bis vor einigen Jahren für viele Menschen nur im beruflichen Umfeld ein Thema und selbst dort nicht sehr ausgeprägt. Mittlerweile sind Daten­schutz und Security auch in unserem Privat­leben allgegen­wärtig geworden. Sei es, dass wir beim Arzt eine Daten­schutz­erklärung unter­schreiben oder wir die Daten auf unserem Smart­phone schützen wollen. Das hat die wünschenswerte Wirkung, dass Menschen diese private Sorge auch in den beruflichen Alltag tragen. Das berühmt-berüchtigte Post-it mit dem Zugangs­passwort unter der Tastatur finden wir bei Audits heute glücklicher­weise kaum noch. Insgesamt hat sich die Sensibilität für Social Engineering zwar verbessert, aber hier ist nach wie vor Luft nach oben. Die meisten Firmen investieren vor allem in technische Maßnahmen wie IT-Sicherheits­systeme und Zutritts­kontrollen. Das ist aber nur die erste Säule der Security und ersetzt nicht das entsprechende Sicherheits­bewusst­sein der Mitarbeitenden. Die Etablierung eines Sicherheits­beauftragten hat hier erwiesener­maßen einen positiven Effekt. Dieser kann das Thema etwa mit Einführungs­veranstaltungen für neue Mitarbeitende oder Awareness-Maßnahmen intern voranbringen. Dann wird die vermeintlich lästige Security mehr und mehr zur Selbst­verständlichkeit. Natürlich muss man Mitarbeitenden auch vermitteln, dass große Sicherheits­vor­fälle mitunter Arbeits­plätze gefährden. Jeder ist dafür verantwortlich, sein Arbeits­umfeld zu schützen – das ist eine ganz wichtige Botschaft.