Trickbetrug im Netz: Wie sich Cyberkriminelle durch Social Engineering Zugang zum Unternehmensnetzwerk verschaffen

July 27, 2016
Trickbetrug im Netz: Wie sich Cyberkriminelle durch Social Engineering Zugang zum Unternehmensnetzwerk verschaffen

Beitrag von Jörg Knippschild, Senior Manager Solution Architects, VMware

JoergKnippschild_Portrait_02-nnn-201x300Der Mensch ist das schwächste Glied in der IT-Sicherheitskette – sehen Sie das auch so? Genau dieser Tatsache bin ich in einem meiner vorherigen Blogbeiträge auf den Grund gegangen. Mein Fazit: Was zunächst unwahrscheinlich klingt, bewahrheitet sich aber leider nur allzu oft. Denn immer mehr Mitarbeiter sind erschreckend schlecht auf Angriffe durch das sogenannte „Social Engineering“  vorbereitet.

Doch was genau versteht man unter Social Engineering und wie können IT-Verantwortliche ihr Unternehmen davor schützen?

Unter Social Engineering versteht man eine weitverbreitete Vorgehensweise Cyberkrimineller, bei der die Schwachstelle Mensch in einem Unternehmen oder einer Institution ausgenutzt wird. Nicht selten werden dabei Mitarbeiter eines Unternehmens mit einem Trick überredet, die normalen Sicherheitsvorkehrungen zu umgehen und sensible Informationen preiszugeben.

Die Vorgehensweisen der Angreifer sind nichts anderes als Trickbetrug im Netz. Um sich Zugang zum Netzwerk eines Unternehmens zu verschaffen, versuchen Cyberkriminelle zunächst, das Vertrauen eines autorisierten Nutzers zu gewinnen um diesen anschließend dazu zu verleiten, ihnen vertrauliche Informationen beispielsweise über die Sicherheit der Unternehmensinfrastruktur zu geben. Um an diese Daten zu kommen, schrecken die Angreifer vor wenig zurück: Sie kontaktieren beispielsweise einen legitimen Nutzer per Telefon und bringen ein angeblich dringendes Problem zur Sprache, das nur durch den sofortigen Zugriff auf das Netzwerk behoben werden kann. Genauso oft wie auf die Hilfsbereitschaft von Mitarbeitern setzen Social Engineers dabei auf deren Schwächen wie beispielsweise Neugier, Unachtsamkeit und Beeinflussbarkeit. Und das funktioniert erstaunlich gut: Im Zuge einer Studie, durchgeführt von Forschern aus Deutschland und Luxemburg verriet knapp die Hälfte aller Passanten den Interviewern ihr persönliches Passwort, wenn sie direkt davor eine Tafel Schokolade bekommen hatten. Das blitzschnelle Vertrauen zu den fremden Personen war wohl auch abhängig von der Wichtigkeit des Passworts und welche Daten dieses sichern soll.

Sie fragen sich nun, wie Sie sich und vor allem Ihre Mitarbeiter vor den psychologischen Tricks der Betrüger schützen können?

Wichtig ist, dass sich alle Mitarbeiter eines Unternehmens darüber bewusst werden, dass sie im Besitz von vertraulichen Informationen sind, die Außenstehende womöglich interessieren könnten und ihr Verhalten entsprechend anpassen. Bereits kleine Veränderungen in der täglichen Routine können erheblich zum Schutz der unternehmensinternen Informationen beitragen.

5 Tipps für den sicheren und verantwortungsvollen Umgang mit Unternehmensdaten
  • Vorsicht in sozialen Netzwerken

Wir alle nutzen sie und geben viele Informationen über unseren Arbeitsplatz und unser Privatleben darin preis: die sozialen Medien. Oft spähen Täter ihre Opfer vor einer Social-Engineering-Attacke über Plattformen wie Facebook, LinkedIn und Co akribisch aus. Je mehr eine Person über sich im Internet verrät, desto gefährdeter ist sie. Doch es könnte so einfach sein, sich gegen derartige Attacken zu schützen: Informationen, die den Arbeitgeber betreffen, sollten Mitarbeiter nur in Absprache mit der Geschäftsleitung im Internet veröffentlichen. Bei der Veröffentlichung von privaten Informationen sollte der Nutzer die Privatsphäre-Einstellungen der Social-Media-Portale nutzen und nur ihm tatsächlich bekannten Personen den Zugriff auf persönliche Informationen erlauben.

  • Vorsicht bei E-Mails und Dateianhängen

E-Mails mit kryptischen Betreffzeilen, die vielleicht zusätzlich noch von unbekannten Personen verschickt wurden, sollten generell nicht geöffnet werden. Gleiches gilt für Dateianhänge, bei denen Sie nicht genau wissen, wo diese herkommen. Cyberkriminelle schleusen nicht selten Schadsoftware mit Hilfe solcher E-Mails und gefährliche Dateianhänge ins Unternehmensnetzwerk.

  • Gesundes Misstrauen gegenüber Fremden

Insbesondere in Großunternehmen, in denen nicht jeder Mitarbeiter jeden Kollegen persönlich kennt, kommt es vor, dass sich potenzielle Angreifer im E-Mail- oder Telefonverkehr als neue Mitarbeiter oder Dienstleister ausgeben und auf diese Weise im Unternehmen Informationen ausspähen und sich Zugangsmöglichkeiten verschaffen. Deshalb ist es umso wichtiger, gegenüber fremden Personen stets ein gesundes Misstrauen zu pflegen. Bevor an sie vertrauliche Informationen herausgegeben werden, sollte die Identität der Person geklärt werden.

  • Keine vertraulichen Gespräche an öffentlichen Orten

Wer regelmäßig mit öffentlichen Verkehrsmitteln unterwegs ist, dem sind die Vieltelefonierer bekannt: Mit lauter Stimme führen sie Gespräche mit Kollegen, die ihr unmittelbares Umfeld wenig bis gar nicht interessieren. Dass sie dabei den Umstehenden dadurch auch teilweise sensible Informationen über ihr Unternehmen und beschäftigte Personen preisgeben, ist ihnen nicht bewusst.

  • Bewusstsein für mögliche Attacken schaffen

Dass Cyber-Angreifer mit Social Engineering oft sehr erfolgreich sind, zeigt die Tatsache, dass noch lange nicht alle Attacken verhindert oder abgewehrt werden können. Es ist daher umso wichtiger, das Bewusstsein der Mitarbeiter für aus dem Social Engineering entstehende Gefahren zu schärfen, indem man sie regelmäßig zu datenschutzrechtlichen Themen schult.

Die Anzahl sensibler und vertraulicher Daten, die auf unzähligen Servern und Festplatten gespeichert werden steigt nahezu minütlich. Auch die Angriffsflächen, über welche Cyberkriminelle ihre Opfer erreichen, werden immer größer. Unternehmen können es sich daher nicht leisten, allein auf herkömmliche Verteidigung in Form von installierten Sicherheitsvorkehrungen und Anti-Viren-Programmen zu setzen, um Social-Engineering-Attacken zu stoppen. Viele Organisationen verwenden neuartige Tools, welche URLs und Anhänge beobachten und gleichzeitig Echtzeit-Bedrohungsanalysen an die IT-Administratoren weitergeben. Doch das alles schützt noch lange nicht vollständig vor Cyberattacken und vor allem nicht gegen jene, bei denen sich die Angreifer Social Engineering zu Nutze machen. Denn trotz der immer wieder kehrenden Warnung vor scheinbar harmlos aussehenden Phishing-Mails zählen sie mitunter zu den gängigsten Methoden des Social Engineering. Der einzige Weg, wie sich die Zahl solcher Angriffe verringern lässt ist die eben genannte Schulung und Bewusstseinsmachung der Mitarbeiter für derart sensible, datenschutzbetreffende Themen.

Sind Sie auch der Meinung, dass Social Engineering eine der größten Gefahren für jedes Sicherheitssystem darstellt? Wie bereiten Sie Ihre Mitarbeiter auf mögliche Attacken vor und schützen so Ihr Unternehmen?

Mehr zum Thema IT-Sicherheit finden Sie auch auf meinem Twitter-Kanal.


 
Related Posts
 

Cyber-Angriffe nehmen weltweit zu und Cyber-Security ist daher eine der …

Read More

Als IoT-Experte bin ich täglich mit Unternehmen in Kontakt, die gerne entsprechende Projekte umsetzen möchten und fantastische Visionen verfolgen. Doch während in den USA die Innovationen kräftig vorangetrieben werden, scheint Deutschland bei IoT-Projekten stets mit angezogener Handbremse zu fahren.

Das Jahr 2016 war von zahlreichen Schlagzeilen mit Cyberangriffen geprägt. Auch 2017 werden die kriminellen Angreifer nicht davor zurückschrecken nach Schlupflöchern zu suchen, um in die Computer, Smartphones und Unternehmensnetzwerke ihrer Opfer einzudringen. Welche Gefahren sind Unternehmen 2017 ausgesetzt?

12345passwort – aus dieser Kombination sollte kein Passwort bestehen. Und doch sind die meisten Passwörter heutzutageähnlich schlecht. Was sind die gängigsten Methoden der Hacker, um Kennwörter zu knacken?

 
 
Blog Archive