Social Engineering hat sich zu einer der grössten Bedrohungen im Bereich der Informationssicherheit entwickelt. Angreifer nutzen dabei psychologische Manipulationstechniken, um Mitarbeitende dazu zu bringen, sicherheitsrelevante Informationen preiszugeben oder ihnen unbewusst Zugang zu gewähren. Während Unternehmen zunehmend in technische Schutzmassnahmen wie Firewalls, Verschlüsselung und Authentifizierungssysteme investieren, wird eine erhebliche Gefahr oft übersehen: die Schwachstelle Mensch. Diese Lücke zu schliessen ist unabdingbar und gelingt mit entsprechender Sensibilisierung der Mitarbeitenden.
Social Engineering: Einfach und oft erfolgreich
Angreifer haben es in der Regel immer auf Informationen abgesehen. Um an ihr Ziel zu kommen, können sie versuchen, technische Sicherheitsmassnahmen zu knacken. Das ist aufwendig und kann Spuren hinterlassen. Einfacher, erfolgreicher und effizienter ist es hingegen, via Schwachstelle Mensch an Informationen zu gelangen. Die Angreifer profitieren von der Hilfsbereitschaft der Menschen und davon, dass sie auf Autorität, Dringlichkeit oder Neugier oft unachtsam und unkritisch reagieren.
In Zeiten von Laptop, Smartphone & Co. liegt es auf der Hand, dass man Social-Engineering-Angriffe insbesondere im digitalen Raum verortet. Phishing, die Beschaffung von Informationen mittels gefälschter E-Mails, Telefon, SMS- oder Whatsapp-Nachrichten, ist tatsächlich sehr stark verbreitet und im Bewusstsein der Öffentlichkeit angekommen. Sensibilisierungsmassnahmen gegen Phishing sind daher in Unternehmen glücklicherweise häufig anzutreffen. Dass es aber auch andere, sehr effektive Angriffsmöglichkeiten gibt, wird gerne vergessen. Zum Vorteil der Angreifer.
Angriffsmethoden abseits von Phishing
Unternehmen sollten neben Computer-based Social Engineering wie Phishing deshalb auch die folgenden Human-based Social Engineering-Angriffsmethoden kennen, um ihre Mitarbeitenden umfassend vor Social Engineering zu schützen:
Tailgating: Das unbefugte Betreten von gesicherten Bereichen. Meistens wird dabei die Höflichkeit von Mitarbeitenden (Türe aufhalten, Weg zeigen etc.) oder eine Unachtsamkeit (unverschlossene Türen, Zugänge) ausgenutzt.
Pretexting: Angreifer täuschen eine falsche Identität vor und geben sich zum Beispiel als Lieferant, Technikerin oder Reinigungskraft aus, um in das Gebäude und spezielle Räume zu gelangen. Oder sie treten als Angestellte der Müllabfuhr oder eines Recyclingunternehmens in Erscheinung, um mittels Durchwühlen der Abfallcontainer einer Firma auf direktem Wege an Informationen zu gelangen (sog. Dumpster Diving).
Impersonation: Angreifer geben sich als neue Mitarbeitende, als IT-Teammitglied, als Besucherin, Vertreter oder als Mitarbeitende einer als seriös geltenden Firma aus, um an sensible Informationen zu gelangen. Oft erfindet der Angreifer dabei ein Problem (oder verursacht eines) und tritt als Retter in der Not auf, der das Problem dann «löst» («Rufen Sie mich an, wenn Problem xy auftaucht!»). In diesem Fall spricht man von Reverse Social Engineering.
Baiting: Hier kommen manipulierte Geräte wie zum Beispiel USB-Sticks zur Anwendung, die gezielt in der Nähe von Mitarbeitenden (auf dem Pult, in der Kantine auf dem Tisch) platziert oder als «Geschenk» abgegeben werden, um sie zum Gebrauch und damit zum Einschleusen von Schadsoftware zu verleiten. Manchmal wird hierfür auch die Bezeichnung USB-Drop verwendet.
Wie ein Social-Engineering-Angriff abläuft
Social-Engineering-Angriffe laufen in aller Regel nach einem einheitlichen Muster ab. Diesen Ablauf zu kennen, erleichtert das Verständnis von möglichen Gegenmassnahmen und führt dazu, dass Mitarbeitende für alle Phasen des Angriffs sensibilisiert werden.
In einer ersten Phase geht es um die Informationsbeschaffung. Angreifer sammeln Informationen über das Unternehmen und seine Mitarbeitenden. Dabei durchforsten sie gleichermassen Websites wie Profile auf sozialen Medien oder Berichte in den Medien oder beschaffen sich Informationen vor Ort (Wo befinden sich die Eingänge? Wo sind Kameras installiert?). Damit erhalten die Angreifer bereits ein sehr gutes Bild des Unternehmens und eruieren mögliche Schwachstellen. Die zweite Phase ist geprägt von externen Zugriffsversuchen: Die Angreifer versuchen ihr Glück mit Hacking, Phishing, Anrufen.
In vielen Fällen ist der Angriff leider bereits nach diesen zwei Phasen erfolgreich, weil Mitarbeitende für diese externen Zugriffsversuche nicht sensibilisiert sind. Ist die zweite Phase nicht von Erfolg gekrönt, wird versucht, sich in der dritten Phase Zugang zum Gebäude verschaffen. Dabei kommen die beschriebenen Human-based-Angriffsmethoden zum Zug. Mit den so beschafften Informationen erfolgt dann in der vierten Phase der in Phase zwei noch erfolglose externe Zugriff.
Gezielte Gegenmassnahmen einleiten
Unternehmen kommen nicht darum herum, sich intensiv mit Social-Engineering-Angriffen zu befassen, gezielte Gegenmassnahmen zu ergreifen und deren Wirksamkeit regelmässig zu prüfen. Für jede der beschriebenen Angriffsphase sind passende Massnahmen erforderlich, wobei ein konsequentes und strukturiertes Vorgehen entscheidend ist. Halbherzige Ansätze oder unbeachtete Memos reichen nicht aus.
Vielmehr geht es darum, sich vor Augen zu führen, welche Informationen des Unternehmens für Angreifer lukrativ sind (schliesslich bedeuten Informationen Geld) und welche physischen Einheiten im Unternehmen schützenswert sind (etwa Produktionsanlagen, Rechenzentren, Räume für Forschung, Entwicklung, Technik und deren Zugänge etc.). Eine Auflistung der schützenswerten Einheiten und Informationen sollte auch den Grad der Vertraulichkeit/Wichtigkeit beinhalten.
Nach der Inventur und Klassifizierung von Informationen und physischen Einheiten müssen Schutzmassnahmen gegen Social-Engineering-Angriffe definiert und festgehalten werden, um die Resilienz gegen solche Angriffe zu stärken. Einen hohen Stellenwert nehmen in diesem Zusammenhang Zutritts- und Zugriffsberechtigungen (Access Management) ein. Wer darf in welche Räume? Wer darf welche Informationen sehen, diese bearbeiten oder weiterleiten? Der beschränkte Zugriff auf Informationen führt dazu, dass Angreifer viel mehr Aufwand leisten müssen, um an Informationen zu gelangen, weil zum Beispiel nicht jede Person aus der Finanzabteilung Zugriff auf Informationen hat, an denen die Angreifer interessiert sind.
Als nächstes geht es darum, diese Massnahmen technisch und organisatorisch umzusetzen. In Weisungen werden die Security-Richtlinien formuliert und damit für verbindlich erklärt. Sämtliche Richtlinien zielen darauf ab, den Schutz von Informationen mittels richtigem Verhalten zu stärken. Sie reichen von simplen (aber effektiven) Vorschriften wie etwa den Arbeitsplatz nur bei gesperrtem Bildschirm zu verlassen oder vertrauliche Unterlagen immer abgeschlossen aufzubewahren bis zu detaillierten Vorgaben für die geschäftliche Benutzung eigener Geräte (Laptops, Smartphones) und das Arbeiten im Home Office. Die wichtigsten Punkte sollten aber auf einem Merkblatt kurz und einprägsam zusammengefasst werden.
In neun Schritten zu mehr Sicherheit gegen Social-Engineering-Angriffe
1. Informationen über das Unternehmen und seine Mitarbeitenden im Internet überlegt und nur sehr restriktiv verbreiten.
2. Schützenswerte Einheiten und Informationen identifizieren und klassifizieren
3. Schutzmassnahmen definieren (auch technische)
4. Security-Richtlinien formulieren und erlassen.
5. Alle (!) Mitarbeitenden für Informationssicherheit sensibilisieren
6. Richtiges Verhalten regelmässig trainieren (z.B. eLearning)
7. Schutzmechanismen konsequent überprüfen (z.B mittels Social-Engineering-Test)
8. Schutzmechanismen weiterentwickeln und anpassen
9. Informationssicherheit im Unternehmen verankern und leben
Sensibilisieren, sensibilisieren
Die besten Konzepte und Weisungen nützen nichts, wenn sie im Alltag nicht Verwendung finden. Mit den Security-Richtlinien und -Vorgaben ist es wie mit dem Fitnesstraining: Nur regelmässiges Trainieren bringt Erfolg. Mitarbeitende müssen immer und immer wieder für die Bedrohung durch Social-Engineering-Angriffe sensibilisiert und das Bewusstsein dafür gestärkt (Awareness) werden. Dafür eignen sich beispielsweise E-Learning-Module. Auch Artikel in Medien, die erfolgte Angriffe auf andere, ähnliche Unternehmen behandeln und im eigenen Unternehmen thematisiert werden, sorgen für Aha-Erlebnisse. Sowieso gibt es für die Sensibilisierung von Mitarbeitenden eine Vielzahl an Möglichkeiten, die bestenfalls kombiniert werden. Wichtig ist – es kann gar nicht genug betont werden –, dass Informationssicherheit immer auf dem Radar bleibt und richtiges Verhalten regelmässig geübt wird. Und: Von den Sensibilisierungsmassnahmen sind alle Mitarbeitenden eines Unternehmens, egal welcher Hierarchiestufe, betroffen. Diese Heterogenität ist bei der Wahl der Sensibilisierungsmassnahmen immer zu berücksichtigen. Das vermeintlich schwächste Glied in einer Kette hat für Angreifer immer die grösste Anziehungskraft.
Massnahmen überprüfen und anpassen
Unternehmen entwickeln sich weiter. Die Bedrohungslage durch Angriffe verändert sich rasant. Neue Technologien wie Künstliche Intelligenz bieten viele Chancen, auch für Angreifer. Das bedeutet, dass getroffene Sicherheitsmassnahmen regelmässig überprüft und allenfalls angepasst werden müssen. Individuell ausgestaltete Social-Engineering-Überprüfungen zeigen, wie anfällig ein Unternehmen – seine Mitarbeitenden, Prozesse und physischen Sicherheitsmassnahmen – gegenüber Manipulationsversuchen tatsächlich ist. Durch solche Tests werden Sicherheitslücken erkannt, es kann identifiziert werden, wo (weiterer) Schulungsbedarf besteht und wo die physische Sicherheit verbessert werden muss.
Niederschwellige Sensibilisierungsmassnahmen, die in ein Schutzkonzept eingebettet sind, stärken die Sicherheit eines Unternehmens markant. Dabei ist die Sensibilisierung für Social-Engineering-Angriffe nur eine Möglichkeit. Wichtig ist es, Informationssicherheit im Unternehmen generell zum Thema zu machen und zu verinnerlichen. Informationssicherheit betrifft alle, jeden Tag und praktisch überall. Grund genug, Informationssicherheit und die Sensibilisierung dafür konsequent anzugehen. Lieber heute als morgen.
Die Autorin
Ardiana Krasniqi ist eine erfahrene Projektleiterin und Consultant bei
Swiss Infosec, einem führenden, unabhängigen Beratungs- und Ausbildungsunternehmen der Schweiz in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Mit ihrer umfassenden Erfahrung in Informationssicherheit und Krisenmanagement leitet sie gezielte Security-Awareness-Projekte und schafft dadurch Sensibilisierung und sicheres Verhalten bei Social-Engineering-Angriffen.
