• Navigation
  • business
    • Digital Transformation Consulting
    • Finanzdienstleistungen
      • Emissionsprozesse
      • Sustainable Finance
      • Blockchain
      • Digital Banking
      • Regulatorik
      • Governance Risk Compliance
      • Zahlungsverkehr
    • Versicherungen
    • Automobil
  • efficiency
    • Geschäftsprozessoptimierung
      • Robotic Process Automation
    • Nachhaltigkeitsmanagement Consulting
      • Nachhaltigkeitsrisiken
      • Lieferkettensorgfaltspflichtengesetz
    • IT Security Consulting
      • Pentest
      • IT Security Check
    • Application Lifecycle Management
    • Projektmanagement
  • engineering
    • Solution Engineering
      • Agile Anwendungsentwicklung
      • Test und Qualitätssicherung
      • Anwendungsintegration
    • RSA Archer Suite | Anpassung und Implementierung
    • PINQ Case Management
    • PINQ for Charges
    • Atlassian Solution Partner
      • Atlassian Add-ons
  • company
    • Unternehmenskultur
    • Management
    • Kunden
    • Partner
    • Consileon-Gruppe
    • Nachhaltigkeit
      • CO2-Neutral
      • Corporate Governance
      • Soziales Engagement
    • Daten und Fakten
    • Standorte
  • career
    • Benefits
    • Arbeiten bei syracom
    • Ausbildung
    • Duales Studium
    • Studenten
      • Hochschulkooperationen
    • Berufseinsteiger
      • Traineeprogramm
    • Berufserfahrene
    • Stellenangebote
  • news
    • Events
    • BLOG
      • life@syracom
        • #NewWork – die Herausforderungen der modernen Arbeitswelt für Unternehmen
        • Frohe Weihnachten bei Zwerg Nase: syracom knackt die 50.000 km Marke
        • Servus Wiesn – endlich läuft’s wieder
        • Leuchtend. Dynamisch. Direkt aus unserer Mitte: Unser neuer Online Auftritt.
        • NCT-LAUFend gegen Krebs - Alleine. Zusammen!
        • Strahlende Kinderaugen zur Weihnachtszeit: syracom-Mitarbeiter erfüllen Wünsche
        • Endlich wieder vereint: Buddeln und Socializing im Rheingauer Wald
        • bee active for Zwerg Nase: syracom-Mitarbeiter sporteln für den guten Zweck
        • Kontrastprogramm Consulting: Von Weinbergen, Obstbäumen, Bienen und dem Wald
        • Auf dem Highway zur Hochschule: Win-win für Studierende und Unternehmen
        • Weihnachten: Die Zeit der Freude
        • „bee part of it“ - Mit IT-Studenten auf "Du und Du" in Sachen Berufseinstieg
        • „bee welcome“ - Prickelnde Begrüßung unserer neuen Mitarbeiter
        • Euro-Tour 2016: Von Breslau über Wiesbaden nach San Sebastián
        • Deutschlandstipendium: Die Macher von morgen begeistern
      • Atlassian Solution Partner
        • syracom-App Team Radar und wie es dazu kam
        • The last one turns off the light
        • Using Secure Login with Yubikey
        • Recap of AtlasCamp 2016
      • Banken
        • Nachhaltigkeitsdatenmanagement: die verzweifelte Suche nach dem richtigen Tool
        • Nachhaltigkeitsmanagement – ein echter Wettbewerbsvorteil
        • Nachhaltige Investitionen: Europäisches Parlament nimmt Taxonomie-Verordnung an
        • Blockchain-Technologie und Datenschutz
        • Bitcoin, Ethereum & Co
        • Blockchaininteresse weiter ungebremst
        • Zahlungsdiensterichtlinie
        • Robo Advisors - Revolution oder Evolution
        • Virtual Reality – mehr als nur Spielerei
        • Blockchaintechnologie - Potential für Disruption
        • VisualVest - neues Fintech der Union Investment
        • Der ganz normale Change-Wahnsinn
        • Nachfrage nach virtuellen Währungen weiterhin hoch
        • 6. D-A-CH Kongress für Finanzinformationen
        • Neues Derivateportal der DZ BANK
      • Digitale Transformation
      • Enterprise Integration
        • Adaptive Case Management im Cynefin Framework
        • ReConf 2016
      • IT Security
        • Cybersecurity im Homeoffice: Tipps zum Schutz vor Online-Bedrohungen
        • Das menschliche Betriebssystem hacken: Social Engineering
        • Supply Chain Attacks – Einbruch in die Software-Lieferkette
        • Hacking Tesla: Risikofaktor Mensch im Fokus
        • Cyber Security: Geben Sie Hackern keine Chancen
        • IT-Sicherheit und COVID-19: Wie sicher ist Ihr Unternehmen?
      • Prozessoptimierung
      • Solution Engineering
        • Warum Clean Architecture?
        • Digitalisierung von Geschäftsprozessen smart gelöst
      • Test und Qualitätssicherung
        • Einblicke auf dem German Testing Day
      • Zahlungsverkehr
        • Request to Pay: Was taugt der neue europäische Standard?
        • Payment-Trends der Zukunft: Chancen und Risiken
        • Instant Payments: Lösungen zur europaweiten Erreichbarkeit
        • Konsolidierung von TARGET2 und T2S – die Zeit läuft (ab?)
        • Umstellung auf ISO 20022 im Zahlungsverkehr: Hochkomplex und zeitkritisch
        • Instant Payments – eine Zahlmethode, welche die Banken zum Handeln zwingt
        • Die Konsolidierung von TARGET2 und T2S schreitet weiter voran
        • Central Liquidity Management - zentraler Bestandteil der Konsolidierung von TARGET2 und T2S
        • Instant Payment – Interoperabilität als Schlüssel zum Erfolg
        • TARGET2 - TARGET2/T2S Konsolidierung
        • Instant Payments: RT1 - erfolgreicher Start bei EBA CLEARING
        • TIPS: Geplantes Go-Live im November 2018
    • Publikationen
    • Presse
De | En
  • Home
  • news
  • BLOG
  • IT Security
  • Das menschliche Betriebssystem hacken: Social Engineering

Das menschliche Betriebssystem hacken: Social Engineering

09.Nov.2022 Matthias Kunz IT Security
Das menschliche Betriebssystem hacken: Social Engineering

Social Engineering (SE) zählt laut Bitcom [1] zu den größten zukünftigen Bedrohungen der Informationssicherheit. In den meisten Fällen ist es der Türöffner für weitere Hackerangriffe. Laut Kevin Mitnick [5], einem ehemaligen US-amerikanischen Hacker, ist Social Engineering eine der effektivsten Methoden, um an ein Passwort zu gelangen. Und es funktioniert sogar weitaus schneller als mit rein technischen Ansätzen.

Als Social Engineering bezeichnet man das Manipulieren von zwischenmenschlichen Beziehungen. Auf diese Weise sollen bestimmte Verhaltensweisen erzeugt werden, so z. B. die Herausgabe von vertrauten Informationen oder die Freigabe von Finanzmitteln. Ein guter Social Engineer ist aus psychologischer Sicht ein herausragender Beobachter menschlichen Verhaltens und von Natur aus begabt, Menschen zu lesen. Er ist sehr gut in der nonverbalen Kommunikation und erkennt schnell, was andere Menschen denken und fühlen. Ist erst einmal Vertrauen aufgebaut, wird dieser Vertrauensvorschuss ausgenutzt. Bevor ein Social Engineer allerdings eine Person anspricht, hat er bereits den Werdegang, die Bedürfnisse und die Interessen seines zukünftigen Opfers anhand von Jobportalen oder Social Media studiert.

Der Werkzeugkasten des Social Engineers

Phishing ist nach wie vor eines der wichtigsten Werkzeuge des Social Engineers. Seit der Pandemie haben viele Unternehmen ihre Mitarbeiter ins Homeoffice geschickt. Sie vertrauen auf Tools wie Microsoft Teams, Zoom oder Slack. Für Angreifer bieten die neuen Kollaborationstools perfekte Möglichkeiten, um in die Systeme von Unternehmen einzubrechen. Viele Mitarbeiter sind noch nicht vertraut mit den neuen Kommunikationskanälen, der persönliche Austausch unter den Kollegen ist seit der Pandemie stark zurückgegangen. So werden weniger schädliche E-Mails erkannt:  Phishing ist auf dem Vormarsch.

Zusätzlich bauen Social Engineers auf die zahlreichen Möglichkeiten der künstlichen Intelligenz [8]. Algorithmen sind mittlerweile in der Lage, ein Bild, ein Video oder eine Stimme so zu verändern, dass sie eine bestimmte Person nachahmen können. Sogenannte „Deep Fakes“ sind ein mächtiges Werkzeug. Mithilfe eines trainierten KI-Modells werden beispielsweise Stimmen von CEOs nachgeahmt – eine beliebte Falle, in die bereits einige Mitarbeiter getappt sind.

Einen besonders hohen Anstieg verzeichnet momentan das Lovescamming – eine Form des Internetbetrugs, bei der gefälschte Profile auf sozialen Plattformen oder Singlebörsen benutzt werden, um Opfern Verliebtheit vorzugaukeln und damit eine finanzielle Zuwendung zu ergaunern [9].

Ein erfolgreiches Beispiel für Social Engineering: der Tinder-Schwindler

Im Jahr 2019 wurden mehrere Frauen über die Dating-App "Tinder" Opfer einer vorgetäuschten Liebesbeziehung. Dies ging so weit, dass sie Unmengen an Geld an den Betrüger überwiesen. Ein klarer Fall von Social Engineering, oder besser gesagt von Authorized Push Payment (APP). Eine Masche, die einen Kontobesitzer dazu bewegt, eine Überweisung von sich aus zu autorisieren. Da Banken nur dazu verpflichtet sind, fremde autorisierte Zahlungsvorgänge zurückzuerstatten, haftet im Falle eines Social-Engineering-Angriffs der Kunde meist selbst.


Hinter dem Tinder-Schwindler steckte in Wirklichkeit der israelische Hochstapler namens Simon Leviev, [7] geboren als Shimon Yehuda Hayut. Er änderte seinen offiziellen Namen von Shimon Hayut in Simon Leviev, um vorzugeben, er sei mit Lev Avnerovich Leviev, einem israelischen Geschäftsmann, Diamantenhändler und Milliardär, verwandt.

Hayut besaß schon mit Anfang 20 mehrere gefälschte israelische Pässe, Führerscheine, Fluggenehmigungen und American-Express-Kreditkarten. Damit reiste er quer durch Europa, gab sich als verschiedene Personen aus und beutete so auch schon mehrere Frauen in Deutschland aus.

Leviev nutzte unter anderem die Dating-App Tinder, was ihm den Namen „Tinder-Schwindler“ einbrachte. Er gaukelte einen reichen und extravaganten Lebensstil vor und manipulierte Frauen so weit, dass sie ihm hohe Geldsummen überwiesen.

Wie legen Sie dem Social Engineer das Handwerk?

Seit 2016 wird versucht, den Betrug im Zahlungsverkehr zu verhindern und bessere Mechanismen zur Entschädigung der Opfer von APP-Betrug zu entwickeln. Dazu gehört die Einführung des freiwilligen "Contingent Reimbursement Models (CRM)" [3], einer Initiative der britischen Zahlungsverkehrsbranche. 2019 in Kraft getreten, soll diese Initiative Opfer von APP-Betrug entschädigen. Die unterzeichnenden Zahlungsdienstleister übernehmen dies freiwillig. Allerdings werden immer noch nicht alle Opfer von APP-Betrügen entschädigt. Viele erleiden Verluste, ohne eine Entschädigung zu erhalten.  

Es ist nicht leicht, sich gegen einen Social Engineer zu verteidigen [6]. Wie gesagt, nutzt ein Social Engineer positive Eigenschaften wie Hilfsbereitschaft, Gutgläubigkeit, Neugier oder allgemein menschliche Emotionen aus. Er führt Notsituationen herbei, in denen wir Menschen ohne weiteres Nachfragen helfen. Am besten bekämpft man SE, in dem man die Identität und Berechtigung einer Person sicherstellt, bevor man weitere Handlungen unternimmt. Im Unternehmen können bestimmte Verhaltensweisen von Mitarbeitern trainiert werden, um im Ernstfall richtig zu reagieren. syracom bietet einen Werkzeugkasten mit wertvollen Instrumenten, um Kunden vor SE zu schützen.

Der bewusste Blick nach vorne: Awareness schaffen

Wer die Methoden eines Social Engineers kennt, ist diesem nicht schutzlos ausgeliefert. Das oberste Ziel dabei: Awareness, also Bewusstsein, bei den Beteiligten zu schaffen.

syracom etabliert hierzu hohe Sicherheitsstandards für Kunden. Mit verschiedenen IT Security-Lösungen werden Bedrohungen aus dem Cyberbereich erfolgreich abgewehrt. Dabei schafft eine lokal durchgeführte Sicherheitskulturanalyse kombiniert mit gezielten Awareness-Maßnahmen Sicherheit.

Und so könnte dies in der Praxis aussehen: Mit einer einleitenden Phishing-Kampagne wird die Klickrate einzelner Abteilungen im Unternehmen analysiert. Mitarbeiter bekommen ein erstes Gefühl, wie eine Phishing-E-Mail aussieht, und sammeln wichtige Erfahrungen. Beim anschließenden IT-Sicherheitscheck wird jetzt die Ausgangssituation des Unternehmens ermittelt. Daraus werden weitere Handlungsempfehlungen abgeleitet. Meist findet parallel dazu eine fortgeschrittene Phishing-Kampagne statt. Die gewonnenen Erkenntnisse stehen dem Unternehmen anschließend in Form eines Berichtes zur Verfügung. Weitere Maßnahmen wie Schulungen vor Ort oder digital, E-Learning-Einheiten aus dem syracom-Leistungsportfolio können ergänzt werden.

Mit dem passenden Ansatz erkennen Unternehmen Angriffe rechtzeitig und können entsprechend handeln. syracom unterstützt Unternehmen beim Aufbau und der Weiterentwicklung einer einheitlichen, nachhaltigen Sicherheitsstrategie – und dies auf allen Ebenen des Unternehmens. Jeder Kunde erhält dabei sein individuell auf ihn abgestimmtes Awareness-Paket.

Dieser Blogbeitrag wurde von Matthias Kunz in Zusammenarbeit mit Philipp Merchel erstellt. Philipp Merchel ist Teil des IT-Security-Teams bei syracom und interessiert sich besonders für die Themen Cybersecurity und Cyber Resilience.

Autor

Autorenprofil Matthias Kunz

Matthias Kunz absolvierte eine Bankausbildung und studierte an der Technischen Universität Darmstadt Wirtschaftsinformatik auf Diplom. Nach 15 Jahren Arbeitserfahrung in der Bankenbranche wechselte Matthias Kunz zu syracom in die Beratung, wo er als Banken- und Digitalisierungsexperte und nicht zuletzt auch als Blockchain-Experte das Unternehmen und die Projekte unserer Kunden aktiv mitgestaltet.

Werden Sie heute noch aktiv und sprechen Sie uns an
it-security(at)syracom.de.

 

Quellen:
[1] Bitkom. Wirtschaftsschutz 2021: Ransomeware & 0-Day Schwachstellen als zukünftige Bedrohungen. Wirtschaftsschutz 2021 (bitkom.org). [last visited 8.9.2022]
[2] Statista. Singapore: number of internet love scams 2021. love scamming statista singapur – Google Suche. [last visited 8.9.2022]
[3] gov.uk. Goverment approach to authorized push payment scam reimbursement. Government approach to authorised push payment scam reimbursement - GOV.UK (www.gov.uk). [last visited 8.9.22]
[4] Wikipedia. Social Engineering (Sicherheit): USB Drop. Social Engineering (Sicherheit) – Wikipedia. [last visited 12.9.2022]
[5] Wikipedia. Social Engineering (Sicherheit): Bekannte Social Engineers. Social Engineering (Sicherheit) – Wikipedia. [last visited 12.9.2022]
[6] Wikipedia. Social Engineering (Sicherheit): Abwehr. Social Engineering (Sicherheit) – Wikipedia. [last visited 12.9.2022]
[7] Wikipedia. Simon Leviev: Vorgehen.  Simon Leviev – Wikipedia. [last visited 14.09.22]
[8] Security-insider.de. Profis rüsten weiter hoch – Social-Engineering-Trends 2021. Profis rüsten weiter hoch – Social-Engineering-Trends 2021 (security-insider.de). [last visited 30.9.22]
[9] Wikipedia. Romance Scam. Romance Scam – Wikipedia. [last visited 30.9.22]
[10] Statista. Number of cases of… from 2013 to 2012. Singapore: number of internet love scams 2021 | Statista. [last visited 30.9.22]

Dieser Blogpost wurde bisher 780 mal aufgrufen.

Blogpost teilen

Zurück zur Übersicht

INSIGHTS!

Aktuelle Themen frisch aus dem Kopf. Wir freuen uns diese mit Ihnen zu teilen und zu diskutieren.

Kategorie:

  • Atlassian Solution Partner
  • Banken
  • Digitale Transformation
  • Enterprise Integration
  • IT Security
  • life@syracom
  • Prozessoptimierung
  • Solution Engineering
  • Test und Qualitätssicherung
  • Zahlungsverkehr

Autor:

  • Alexander Küken
  • Christian Schaller
  • Frank Hoffmann
  • Hendrik Kurz
  • IT Security Team
  • Jan Fäth
  • Leif Gesinn
  • Manfred Freitag
  • Marketing Team
  • Matthias Kunz
  • Oliver Tornow
  • Philip Tauschek
  • Philipp Kramer
  • Roswitha Steier
  • Tom Acker

Tags:

  • #2FA
  • #ACM
  • #Adaptive Case Management
  • #Add-On
  • #Atlassian
  • #BPM
  • #Banken
  • #Beratung
  • #Bitcoin
  • #Blockchain
  • #Blockchaintechnologie
  • #BootCamp 2016
  • #Business Process Management
  • #Central Liquidity Management
  • #Cloud
  • #Consulting
  • #Cynefin
  • #Cynefin Framework
  • #Datenmanagement
  • #Digitalisierung
  • #Disruptive Technologie
  • #EBA
  • #ECB
  • #EZB
  • #Euro Tour
  • #Eurosystem
  • #Firmenkontakttag2016
  • #GRC
  • #Geschäftsprozesse
  • #ISO 20022
  • #Instant Payment
  • #Instant payments
  • #JIRA
  • #Konsolidierung
  • #Kryptowährung
  • #Line of Defense Modell
  • #Mitarbeitergewinnung
  • #Nachhaltigkeit
  • #Nachhaltigkeitsmanagement
  • #Online-Zahlungen
  • #Payment Service Directive
  • #Plugin
  • #R3-Konsortium
  • #RT1
  • #ReConf
  • #Request to Pay
  • #Robo Advisor
  • #Secure Login
  • #SustainableFinance
  • #T2S
  • #TARGET2
  • #TIPS
  • #Target2
  • #Technologie
  • #Tool
  • #Virtual Reality
  • #Virtuelle Währung
  • #XS2A
  • #Yubikey
  • #Zahlungsverkehr
  • #Zertifikate
  • #beehappy
  • #beesocial
  • #career
  • #clean architecture
  • #enterpriseintegration;
  • #hrReinMain
  • #security
  • #software architecture
  • #stipendium
  • #studenten
  • #syracom
  • #syracomfürkinder

Archiv:

2023

  • Februar

2022

  • Dezember
  • November
  • Oktober
  • September
  • August
  • Juli
  • Juni
  • Mai
  • April
  • März
  • Januar

2021

  • Oktober
  • September
  • Juli
  • Mai
  • April

2020

  • Juli
  • Juni
  • April

2019

  • November
  • September
  • August
  • Juli
  • Mai
  • April
  • Februar

2018

  • Dezember
  • Oktober
  • September
  • Juni
  • März
  • Januar

2017

  • Juli
  • Juni
  • März
  • Februar

2016

  • Dezember
  • November
  • Oktober
  • Juni
  • Mai
  • April
  • März
  • Februar
  • Januar

beebusiness efficiency engineering

SitemapDatenschutzGender-HinweisImpressumCookie Einstellungen