Social Engineering zählt in Kombination mit anderen Angriffsformen zu den größten Bedrohungen der Informationssicherheit und verursacht jährlich dutzende Unternehmensausfälle, sowie Schäden und Folgekosten, die in die Millionen Euro gehen [1,2]. Angriffe dieser Art folgen einem einfachen Grundprinzip: Der Angreifer macht sich psychologische Mechanismen zu Nutze, um an physische oder digitale Unternehmenswerte zu gelangen. Die Angriffsform ist besonders attraktiv, denn das damit verbundene Risiko ist gering, die Erfolgschancen sind hingegen hoch. Wir zeigen uns besonders empfänglich für solche Manipulationsmethoden, wenn uns diese nicht bewusst sind. Zudem hinterlässt ein solcher Angriff im Unternehmenskontext in der Regel wenige, bei entsprechender Vorbereitung sogar gar keine Spuren.
Wie können solche Vorfälle aussehen? Wir veranschaulichen das mit Beispielen.
Ein Angriff kann sich sowohl einfach als auch komplex gestalten: Oft werden simple Phishing-Mails versendet, die dazu verleiten sollen, manipulierte Links oder Anhänge zu öffnen. Mitarbeiter agieren zum Teil nachlässig, werden sie doch täglich mit einer Vielzahl an E-Mail-Korrespondenz konfrontiert.
Neben Phishing-Mails kann aber auch ein unbedachter Umgang mit Social Media gravierende Konsequenzen haben. Ein berühmtes Beispiel hierfür ist die von Robin Casey und Thomas Ryan erschaffene virtuelle Identität der Robin Sage - eine angeblich äußerst brillante, junge Security-Expertin - welche genutzt wurde, um Zugang zu sensiblen und geheimen Daten zu erhalten.[3].
Aber nicht nur digitale Wege nutzen Angreifer erfolgreich. Oft bedienen sie sich analoger Mittel, um schließlich Zugriff auf sensible Daten zu bekommen. So kann der liegengelassene USB-Stick eines vermeintlichen Kollegen schnell zur Gefahr werden. Auch der scheinbar harmlose Anruf eines potenziellen Kunden, der einen gewissen Mitarbeiter sprechen möchte, kann sich als Angriff auf das Unternehmen erweisen. Eigentlich wollte der Angreifer nämlich nur sicherstellen, dass der Mitarbeiter auch wirklich im Urlaub ist und somit sein Arbeitsplatz nicht besetzt und ungeschützt ist.
Diese Beispiele zeigen nur wenige der vielen Möglichkeiten auf, die ein Social Engineer nutzt, um sich gewünschte Daten oder Zugänge zu erschleichen. Insbesondere die Unwissenheit der Betroffenen wird ausgenutzt. Jemand, der die Methoden und Vorgehensweisen im Social Engineering nicht kennt, ist ihnen schutzlos ausgeliefert. Deswegen ist das wichtigste Gegenmittel gegen solche Angriffe die Schaffung einer Awareness für Social Engineering.
syracom hat es sich zum Ziel gemacht, bei Kunden einen bestmöglichen Sicherheitsstandard zu etablieren. Dafür kombinieren wir eine lokal durchgeführte Sicherheitskulturanalyse mit gezielten Awareness-Maßnahmen. Mit diesem Ansatz können Kunden sowohl Angriffe erkennen als auch die entsprechenden Maßnahmen richtig priorisieren und ergreifen.
1. IT Security Consulting: Sicherheitslücken identifizieren
Sicherheitsrelevante Maßnahmen benötigen zu allererst die Zustimmung von Geschäftsführung und Betriebsrat. Ist diese vorhanden, können die verantwortlichen Abteilungen die notwendigen Schritte unternehmen, Sicherheitsmaßnahmen nach und nach umsetzen und nachhaltig etablieren. Unterstützend wird daher ein C-Level-Awareness Training vor Ort durchgeführt. Dieses ist speziell auf die Bedürfnisse von Führungskräften abgestimmt und gibt diesen so die notwendigen Werkzeuge für den Umgang mit Social Engineering in die Hand.
Eine einleitende Phishing Academy gibt ihnen einen Überblick über Klickraten bei leicht zu erkennenden Phishing-Mails. Des Weiteren sammeln Mitarbeiter erste praktische Erfahrungen mit den damit verbundenen Gefahren.
Anschließend wird ein IT-Sicherheits-Check durchgeführt, welcher die Ausgangssituation im Unternehmen bestimmt und akute Handlungsbedarfe identifiziert (s. Abb. unten). Zur Verstärkung des Trainingseffekts bieten wir zeitgleich eine weiterführende Phishing Academy mit erhöhtem Schwierigkeitsgrad an. Die aus den durchgeführten Maßnahmen gewonnenen Ergebnisse werden durch eine Einordnung der Resultate sowie durch Handlungsempfehlungen zur Reduktion des Risikos ergänzt, präsentiert und in Form eines Reports zur Verfügung gestellt.
2. IT Security Consulting: Sicherheitslücken schließen
Zur Schließung der identifizierten Lücken setzt syracom auf eine Kombination verschiedener Lösungsbausteine: Schulung vor Ort, Serious Gaming und eine Plattform mit individuell konfigurierbaren Schulungsinhalten, anhand welcher die Schulungsbedarfe der einzelnen Mitarbeiter gedeckt werden können. Alle Bausteine orientieren sich an den zuvor identifizierten Handlungsbedarfen und werden somit genau auf Ihre Bedürfnisse angepasst. So kann ein Problem- und Verantwortungsbewusstsein auf allen Ebenen geschaffen und langfristig beibehalten werden – vom C-Level bis zu den Spezialisten in den Fachabteilungen.
Anna Gschwendtner ist Wirtschaftsinformatikerin und seit 2017 als Consultant bei syracom. Neben ihren Projekten in unterschiedlichen Bereichen - derzeit im Governance, Risk and Compliance-Umfeld - ist sie stellvertretende Leitung des Themenbereichs Security und treibt dort u.a. die Portfolioentwicklung zu Social Engineering und zum IT-Security-Check voran.
[1] Beispielsweise ist Social Engineering bzw. der menschliche Faktor im “ENISA Threat Landscape Report 2018” unter den 15 größten Cyberbedrohungen und Trends gelistet; der Behörde DARPA zufolge wird der Faktor in derzeit ca. 80% der Cyberangriffen genutzt (The Active Social Engineering Defense (ASED) program, DARPA).
[2] Beispiele hierfür sind der Emotet-Angriff bei Heise (April 2019), Angriffe auf Kliniken wie die Maulklinik (Juni 2019), Tesla (September 2018) oder die an Kunden von N26 gerichtete Phishing-Kampagne (März 2019)
[3] Ein prominentes Beispiel dafür ist Robin Sage, geschaffene fiktive Security-Expertin (2009)
Mithilfe des Social Media-Fake-Profils nahmen die beiden Security-Spezialisten Kontakt zu über 300 Security-Experten aus dem amerikanischen Militär, der Regierung oder einflussreicher Unternehmen auf. Anhand dieser Kontakte gelangten sie an Emailadressen, Bankdaten und geheime Informationen. So war es ihnen schließlich ein leichtes, die Lage geheimer Militärstandorte zu ermitteln. Wären die Daten in die falschen Hände geraten, so hätte dies laut Thomas Ryan sogar die nationale Sicherheit gefährden können.
Dieser Blogpost wurde bisher 2484 mal aufgrufen.
Blogpost teilen
Aktuelle Themen frisch aus dem Kopf. Wir freuen uns diese mit Ihnen zu teilen und zu diskutieren.