Social-Engineering:
Der Mensch als Schwachstelle in Unternehmen

Social-Engineering: Anders als bei Viren und Trojanern nützen Antivirenprogramme und Firewalls hier nichts. Denn in erster Linie manipulieren Hacker dabei den Menschen selbst. In diesem Zusammenhang spricht man beim Social-Engineering auch vom Human Hacking bzw. Social-Hacking.

Definition:

Was ist Social-Engineering?

Es gibt nicht DIE EINE Methode, die Hacker beim Social-Engineering anwenden. Prinzipiell kann dem Begriff jede Beeinflussung eines Menschen zugeordnet werden, die dazu dient, an Daten und Informationen zu gelangen.

Social-Engineering mit unterschiedlichen Zielen

Auch die primäre Zielsetzung der Angriffe kann unterschiedlich sein: Manchmal wollen die Cyberkriminellen direkt und ohne Umwege an Informationen gelangen. Ein anderes Mal wird dem Opfer zuerst ein mit Malware versehenes Dokument geschickt. Am Telefon versuchen die Hacker dann, das Opfer dazu zu bringen, bösartige Makros zu aktivieren. Dazu täuschen die Angreifer eine falsche Identität vor.

Damit die Opfer den Kriminellen Glauben schenken, holen sich diese zum Beispiel auf Social-Media-Plattformen die dafür notwendigen persönlichen Informationen. Doch nicht nur öffentlich einsehbare Daten werden genutzt: Das Vortäuschen falscher Identitäten funktioniert bei Facebook und Co schließlich relativ einfach.

Passwortverwaltung:

Individuelle Zugangsdaten für verschiedene Accounts

Dennoch kann es vorkommen, dass ein Passwort mittels eine Brute-Force-Attacke, Keylogging oder einer anderen Hacker-Methode  in falsche Hände gerät. Wird dieses Passwort für mehrere Zugänge gleichzeitig genutzt, ist der Schaden immens. Verwenden Sie deshalb stets unterschiedliche Passwörter für unterschiedliche Benutzerkonten.

Ungeschulte Mitarbeiter/innen als Risiko

Ist die Belegschaft nicht ausreichend für das Thema It-Security sensibilisiert, werden beispielsweise Phishing-Mails nicht immer entdeckt. Über Fake-Webseiten und nachgeahmte Eingabemasken gelangen Hacker so schnell an Zugangs- und damit auch persönliche Daten. Ein Penetrationstest kann etwaige Sicherheitslücken in Betrieben aufdecken.

Tipp

Hacker kombinieren bei umfangreichen Attacken mehrere Methoden miteinander. Die Angriffe können unbemerkt über mehrere Monate geplant und durchgeführt werden. Teilweise basiert ein Angriff auf dem anderen.

Methodik:Methodik:
5 Social-Engineering-Methoden im Überblick

Die Social-Hacking-Methoden sind extrem unterschiedlich. Ungeschulte Mitarbeiterinnen und Mitarbeiter erkennen die Gefahren oft nicht rechtzeitig. Tipp: Ein Social-Engineering-Penetrationstest deckt menschliche und organisatorische Sicherheitslücken in Unternehmen zuverlässig auf. Die IT-Security-Spezialisten testen die IT-Security dabei mit den gleichen Methoden, die auch Hacker anwenden würden.

1
Phase
Pretexting
Das Pretexting wird oft als Grundlage benötigt, um die “tatsächlichen” Angriffe anschließend durchführen zu können. Social-Engineers erschaffen hierbei ein ausgeklügeltes Lügenkonstrukt, das teilweise extra dafür programmierte Webseiten und zahlreiche E-Mail-Adressen enthält, um die “Story” zu verifizieren. Social-Engineers geben sich dabei z.B. als Finanzbeamte, Polizisten, Lieferanten oder Service-Mitarbeiter aus.
2
Phase
Tailgating
Wer glaubt, Hacker würden ausschließlich im digitalen Umfeld agieren, liegt falsch. Beim Tailgating täuschen die Angreifer vor, Netzwerktechniker oder Fahrer einer Lieferantenfirma zu sein. So erhalten die “Hacker” auch offline Zugriff auf teilweise sensible Unternehmensbereiche. Das Pretexting als Schritt vor dem Tailgating stützt dabei die Glaubwürdigkeit der Kriminellen bei diesem Vorgehen.
3
Phase
Honeypots
In diesem Zusammenhang meinen wir mit Honeypots NICHT den Mechanismus zur Erkennung von Spam-Bots (wird auch so bezeichnet), sondern als wirtschaftlich oder persönlich attraktiv empfundene Personen oder Institutionen. Die Honeypots versuchen dabei, eine persönliche oder wirtschaftliche Beziehung zu initiieren, um die Unternehmer oder Mitarbeiter anschließend mit kompromittierenden Material zu erpressen.
4
Phase
Quid pro Quo
Beim Quid pro Quo wäscht eine Hand die andere. Hacker bieten Mitarbeitern oder den Vorgesetzten selbst eine attraktive Leistung an. Dabei kann es sich u.a. um die Hilfestellung bei der Lösung eines (IT-)Problems handeln. Im Gegenzug für diese Leistung möchten Hacker, die sich gerne als Service-Personal ausgeben, eine persönliche oder das Unternehmen betreffende Information erhalten.
5
Phase
CEO-Fraud
Der CEO-Betrug wird auch als Chef-Trick bezeichnet. Hier verlangen Hacker sich selber viel Überzeugungskraft ab, denn sie geben sich als Vorgesetzte/r eines Mitarbeiters aus, um diesen zur sofortigen Herausgabe wichtiger Daten zu bewegen. Weil die wenigsten Mitarbeiter/innen dem Chef oder der Chefin diesen Wunsch ausschlagen werden, ist diese Methode so effektiv wie simpel. Durch das sammeln von detaillierten Informationen über das Unternehmen und die Opfer, wird der CEO-Betrug umfassend vorbereitet.

Fazit

Bei den meisten Methoden hat der sog. Social-Engineer (Angreifer) eine/n bestimmte/n Mitarbeiter/in im Visier. Damit etwaige Angriffe frühzeitig erkannt werden und kein Schaden für das Unternehmen entsteht, sollte die Belegschaft umfassend für das Thema sensibilisiert und geschult werden. Auch Empfehlungen hinsichtlich der privaten Nutzung von Social-Media-Kanälen einzelner Mitarbeiter/innen (vor allem bei Behörden) kann Teil der unternehmerischen oder behördlichen IT-Security-Strategie sein.
Wir stehen für Sie zur Verfügung

Kontaktanfrage

Jan Bindig - Pentest Experte für Social-Engineering: Der Mensch als Schwachstelle in Unternehmen
Jan Bindig & Team
IT-Security Experten
0800 589 024 9
E-Mail schreiben

Unser Versprechen

Schnelle Reaktionszeit

Hohe Vertraulichkeit

Attraktive Konditionen

Professionelle Umsetzung

Individuelles Reporting















    Ich frage für ein Unternehmen an (B2B) und habe den Datenschutz gelesen und akzeptiert




    Spezialisierte Experten
    Vulnerability Management
    Spezialisierte Experten
    Telefon
    Kontakt
    envelope-ocheckheadphonesphonecaret-rightangle-double-downmobilevolume-control-phone