IT-Sicherheit

Was ist eigentlich Social Engineering?

Von einer scheinbar harmlosen SMS-Nachrichten bis hin zur raffinierten Phishing-Kampagne - wie Angreifer die Schwächen und das Vertrauen von Mitarbeitenden ausnutzen, um ihre Ziele zu erreichen.

Social Engineering ist ein wichtiger Begriff nicht nur in der digitalen Welt von heute, sondern auch zuhause. Dabei geht es darum, wie Angreifer die Schwächen und das Vertrauen von Menschen / Mitarbeitenden ausnutzen, anstatt sich auf technische Tricks und Sicherheitslücken zu verlassen, um ihre Ziele zu erreichen.

Neue Herausforderungen: IT-Spezialisten müssen heute nicht nur technische Sicherheitsmaßnahmen implementieren, sondern auch ein tiefes Verständnis für die psychologischen Aspekte des Social Engineering entwickeln. In diesem Artikel werden wir uns genauer mit Social Engineering beschäftigen, klären, was genau es bedeutet und warum es so relevant ist.

Definition von Social Engineering

Um Social Engineering zu verstehen, ist es entscheidend, den Begriff klar zu definieren: Social Engineering bezieht sich darauf, Menschen dazu zu bringen, vertrauliche Informationen preiszugeben, Handlungen auszuführen oder Entscheidungen zu treffen, die normalerweise gegen ihre eigenen Interessen oder die Interessen ihrer Organisation stehen. Hierbei kommen viele Arten der sozialen und psychologischen Manipulation zum Einsatz. Dabei möchte der Angreifer oft die menschlichen Eigenschaften, wie Angst, Respekt gegenüber Autoritätspersonen, Vertrauen und Hilfsbereitschaft seines Opfers ausnutzen.

Diese Manipulation kann in vielfältigen Formen auftreten, von scheinbar harmlosen SMS- oder Messenger-Nachrichten, in denen der Angreifer vorgibt, ein Familienmitglied zu sein, um Geld vom Opfer zu erbetteln, bis hin zur raffinierten Infiltration großer Konzerne durch Methoden wie Phishing. Zwischen diesen beiden Extremen gibt es eine breite Palette von Taktiken und Techniken, die von Angreifern angewendet werden, um an sensible Daten zu gelangen.

Social Engineering Angriffe

Laut einer G Data CyberDefence AG Umfrage aus dem Jahr 2023 sind 48% aller befragten Firmen durch Social Engineering angegriffen geworden. Diese Angriffe sind vor allem telefonisch oder per E-Mail vollzogen worden. Darüber hinaus wird auch versucht im privaten Umfeld oder beruflichen Netzwerken an firmeninterne Daten zu gelangen. Laut des Bundesministeriums für Information und Sicherheit waren 66% aller Spam-E-Mails versuchte Cyberangriffe.¹

Wie bereits in der Definition erläutert, können Social Engineering-Angriffe vielfältige Formen annehmen. Im Allgemeinen lassen sie sich in zwei Hauptkategorien unterteilen, wobei eine dritte, seltener auftretende Kategorie existiert:

1. Menschenbasiertes Social Engineering:
Ohne Technische Elemente

2. Computerbasiertes Social Engineering:
Mit Technischen Elementen

3. Umgekehrtes Social Engineering:
Opfer geht freiwillig auf Angreifer zu

In der heutigen Zeit verschmelzen vermehrt die beiden größeren Kategorien, nämlich die des menschenbasierten und computerbasierten Social Engineerings. Im Folgenden werden, die am häufigsten in der Geschäftswelt anzutreffenden Kategorien erläutert, und es werden auch Strategien zur Eindämmung dieser Angriffe aufgezeigt.

1. Phishing

Phishing gilt als die am weitesten verbreitete Methode des Social Engineerings, und nahezu jeder hat bereits mindestens eine Phishing-E-Mail in seinem Posteingang gesehen. Bei dieser Technik versendet ein bösartiger Akteur E-Mails, die schädliche Anhänge enthalten oder Empfänger auf gefährliche Websites umleiten.

Inzwischen existiert eine Vielzahl von Phishing-Varianten, angefangen beim klassischen Spam-Phishing bis hin zu hochspezialisierten Formen wie Whaling, Spear-Phishing oder sogar Quishing (QR-Code Phishing), um nur einige zu nennen. Trotz seiner weiten Verbreitung sollte die Bedrohung durch Phishing keinesfalls unterschätzt werden, da gut durchgeführte Phishing-Kampagnen für die Angreifer oft von großem Erfolg gekrönt sind. An dieser Stelle sollte man sich bewusst machen, dass es ausreicht, wenn nur eine einzige Person im Unternehmen auf eine Phishing-Mail hereinfällt.

2. Honeytrap

Diese Technik zielt auf Einzelpersonen ab, die beispielsweise auf Online-Dating-Plattformen oder in sozialen Medien aktiv sind. Dabei erstellt der Angreifer Scheinidentitäten, indem er gefälschte Profile einrichtet, um sich über einen längeren Zeitraum hinweg mit der Zielperson anzufreunden. Die dadurch aufgebaute "Vertrauensbasis" nutzt der Angreifer nun aus, um das Opfer dazu zu verleiten, Malware zu installieren, Geld zu überweisen oder vertrauliche Unternehmensinformationen preiszugeben.

Um sich vor dieser Taktik zu schützen, ist es von entscheidender Bedeutung, ein starkes Bewusstsein für Online-Sicherheit und Datenschutz zu schaffen und darauf zu achten, persönliche Informationen und finanzielle Details nicht leichtfertig preiszugeben.

3. Baiting

Baiting ist eine Form des Social Engineering-Angriffs, bei dem der Angreifer falsche Versprechungen macht, um das Opfer dazu zu verleiten, persönliche Daten preiszugeben oder Malware zu installieren.

Die Baiting-Methode wird häufig durch verlockende Anzeigen oder E-Mails eingeleitet, die oft in Form von Angeboten für kostenlose Film-Downloads, Updates, Spiele und ähnlichem auftreten. Wenn das Opfer auf diese Täuschung hereinfällt und beispielsweise sein Passwort für Plattformen wie Amazon eingibt, hat der Angreifer Zugang zu diesen sensiblen Daten und kann diese für seine Zwecke missbrauchen.

Baiting ist nicht auf die Online-Welt beschränkt; es existiert auch eine physische Variante, bei der ein mit Malware infiziertes Flash-Laufwerk dem Opfer übergeben wird. Sobald dieses an den Computer angeschlossen wird, erfolgt eine automatische Installation, der sich auf dem Laufwerk befindenen Malware.

Um sich vor Online-Baiting zu schützen, wird dringend empfohlen, stets mit einem kritischen Auge auf Werbeanzeigen und verlockende Angebote zu schauen. Beim Offline-Baiting ist es besonders wichtig, niemals Flash-Laufwerke von unbekannten Quellen anzuschließen, um die Gefahr einer Malware-Infektion zu minimieren. Sensibilisierung der Mitarbeitenden und Schulungen in Bezug auf solche Betrugsmethoden sind ebenfalls zu empfehlen.

4. Diversion Theft

Diversion Theft (Englisch für Umleitungsdiebstahl) ist ein vielschichtiger Cyberangriff, der ursprünglich offline begann, aber inzwischen auch Online-Varianten annimmt. Dieser Angriffstyp zielt darauf ab, das Opfer abzulenken oder umzulenken, während gleichzeitig kriminelle Aktivitäten durchgeführt werden.

Beim offline gestarteten Diversion Theft manipuliert der Angreifer physische Ereignisse. Ein Dieb kann beispielsweise einen Kurier überzeugen, ein Paket an einem falschen Ort abzuholen, ein falsches Paket zu liefern oder ein Paket an den falschen Empfänger zu übergeben. Die Ablenkung erfolgt meist in der realen Welt und der Schaden kann erheblich sein.

In der Online-Variante von Diversion Theft nutzt der Angreifer Taktiken, um vertrauliche Informationen von seinem Opfer zu stehlen. Er bringt den Benutzer dazu, diese Informationen an den falschen Empfänger zu senden, indem er geschickt Ablenkungen und Irreführungen einsetzt. Der Angreifer tarnt sich oft als bekannte oder vertrauenswürdige Quelle, um das Opfer zu täuschen. Dies wird häufig mittels Spoofing getan.

Um sich vor Diversion Theft zu schützen, ist es von entscheidender Bedeutung, aufmerksam und misstrauisch zu sein, insbesondere bei unerwarteten Ablenkungen oder Kommunikationen von angeblich vertrauenswürdigen Quellen. Die Schulung der Mitarbeitenden in Sachen Online-Sicherheit, die Implementierung starker Sicherheitsrichtlinien und das Bewusstsein für die Risiken von Spoofing sind wesentliche Abwehrmaßnahmen gegen diese Bedrohung.

5. Pretexting

Pretexting stellt eine Form des Social Engineerings dar, bei der der Angreifer geschickte Szenarien oder Vorwände erfindet, um die Zielperson dazu zu bewegen, sensible Daten preiszugeben.

Der Angreifer kann in die Rolle einer Autoritätsperson (wie Anwälte, Strafverfolgungsbehörden oder Steuerberater) schlüpfen oder vorgeben, sich für die Zielperson zu interessieren (wie Talent-Scouts oder Veranstalter). In diesem Kontext würde der Angreifer dem Opfer plausible Gründe erläutern und gezielte Fragen stellen, um zusätzliche Informationen zu gewinnen. Diese gesammelten Daten dienen dazu, andere Techniken einzusetzen, um an noch sensiblere Informationen zu gelangen oder sogar Zugang zu den persönlichen Konten des Opfers zu erhalten.

Um sich gegen Pretexting-Angriffe zu schützen, spielt erhöhte Aufmerksamkeit eine zentrale Rolle. Das bedeutet vor allem keine persönlichen oder sensiblen Informationen leichtfertig preiszugeben und die Identität von Personen, die solche Informationen anfordern, sorgfältig zu überprüfen. Die Sensibilisierung der Mitarbeitenden und die Schulung in Bezug auf Social Engineering sind hierbei sehr wichtig.

6. Business-E-Mail Compromises (BEC)

Business-E-Mail Compromise (BEC) ist eine ausgeklügelte Social Engineering-Taktik, bei der der Angreifer geschickt vorgibt, eine vertrauenswürdige Führungskraft zu sein, die berechtigt ist beispielsweise Tätigkeiten im Bereich der finanziellen Angelegenheiten eines Unternehmens anzuweisen.

Im Rahmen dieses Angriffsszenarios beobachtet der Betrüger aufmerksam das Verhalten der Führungskraft über einen längeren Zeitraum und erstellt ein gefälschtes E-Mail-Konto mithilfe von Spoofing-Techniken. Anschließend nutzt der Angreifer diese gefälschte Identität, um gezielte E-Mails an Mitarbeiter der Führungskraft zu senden. In diesen gefälschten Nachrichten wird den Empfängern befohlen, Überweisungen vorzunehmen, Bankdaten zu ändern und andere finanzielle Transaktionen auszuführen.

BEC-Angriffe können schwerwiegende finanzielle Verluste für Unternehmen zur Folge haben. Im Gegensatz zu anderen Cyberbetrugsmethoden setzen BEC-Angriffe nicht notwendigerweise auf schädliche URLs oder Malware, die von herkömmlichen Cybersicherheitswerkzeugen wie Firewalls oder Systemen zur endpunktbasierten Erkennung und Reaktion (EDR) abgefangen werden können. Stattdessen basieren BEC-Angriffe auf einer genauen Kenntnis des persönlichen Verhaltens der Opfer. Dies macht sie besonders heimtückisch, da sie sich vor allem in großen Unternehmen oft schwerer überwachen und erkennen lassen.

Die Gefahr von BEC-Angriffen unterstreicht die Notwendigkeit von Schulungen und Sensibilisierung der Mitarbeiter sowie die Implementierung von effektiven Überwachungs- und Sicherheitsrichtlinien, um die Auswirkungen dieser Betrugsmethode zu minimieren.

7. Quid-pro-quo-Angriff

Der Quid-pro-quo-Angriff ist eine Taktik des Social Engineerings, bei der der Angreifer vorgibt, eine positive Leistung für das Opfer zu erbringen, häufig im Zusammenhang mit vermeintlichen IT-Problemen, die behoben werden sollen, wie schlechte Internetverbindungen oder Sicherheits-Updates.

Wenn das Opfer auf diese angeblich hilfreiche Geste reagiert, fordert der Angreifer oft die "notwendigen" Anmeldedaten, um das vermeintliche Problem zu beheben. Nachdem das Opfer diese Informationen preisgegeben hat, nutzt der Angreifer sie, um Daten abzufangen oder sogar das Netzwerk mit Malware zu infizieren. Ebenso besteht die Möglichkeit, dass der bösartige Akteur diesen Zugang dazu verwendet, weitere Social-Engineering-Techniken mit erheblich besseren Erfolgschancen anzuwenden.

Um diese Methode zu entschärfen, ist ein umfassendes Wissen über Social Engineering für alle Mitarbeiter von entscheidender Bedeutung. Darüber hinaus sollten klare Richtlinien und Policies etabliert werden, die die Weitergabe von Anmeldedaten, selbst an vermeintliche IT-Support-Mitarbeiter, untersagen.

8. Smishing / SMS-Phishing

SMS-Phishing, auch bekannt als Smishing, ist eine Form des Phishing-Angriffs, bei dem der Betrüger versucht, das Opfer über SMS dazu zu verleiten, einem schädlichen Link zu folgen. Da es sich hierbei um eine spezielle Variante des Phishings handelt, gelten ähnliche Vorsichtsmaßnahmen wie bei herkömmlichen Phishing-Angriffen, welche zuvor besprochen wurden.

9. Tailgating/Piggybacking

Tailgating, auch bekannt als "Piggybacking", stellt eine physische Form des Eindringens in Unternehmensräumlichkeiten dar. Bei diesem Verfahren lauert der Angreifer häufig an gesicherten Eingängen, in der Erwartung, dass ein Mitarbeiter die Tür mit seinen Zugangsberechtigungen öffnet und dadurch wissentlich oder unwissentlich den Eindringling hereinlässt. Methoden hierfür umfassen oft das Vortäuschen, den Zugangschip oder eine ähnliche Berechtigung zu Hause vergessen zu haben. Alternativ kann der Angreifer auch auf eine schlichte Art und Weise sagen: "Warte kurz, ich muss auch noch hinein!", in der Hoffnung, den Mitarbeiter dazu zu verleiten, die Tür kurz für den Eindringling offen zu halten.

Nach einem erfolgreichen Eindringen eröffnen sich für den Angreifer zahlreiche Möglichkeiten, nicht nur das Gebäude zu erkunden, sondern auch sensiblere Dokumente zu stehlen, das Unternehmensnetz zu kompromittieren, den Versuch der Installation von Malware zu unternehmen und vieles mehr.

Um dieser Eindringungsmethode vorzubeugen, ist es unerlässlich, ein angemessenes Maß an Schulungen und Sensibilisierungstrainings für alle Mitarbeitenden durchzuführen, in denen die Gefahren aufgezeigt werden.

Social Engineering Beispiel

Social Engineering ist kein neues Phänomen; die Täuschung von Personen, indem man vorgibt, Gutes zu wollen, um dann Vertrauen auszunutzen, existiert bereits seit den Anfängen der Zivilisation. In der modernen Zeit hat jedoch die Beschleunigung unserer Kommunikation und vor allem die verstärkte nicht persönliche Kommunikation diese Art von Täuschung noch stärker in den Vordergrund gerückt.

Ein anschauliches Beispiel für Social Engineering ist Robin Sage, eine fiktive Persönlichkeit, die im Dezember 2009 vom Sicherheitsexperten Thomas Ryan ins Leben gerufen wurde. Dieses Experiment glich einem Honeypot-Angriff. Ryan erstellte mithilfe der erfundenen Identität mehrere Profile auf Social-Media-Plattformen und knüpfte dabei gezielt Kontakte, vor allem zu Sicherheitsexperten, Militärpersonal, Mitarbeitern von Geheimdiensten und Verteidigungseinrichtungen.

Trotz des falschen Profils erhielt Robin Sage Angebote für Beratungstätigkeiten, unter anderem von Unternehmen wie Google und Lockheed Martin. In einem Zeitraum von zwei Monaten gelang es Thomas Ryan, E-Mail-Adressen, Bankdaten und sogar Standortinformationen geheimer Militärbasen zu erlangen.

Neue Entwicklungen im Social Engineering

Das Bundesamt für Sicherheit in der Sicherheitstechnik beschreibt in ihrem Bericht „Die Lage der IT-Sicherheit in Deutschland 2023“ die Möglichkeit des Einsatzes von Generativer Künstlicher Intelligenz (GKI) im Bereich des Social Engineerings.¹ GKI-Modelle, die darauf ausgelegt sind, menschenähnliche Texte oder sogar Stimmen zu generieren, ermöglichen es Angreifern, noch überzeugendere und maßgeschneiderte Täuschungen zu schaffen.

Mit GKI können Angriffe auf sozialer Ebene auf ein neues Niveau gehoben werden. Bösartige Akteure können personalisierte Phishing-E-Mails, betrügerische Anrufe oder gefälschte Social-Media-Profile erstellen, die auf den individuellen Charakteristika ihrer potenziellen Opfer basieren. Dies kann die Erkennung von betrügerischen Aktivitäten erschweren und die Wirksamkeit von Sicherheitsschulungen verringern.

Die Auswirkungen dieser Technologie auf die Cybersicherheit erfordern erhöhte Aufmerksamkeit und proaktive Maßnahmen. Unternehmen müssen ihre Sicherheitsinfrastrukturen ständig aktuell halten, um auf die fortschreitende Fähigkeit von GKI in Social Engineering-Szenarien vorbereitet zu sein. Zusätzlich ist es entscheidend, das Bewusstsein der Mitarbeiter für diese spezifische Bedrohung zu schärfen, um eine bessere Verteidigung gegen solche Täuschungsversuche zu gewährleisten.

Schutzmaßnahmen gegen Social Engineering

Angreifer bedienen sich beim Social Engineering menschlicher Schwachstellen, wie dem Wunsch, Dinge schnell und einfach zu lösen, um ihre Ziele zu erreichen. Diese Angriffsart ist durch dies besonders schwer zuverlässig zu vereiteln.

Um sich möglichst effektiv vor dieser Bedrohung zu schützen, sollten einige Schutzmaßnahmen implementiert werden:

Teilen Sie niemals vertrauliche Informationen über Ihren Arbeitgeber oder Ihre Arbeit, auch nicht im privaten Rahmen.
Seriöse Unternehmen werden niemals nach der Weitergabe von Kontaktinformationen, Zugangsdaten oder Passwörtern fragen.
Begegnen Sie Fremden immer mit Misstrauen und Verantwortungsbewusstsein. Überlegen Sie stets, ob Ihre Handlungen von Dritten missbraucht werden könnten.
Seien Sie bei E-Mails äußerst vorsichtig. Wenn Sie den Verdacht haben, dass sie nicht von einer seriösen Quelle stammen, informieren Sie umgehend Ihren internen oder externen Sicherheitsbeauftragten.
Im Falle einer dringend benötigten Antwort oder anderen Auffälligkeiten sollten Sie durch einen Anruf bei Ihrem Kontakt verifizieren, ob die betreffende E-Mail tatsächlich von ihr stammt.
Schaffen Sie ein gemeinsames Bewusstsein für die Bekämpfung von Social Engineering. Sollte es zu einem Angriff kommen, muss dieser sofort gemeldet werden. Falsche Scham ist an dieser Stelle fehl am Platz und das sollte das Management auch kommunizieren. Sich zu irren ist menschlich, aber ein unbemerkter Angriff kann verheerend sein.

Aufgrund ihrer Komplexität und des Angriffsvektors über den Menschen wird Social Engineering allgemein in der IT-Sicherheitsbranche als schwer zu hundert Prozent abzuwehren betrachtet. Dennoch, durch die im Artikel diskutierten Maßnahmen und ein gründliches Awareness-Training für alle Mitarbeiter lässt sich die Wahrscheinlichkeit eines erfolgreichen Angriffs erheblich verringern.

Häufige Fragen zum Thema „Social Engineering“

Meine Firma ist nicht so groß, dass jemand sich den Aufwand machen würde.

Social Engineering Angriffe müssen nicht unbedingt ausführlich sein, sondern können auch innerhalb weniger Minuten gestartet werden. Des Weiteren öffnet ein erfolgreicher Angriff meist die Tür für noch schwerwiegendere Angriffe.

Meine Firma wurde Opfer eines Social Engineering Angriffes was jetzt?

Wenn Sie feststellen, dass Ihre Firma Opfer eines Social-Engineering-Angriffs wurde, ist schnelles Handeln entscheidend – Zeit ist kostbar. Melden Sie den Vorfall sofort an Ihre interne Anlaufstelle für Sicherheitszwischenfälle und scheuen Sie sich nicht davor, Ihre internen sowie mögliche externen Experten einzubeziehen, um rasch geeignete Maßnahmen zu ergreifen.
Wenn Sie einen externen Einblick benötigen, stehen unsere IT-Sicherheitsexperten für ein kostenloses Erstgespräch zur Verfügung. Wir unterstützen Sie gerne dabei, die Situation zu bewerten und angemessene Schritte einzuleiten.

Wie sieht eine Awareness Schulung zu Social Engineering mit der OHB-DS aus?

Im ersten Schritt wird das Thema Social Engineering in Zusammenarbeit mit den Zuhörenden ausgearbeitet. Dabei geht es um die verschiedenen Arten des Social Engineerings und die Sensibilisierung für das Thema.

Ist das Fundament für das Thema gegossen, folgt eine kurze Beschreibung, wie die aktuelle Gefahrenlage beim Social Engineering ist und wie professionell Angreifer mittlerweile vorgehen.

Im Anschluss wird Social Engineering konkret am Beispiel eines Phishing-Angriffs aufgezeigt. Dabei werden folgende vier Angriffsschritte der „Cyber-Kill-Chain“ untersucht

Reconnaissance (Reconnaissance)
Enumeration (Social-Engineering-Techniken)
Exploitation (Ausführung von Angriff)
Lateral Movement (Zugang festigen)

Abschließend wird detailliert über Gegenmaßnahmen gesprochen und wie man sich in Zukunft vor Social-Engineering-Attacken besser schützen kann.

Ihre Reise mit OHB Digital Services

Nutzen Sie das Wissen aus der Raumfahrt für Ihr Business. OHB Digital Services GmbH ist seit vielen Jahren ein verlässlicher Partner für sichere & innovative IT-Lösungen. Wir sind Teil eines der erfolgreichsten Raumfahrt- und Technologieunternehmen in Europa. Mit unseren Produkten und Services unterstützen wir Sie u.a. bei der Digitalisierung Ihrer Unternehmensprozesse entlang der Wertschöpfungskette und bei allen sicherheitsrelevanten Fragen. Kontaktieren Sie uns gerne.

¹vgl. Die Lage der IT-Sicherheit in Deutschland 2023: in: Bundesamt für Sicherheit in der Informationstechnik, o. D., https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2023.pdf.

Erfahren Sie mehr über unsere Phishing-Simulationen und Awareness-Schulungen.

Entdecken Sie die Einsatzmöglichkeiten für Ihr Unternehmen

Jetzt Erstgespräch vereinbaren

0421/220950

cyber-security@ohb-ds.de

Aktuelle Magazin-Beiträge zum Thema IT Security

Was ist eigentlich Phishing?

Eine gute Phishing-Mail kann auf den ersten Blick täuschend echt wirken. Gelingt es einem Angreifer das Opfer zu täuschen, gelangt er je nach Ziel des Angriffs an Firmeninterna bzw. Anmeldeinformationen.

Wieso sollte Schwachstellenanalyse auch ein Thema für KMUs sein?

Mehr als die Hälfte aller KMUs in Deutschland wurden bereits Opfer eines Cyberangriffs, je nach Ausmaß des Angriffs gab es finanzielle Schäden bis in die Millionenhöhe.

Was ist Red Teaming und für wen ist es sinnvoll?

In diesem Beitrag erklären wir Ihnen die Vorteile des Red Teamings und zeigen Ihnen auf, für welche Unternehmen sich die spezielle Form des Pentests eignet.