Blog

Im InterNetX Blog erfahren Sie Neuigkeiten, Hintergründe und Innovationen
aus den Bereichen Domains, Server und SSL.

Schwachstelle Mensch: Warum Social Engineering so gefährlich ist

Der Faktor Mensch gilt als schwächstes Glied in der Sicherheitskette von Unternehmen. Diese Tatsache machen sich heute nicht wenige Cyber-Kriminelle zunutze und versuchen sich im sogenannten Social Engineering.

Warum sich lange mit der Technologie herumschlagen, wenn der Weg in ein Unternehmen doch auch über die Mitarbeiter führen kann? So oder so ähnlich dürften inzwischen viele Hacker denken. Denn Fakt ist: Für Cyber-Kriminelle gestaltet es sich aufgrund der immer besser werdenden technischen Abwehr von Unternehmen immer schwieriger, sich in fremde Systeme zu hacken. Die Manipulation eines Mitarbeiters oder eines Kunden erscheint da schon deutlich einfacher.

Dieses Ausnutzen menschlicher Schwachstellen hat sich als sogenanntes Social Engineering einen Namen gemacht. Genauer gesagt geht es dabei darum, Menschen mittels ausgeklügelter Tricks über die eigene Identität und Absicht hinwegzutäuschen. Neu ist Social Engineering dabei allerdings nicht: Auch schon in der Vergangenheit wurden Menschen manipuliert, zum Beispiel über das Telefon – dank des Internets eröffnen sich Betrügern heute jedoch Unmengen neuer, noch einfacherer Betrugsmöglichkeiten.

Welche Strategie verfolgen Täter beim Social Engineering?

Die Absicht, die die Täter mit Social Engineering verfolgen, kann verschiedenster Natur sein: Während der eine versucht, an Unternehmensinterna zu gelangen, möchte der nächste Malware in Umlauf bringen, und wieder ein anderer will Mitarbeiter zur Überweisung von Geld veranlassen.

Das Cyber-Security-Unternehmen Proofpoint veröffentlicht regelmäßig eine Studie namens “Der Faktor Mensch”. In der aktuellen Version von 2018 fasst der Sicherheitsexperte treffend zusammen, wie die Opfer beim Social Engineering im Normalfall hereingelegt werden:

  • Die Täter stellen ein Gefühl der Dringlichkeit her.
  • Die Täter ahmen vertrauenswürdige Marken nach.
  • Die Täter missbrauchen die natürliche Neugier des Menschen.
  • Die Täter nutzen eingeprägte Reaktionen auf häufige Ereignisse, zum Beispiel Software-Updates, aus.

Der Erfolg von Social Engineering ist dabei natürlich in großen Teilen von der Vorgehensweise der Betrüger abhängig. Groß angelegte, allgemein gehaltene Kampagnen sind für die Opfer gewöhnlich einfacher als Betrugsversuch zu erkennen als solche, die sich spezifisch an wenige oder sogar nur einen einzelnen Mitarbeiter richten – Ausnahmen bestätigen hier jedoch die Regel.

Woran erkennt man Social Engineering im Arbeitsalltag?

Du ahnst es wahrscheinlich schon: Die eine Social-Engineering-Masche gibt es nicht. In der digitalen Geschäftswelt lauern stattdessen unterschiedlichste Bedrohungen, die auf das menschliche Versagen der Mitarbeiter eines Unternehmens, aber auch dessen Kunden, abzielen.

Phishing

Auf die große Gefahr, die von Phishing ausgeht, haben wir in unserem E-Mail Security Whitepaper bereits hingewiesen. Das möglichst originalgetreue Fälschen von E-Mails oder URLs, um an Passwörter, Zahlungsinformationen oder andere sensible Daten eines Nutzers oder eines Unternehmens zu gelangen, war 2018, mit über 210 Millionen bekannten Fällen, laut der Trend Micro-Studie eine der erfolgreichsten Social Engineering Methoden. Einfluss auf diese Entwicklung dürfte nicht zuletzt auch das Spear Phishing genommen haben, bei dem noch individualisierter und zielgerichteter vorgegangen wird.

CEO Fraud

Ziel des CEO Fraud, einer Abwandlung des klassischen Phishings, ist es, die Mitarbeiter eines Unternehmens so zu manipulieren, dass sie in gutem Glauben Geld an einen Betrüger überweisen. Dies gelingt, indem sich die Täter in einer E-Mail als Geschäftsführer, Bereichsleiter oder ähnliches ausgeben und vortäuschen, aus einem triftigen Grund schnellstmöglich Geld zu benötigen – unter Angabe einer falschen Bankverbindung versteht sich. Bislang sollen CEO Frauds mehr als 3 Milliarden US-Dollar Schaden verursacht haben, was aus dem SEO Fraud Prevention Manual hervorgeht.

Angler-Phishing

Natürlich bietet auch das Social Web Cyber-Kriminellen eine geeignete Plattform, Unternehmen zu schaden. Beim sogenannten Angler-Phishing fangen Betrüger die Kommunikation zwischen Nutzern und Unternehmen ab, um Zugang zu vertrauenswürdigen Informationen zu erhalten. Du fragen dich, wie das funktionieren soll? Die Täter geben sich als vermeintlicher Unternehmensaccount aus und leiten die Konversation so auf ihr Fake-Profil um. Natürlich betrifft Angler-Phishing in erster Linie den Nutzer, trotzdem stellt es auch für Unternehmen eine große Gefahr dar: Dir drohen nämlich in einem solchen Fall Vertrauens-, Image- und Umsatzverluste.

Typosquatting

Bei der Eingabe einer Domain kann sich schnell einmal ein Tippfehler einschleichen – das ist menschlich. Jedoch nutzen einige Cyber-Kriminelle dieses “Fehlverhalten” schamlos aus. Typosquatting heißt die Social-Engineering-Masche, bei der Betrüger Domains registrieren, die wahrscheinliche Tippfehler oder alternative Schreibweisen bekannter Domains berücksichtigen, um so Nutzer auf ihre Webseite zu leiten. Diese Fake-Domains verbreiten nicht selten Malware, phishen nach sensiblen Daten oder verfolgen sonstige kriminelle Zwecke. Aus diesem Grund sind sie ebenso gerne Teil von Phishing-E-Mails. Oft nutzen die Betrüger Typosquatting aber auch dafür, E-Mail-Adressen zu fälschen. Somit liegt die Bedrohung für Unternehmen nicht nur im Verlust von Vertrauen, Image und Umsatz, sondern auch in der potenziellen Täuschung eigener Mitarbeiter durch Typosquatting-Domains und -E-Mails.

Die genannten vier Maschen bilden natürlich nur eine kleine Auswahl der heutigen Social-Engineering-Möglichkeiten ab. Insbesondere durch den technologischen Fortschritt sehen sich Unternehmen immer wieder neuen Formen des Social Engineerings ausgesetzt. Vorsicht ist also oberstes Gebot. 

Maßnahmen gegen Social Engineering

Bleibt die Frage, wie sich Unternehmen vor Social Engineering schützen können. Mitarbeiterschulungen sind hier sicherlich ein guter Anfang. In Anlehnung an die Grundregeln des Bundesamts für Sicherheit in der Informationstechnik empfehlen wir folgendes Wissen an die Belegschaft zu übermitteln:

  • Vertrauliche Informationen, wie Passwörter oder Bankdaten, dürfen keinesfalls per E-Mail oder Telefon weitergegeben werden.
  • Besteht Unschlüssigkeit, ob sich hinter einer E-Mail ein Betrüger verbirgt, lautet die Devise: Lieber nicht reagieren, als auf die Betrugsmasche hereinzufallen. In wichtigen Fällen wird der Absender den Kontakt über einen anderen Weg suchen.
  • Bei vermeintlich dringenden E-Mails empfiehlt es sich, die Authentizität des Absenders telefonisch zu überprüfen.
  • Weder persönliche noch geschäftliche Informationen sollten in sozialen Medien geteilt werden, da diese für Täuschungszwecke missbraucht werden könnten.
  • Auffällige Vorkommnisse müssen unverzüglich der IT-Abteilung gemeldet werden.

Darüber hinaus hast du als Unternehmen unter anderem folgende Möglichkeiten:

  • Verschlüsseln und signiere deine E-Mail-Kommunikation digital, zum Beispiel über S/MIME-Zertifikate, und schütze dich so vor Phishing unterschiedlicher Art.
  • Registriere potenzielle Tippfehler-Domains selbst und leite diese auf deine Webseite um, um sich den Gefahren des Typosquattings zu entziehen.
  • Halte Fake-Accounts in sozialen Medien stets im Blick und melde diese unter Umständen, um Angler-Phishing und Social-Web-Bedrohungen zu vermeiden.
  • Und zu guter Letzt: Lebe das gewünschte Cyber-Security-Bewusstsein selbst vor.
Zurück
Newsletter anmelden

InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken „Abonnieren” willige ich ein, dass meine E-Mail-Adresse elektr. erhoben und gespeichert wird.

Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft
per E-Mail datenschutz@internetx.com widerrufen.

Der Code Signing-Life-Cycle: Wie lange bleiben die…

Der Life-Cycle eines Code Signing-Zertifikats bezieht sich auf die Phasen seiner Lebensdauer – von der Beantragung bis zum Ablauf des Zertifikats.…

Snapshot #10 mit Thomas Rickert (eco)

Im Snapshot Podcast unterhalten wir uns mit schlauen Köpfen und klugen Unternehmer:innen zu Themen aus den Bereichen der Digitalisierung, dem Online…
InterNetX blog cover Keith Mitchell from DNS-OARC

It’s all about domains… mit Keith Mitchell…

Das DNS ist ein kritisches System, das die Mitarbeit aller Beteiligten erfordert. Keith Mitchell, ein wahrer Internet-Experte, weiß das aus erster…
european e-commerce shops and their domains

Europäische Online-Shops und ihre Domains – eine…

Welche TLDs werden in Europa am häufigsten für den E-Commerce genutzt? Finden wir heraus, wie europäische Online-Shops Domains verwenden.

Autor

Etienne Roser
Content Marketing Manager
E-Mail: pressenoSpam@internetx.com