Aktuelles, Branche - geschrieben von dp am Montag, März 5, 2018 18:20 - ein Kommentar
Einfallstor Mensch: Social Engineering als oft unterschätzter Risikofaktor im Unternehmen
Cyber-Kriminelle beeinflussen mit Raffinesse Mitarbeiter und dringen so in das Firmennetzwerk ein
[datensicherheit.de, 05.03.2018] Es gibt viele Möglichkeiten, um einen IT-Verantwortlichen ins Schwitzen zu bringen: Malware, Fehlkonfigurationen der Systeme oder DDoS-Attacken… Ein oft unterschätzter Faktor auf das Firmennetzwerk ist „Social Engineering“. G DATA zeigt in einer aktuellen Stellungnahme, auf welche Faktoren zu achten ist und erklärt anhand eines Szenarios, wie Cyber-Kriminelle bei einem Angriff vorgehen könnten.
„Social Engineering“ als Angriffsvektor oft unterschätzt
Im Jahr 2017 habe es im Mittel jede Minute 16 neue Malwaretypen für den Computer gegeben – so die Erkenntnisse der Analysten der G DATA Software AG. Kriminelle aus dem Internet bedienten sich aber auch anderer perfider Tricks, um durch Manipulation von Mitarbeitern, im Fachjargon „Social Engineering“ genannt, an vertrauliche Informationen des Unternehmens zu gelangen.
Unternehmen fokussierten meistens auf den Schutz vor spezifischen, auf das Firmennetzwerk zielenden Angriffsvektoren. Angefangen bei Malware wie Ransomware, Trojaner oder Viren, über Fehlkonfigurationen der Systeme bis hin zu DDoS-Attacken. Eine Schwachstelle, die von IT-Security-Verantwortlichen als Einfallstor häufig unterschätzt werde, sei eben das „Social Engineering“.
Cyber-Kriminelle bereiten Angriffe besser vor
Längst seien die Tage vorbei, an denen Mitarbeiter in Personalabteilungen kryptische E-Mail-Bewerbungen von vermeintlichen Interessenten erhielten. Eine schlechte Grammatik oder Rechtschreibfehler hätten früher als Indikator für eine unseriöse oder gefährliche Nachricht ausgereicht.
Heutzutage bereiteten sich Cyber-Kriminelle auf einen Angriff besser vor, denn auch sie hätten dazugelernt. Laut Erkenntnissen aus der Studie „Social Engineering Attack Framework“ gebe es sechs Schritte eines solchen Angriffs:
- Schritt 1: Angriffsformulierung
- Schritt 2: Sammeln von Informationen
- Schritt 3: Vorbereitung
- Schritt 4: Beziehung herstellen
- Schritt 5: Beziehung manipulieren
- Schritt 6: Debriefing
Fake-Profile als Köder
Ein gutes Beispiel ist laut G DATA ein Recruiter eines Unternehmens, der häufig auf Social-Media-Plattformen zugreift, um nach geeigneten Bewerbern zu suchen – „Scouting“ lautet das Stichwort:
Scheint ein geeigneter Kandidat gefunden zu sein, so werde mit ihm Kontakt aufgebaut. Auch Kriminelle wüssten das und erstellten sich ein Fake-Profil, um mit diesem im passenden Moment mit dem Personalverantwortlichen in Kontakt zu treten. Der Täter versuche sich Informationen über den HR-Angestellten zu verschaffen bevor er Vertrauen bei seinem Gegenüber aufbaut und sende ein Bewerbungsschreiben, bezugnehmend auf die sympathische Konversation über „Social Media“, an den HR-Angestellten.
Dieses Konzept sei mehr erfolgsversprechend als initiativ eine standardisierte Bewerbung zu verfassen. Darin enthalten seien ein kurzer und knapper Text sowie ein Bild- und ein PDF-Anhang. Die E-Mail sowie die Anhänge würden geöffnet und die Malware auf dem Computer ausgespielt. Der Angreifer habe den Mitarbeiter folglich zum Öffnen der Dateien beeinflusst. Dahinter könnte sich nun eine Ransomware zur Verschlüsselung wichtiger Dateien mit folgender Lösegeldforderung zum Entschlüsseln befinden.
Das könne aber auch ein Trojaner sein, um die Tastaturanschläge aufzuzeichnen und an den Angreifer zu übersenden. In anderen Worten: Anmeldepasswörter würden aufgenommen und stünden fortan dem Cyber-Kriminellen zur Verfügung.
Awareness-Trainings für Mitarbeiter!
„Social Engineering“ werde überall dort eingesetzt, wo Menschen beeinflusst werden können und ein passender Schlüssel Geld für den Angreifer verspricht.
Das könnten sowohl wertvolle Mitarbeiter-Informationen sein, direkte Zugangsdaten oder Zugriff zu geheimen Dokumenten, die ein Betriebsgeheimnis preisgeben. Laut einer Studie des IT-Branchenverbands Bitkom von 2017 verursache die digitale Spionage, Sabotage oder Datendiebstahl deutscher Unternehmen jedes Jahr einen Schaden von rund 55 Milliarden Euro. Da der Trend dieser Angriffsart aber an Beliebtheit gewinne und somit steige, sei inzwischen mit höheren Schadenssummen zu rechnen. Die Lösung gegen dieses Angriffsszenario seien Awareness-Trainings für Mitarbeiter:
Der erste Schritt sei es, als IT-Verantwortlicher seine Mitarbeiter für „Social Engineering“ zu sensibilisieren. Beispielsweise lernten Mitarbeiter dort, dass E-Mails kritisch begutachtet werden sollten, am Telefon keine sensiblen Daten preisgegeben und keine Links angeklickt werden sollten, welche beispielsweise auf eine Login-Seite führen.
Sicherheitssoftware mit Phishing-Schutz zur Unterstützung!
Ein weiterer, ebenso wichtiger Schritt sei eine gute Sicherheitssoftware, die einen Phishing-Schutz bereitstellt. Viele Angriffe ließen sich so bereits im Vorfeld abfangen.
Dadurch würden die Mitarbeiter deutlich entlastet und relevante, für die tägliche Arbeit wichtige E-Mails könnten schneller bearbeitet werden. In anderen Worten: Das Risiko werde minimiert, auf einen Social-Engineering-Angriff hereinzufallen, der finanzielle Schäden verursachen könnte.
Weitere Informationen zum Thema:
ResearchGate, August 2014
Social Engineering Attack Framework
datensicherheit.de, 25.09.2012
Angriffe auf Unternehmensnetze: Cyber-Kriminelle betreiben verstärkt Social Engineering
ein Kommentar
Kommentieren
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 22, 2024 18:42 - noch keine Kommentare
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
weitere Beiträge in Branche
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Hallo,
ich betreibe seit Jahren zwei Webseiten zu diesem Thema (http://socialengineering24.de und https://socialengineeringbook.squeezefunnels.com). Die Informationen auf diesen Seiten sind in mehrere Kategorien untergliedert. Leider musste ich in den letzten Jahren feststellen, dass im deutschsprachigen Raum dieses Thema weiterhin nicht ernst genommen wird und das Interesse sich in erschreckenden Grenzen hält.
Egal welche Nachrichten in den Medien veröffentlicht werden (z.B. Einbruch in das super gesicherte Netz unserer Regierung), das Thema Social Engineering wird kaum erwähnt. Auf meiner Webseite gibt es Artikel, die zeigen, dass es diese Art der Angriffe auch in Deutschland gibt.