Social Hacking

Wie man die „Schwachstelle Mensch“ erfolgreich behebt

Von in IT-Sicherheit
22
Mrz
'19

Seit einigen Jahren ist das Thema Social Engineering in aller Munde – nicht zuletzt, weil menschliches Fehlverhalten das größte Sicherheitsrisiko für Unternehmen ist.

Wie die eigenen Mitarbeiter zur Gefahr werden und wie sich Unternehmen vor Social Hacking schützen können, erfahren Sie hier.

Social Hacking: wenn Mitarbeiter zu Marionetten werden

Beim Social Hacking nutzen Angreifer die Schwachstellen von Mitarbeitern gekonnt aus. (Bild: pixabay.com/kaboompics)

Die Schwachstelle Mensch

Für Unternehmen ist der Mensch das größte Sicherheitsrisiko – das betont Raj Samani in McAfees Studie Hacking the Human Operation System zum Social Engineering. Aktuelle Studien belegen: Ungefähr 95 Prozent aller Sicherheitsvorfälle in Unternehmen kommen durch menschliches Fehlverhalten zustande.

Während es optimale Sicherheitslösungen für sämtliche IT-Systeme von Unternehmen gibt, ist menschliches Verhalten stets an individuelle Gedanken und Gefühle sowie an persönliche Entscheidungen gebunden. Vor allem, wenn mal etwas nicht nach Plan läuft, neigen Menschen dazu, irrational zu handeln.

Unsere Reihe „Der Schutz vor Social Engineering“ im Überblick
Teil 1: Was ist Social Hacking/Social Engineering und wie kann man sich davor schützen?
Teil 2: Zehn beliebte Social-Engineering-Methoden im Vergleich

Was ist Social Hacking?

Genau das machen sich Social Engineers geschickt zunutze. Social Hacking (häufig auch Social Engineering) bezeichnet Angriffe auf Informationssysteme, die mithilfe von psychologischen Tricks bzw. Trickbetrügereien durchgeführt werden. Angreifer spielen vor allem mit Angst, Hoffnung, Hilfsbereitschaft, Neugierde und autoritärem Gehorsam. Aber soziale Manipulation wird auch mit Verpflichtung, Vertrauen, Gefälligkeit und Sympathie erzeugt.

Ziel von Social Hacking ist nahezu immer der Erhalt von sensiblen Informationen wie Bankdaten oder Passwörtern. Alternativ kann auch der direkte Zugriff auf die IT-Systeme des Opfers angestrebt sein.

Methoden des Social Hacking

Social Hacking ist in den letzten Jahren immer beliebter geworden und fasst mittlerweile eine Vielzahl an Techniken und Methoden zusammen, die von Cyberkriminellen zur Manipulation genutzt werden. Methoden des Social Hacking unterscheiden sich zum Teil extrem voneinander. Laut Interpol können sie aber in zwei große Kategorien eingeteilt werden:

  • Massenbetrügereien (mass frauds) zielen auf eine große Anzahl an Personen oder Institutionen ab und werden standardisiert umgesetzt.
  • Gezielte Betrügereien (targeted frauds) richten sich an sehr spezifische Personen oder Institutionen.

Nahezu alle erfolgreich gegen Unternehmen durchgeführten Angriffe sind heute gezielte Betrüge. Oft untersuchen Social Engineers die Sicherheitsvorkehrungen von Unternehmen gründlich und entwickeln entsprechende Lösungen zu ihrer Umgehung.

Die Umsetzung von Social Hacking

Nach Raj Samani gibt es zwei Möglichkeiten, wie Social Hacking umgesetzt wird. Mit dem Hunting versuchen Cyberkriminelle mit möglichst wenig Zeitaufwand möglichst viele relevante Daten zu bekommen. Mit dem Farming bauen Social Engineers eine persönliche oder geschäftliche Verbindung zu ihren Zielpersonen auf und versuchen, nach und nach möglichst viele relevante Daten sicherzustellen.

Nach Interpol laufen nahezu alle im Social Engineering angewandten Methoden aber in den gleichen vier Schritten ab: Zuerst werden Informationen gesammelt, mit ihnen wird eine Beziehung aufgebaut, Schwachstellen werden ausgenutzt und die erwünschten Daten abschließend gestohlen.

border_color

IT-SERVICE.NETWORK – Nehmen Sie Kontakt zu uns auf!

Unsere IT-Dienstleister beraten Sie zum Schutz vor dem Social Hacking. Sorgen Sie dafür, dass der Mensch in Ihrem Unternehmen kein Sicherheitsrisiko ist.

Jetzt Kontakt aufnehmen!

Schutzmaßnahmen gegen Social Hacking

Beim Social Hacking werden Mitarbeiter durch Manipulationen dazu gebracht, vertrauliche Daten weiter- und Zugänge freizugeben. Anders als bei den meisten anderen Cyberangriffen reicht es daher nicht aus, für eine umfangreiche, aber rein technische Sicherheit der IT-Infrastruktur zu sorgen.

Informationstechnische Präventionsmaßnahmen

Die ganzheitliche IT-Sicherheit stellt dennoch die Basis für ein jedes Unternehmen dar. Sie sollten stets aktuelle Antivirensoftware und Firewalls im Einsatz haben, um vor technischen Angriffen von außen und vor Schadsoftware umfangreich geschützt zu sein. Hierfür ist unter anderem auch die umfassende Passwortsicherheit wichtig: Empfohlen werden sporadische, aber nicht regelmäßige Passwortwechsel und keine Weitergabe von Kennwörtern.

Auch die E-Mail-Sicherheit ist für einen ganzheitlichen Schutz absolut wichtig. Sensibilisieren Sie Ihre Mitarbeiter, welche Gefahren sich in E-Mails verbergen könnten. Richten Sie bei Bedarf Spamfilter und Blacklists ein. Sorgen Sie dafür, dass in Ihrem Unternehmen ausschließlich verschlüsselte E-Mails verschickt werden. Verschlüsseln Sie sämtliche Daten und Transportwege und sorgen Sie für eine sichere Datenübertragung. Achten Sie darauf, dass Websites, die Sie besuchen, mit SSL verschlüsselt sind.

Für den Fall der Fälle sollte Ihr Unternehmen mit einem ausführlichen Notfallplan ausgestattet sein. Das IT.SERVICE-NETWORK unterstützt Sie dabei. Unsere IT-Dienstleister arbeiten in enger Zusammenarbeit mit Ihnen ein optimales IT-Sicherheitskonzept aus.

Erstellung von Richtlinien

Für einen ganzheitlichen Schutz vor Social Engineering ist die Erstellung von unternehmensübergreifenden Richtlinien absolut zentral. Dort, wo Richtlinien und Regeln vorhanden sind, kann die Gefahr des spontanen und persönlich geleiteten Handelns minimiert werden. Ob die Umsetzung einer No-Blame- oder eine Zero-Tolerance-Policy für Ihr Unternehmen sinnvoll ist und wie Sie Richtlinien festhalten sollten, kann nicht pauschal gesagt werden.

Definieren Sie genau festgelegte Zugriffsrechte, vor allem, was sensible Bereiche angeht. Überlegen Sie sich als Chef stringente Abwesenheits- und Urlaubsübergaberegelungen. Nur wenn in Ihrem Unternehmen klare Richtlinien zur Urlaubsübergabe umgesetzt sind, kann ausgeschlossen werden, dass Social Engineers das Fehlen eines Mitarbeiters ausnutzen können. Stellen Sie daher auch klare Richtlinien zum Umgang mit Partnern, Lieferanten, Kunden und anderen Externen auf. Legen Sie ggf. DSGVO-konforme Datenbanken mit Informationen zu Ihren Mitarbeitern, Partnern und Kunden an.

Social Hacking dient der menschlichen Manipulation

Mit dem Social Hacking werden menschliche Eigenschaften für persönliche oder wirtschaftliche Zwecke ausgenutzt. (Bild: pixabay.com/graehawk)

Weitere Vorsichtsmaßnahmen

Animieren Sie Ihre Mitarbeiter darüber hinaus dazu, gegenüber unerwünschten Telefonanrufen, unbekannten Besuchern oder nicht einzuordnenden E-Mail-Nachrichten stets misstrauisch zu seien. Wenn jemand nach Mitarbeitern oder internen Informationen fragt, sollte dies umgehend weitergegeben werden. Wenn ein Unbekannter behauptet, Mitarbeiter oder Geschäftsführer eines Unternehmens zu sein, versuchen Sie stets, die Identität direkt von der Firma verifizieren zu lassen.

Überlegen Sie, ob es sinnvoll ist, Telefonate aufzuzeichnen oder zumindest nachzuhalten. Streben Sie an, Sicherheitszertifizierungen zu beantragen und ernennen Sie einen Sicherheitsbeauftragten. Lassen Sie sich von Ihrer Bank über potentielle Schutzmechanismen beraten und führen Sie ein internes Kontrollsystem zum Zahlungsverkehr ein.

Der Umgang mit Social Media

Die Bedeutung von Social Engineering ist durch den Aufstieg von Social Media bedingt. Nur weil viele Menschen private und zum Teil vertrauliche Informationen in den sozialen Medien preisgeben, können Cyberkriminelle diese auch gegen sie verwenden. Social Engineers nutzen für ihr Vorgehen Mitarbeiterprofile auf XING, LinkedIn, Twitter und Facebook.

Viele an Unternehmen gerichtete Social-Engineering-Methoden haben sich in den letzten Jahren aus Trickbetrügen im Social-Media-Bereich entwickelt. Heute ist es gerade für Unternehmen schwierig, die richtige Balance zwischen der Öffentlichkeitsarbeit als Marketing-Strategie und dem Schutz der sensiblen Unternehmensdaten zu finden. Achten Sie stets darauf, wo welche Informationen über Sie, Ihr Unternehmen und Ihre Mitarbeiter öffentlich einzusehen sind.

Schulungen und Weiterbildungen

Unternehmen können das verfügbare Wissen zu Social Engineering nutzen, um ihre Mitarbeiter mit Schulungen zu sensibilisieren. Nur, wenn Ihre Mitarbeiter auch die Gefahren des Social Hacking kennen, können sie sich dagegen auch erfolgreich schützen. Bieten Sie Ihren Mitarbeitern zum Beispiel Schulungen zu den beliebtesten Social-Engineering-Methoden an.

Penetrationstests für Social-Engineering-Angriffe

Darüber hinaus können mit der eigenen Umsetzung von Social-Engineering-Attacken auch Penetrationstests durchgeführt werden. Lesen Sie in unserem Artikel Social Engineer, wie Tobias Erdmann, der Geschäftsführer der Systemhaus Erdmann GmbH & Co. KG, als Nikolaus verkleidet in ein Unternehmen „eingedrungen“ ist.

Einen passenden IT-Dienstleister, der einen Social-Engineering-Angriff nach Wunsch simuliert, finden Sie in Ihrer Nähe. Ihr entsprechender Dienstleister des IT-SERVICE.NETWORK hilft Ihnen dabei, IT-Sicherheitsvorfälle durch den Faktor Mensch zu verringern.

Robin Laufenburg

Robin Laufenburg unterstützt seit 2018 den Blog des IT-SERVICE.NETWORK als Werkstudent. Neben seiner Arbeit als SEO-Texter studiert er Germanistik im Master. Auch in seiner Freizeit schreibt Robin Texte und tritt damit bei Poetry Slams auf.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.