IT-Sicherheit

Social Hacking

Wie man die „Schwachstelle Mensch“ erfolgreich behebt

von 22.03.2019
Social Hacking lässt Mitarbeiter zu Marionetten werden
Beim Social Hacking spielen Angreifer gekonnt mit Mitarbeitern.

Seit einigen Jahren ist das Thema Social Engineering in aller Munde – nicht zuletzt, weil „menschliches Fehlverhalten“ das größte Sicherheitsrisiko für Unternehmen ist.
Wie die eigenen Mitarbeiter zur Gefahr werden und wie sich Unternehmen vor Social Hacking schützen können, erfahren Sie hier.

Social Hacking: wenn Mitarbeiter zu Marionetten werden

Beim Social Hacking nutzen Angreifer die Schwachstellen von Mitarbeitern gekonnt aus. (Bild: pixabay.com/kaboompics)

Die Schwachstelle Mensch

Für Unternehmen ist der Mensch das größte Sicherheitsrisiko – das betont Raj Samani in McAfees Studie Hacking the Human Operation System zum Social Engineering. Aktuelle Studien belegen: Ungefähr 95 Prozent aller Sicherheitsvorfälle in Unternehmen kommen durch „menschliches Fehlverhalten“ zustande.
Während es optimale Sicherheitslösungen für sämtliche IT-Systeme von Unternehmen gibt, ist menschliches Verhalten stets an individuelle Gedanken und Gefühle sowie an persönliche Entscheidungen gebunden. Vor allem, wenn mal etwas nicht nach Plan läuft, neigen Menschen dazu, irrational und unreflektiert zu handeln.

Unsere Reihe „Der Schutz vor Social Engineering“ im Überblick
Teil 1: Was ist Social Hacking/Social Engineering und wie kann man sich davor schützen?
Teil 2: Zehn beliebte Social-Engineering-Methoden im Vergleich

Social Hacking: ein Definitionsversuch

Genau das machen sich Social Engineers geschickt zunutze. Social Hacking (häufig auch Social Engineering) bezeichnet Angriffe auf Informationssysteme, die mithilfe von psychologischen Tricks bzw. Trickbetrügereien durchgeführt werden. Angreifer spielen vor allem mit Angst, Hoffnung, Hilfsbereitschaft, Neugierde und autoritärem Gehorsam. Aber soziale Manipulation wird auch mit Verpflichtung, Gefälligkeit, Sympathie und Vertrauen erzeugt.

Was ist Social Hacking? – Eine Antwort bekommen Sie in unserem IT-Lexikon.

Ziele von Social Hacking

Vertrauen ist etwas Grundmenschliches und wird in fortschrittlichen Unternehmen großgeschrieben – Vertrauensarbeitszeit und -ort sind nur zwei Begriffe, die aufzeigen, wie fundamental Vertrauen heute in Unternehmensstrukturen integriert ist. Jedoch haben Menschen natürlicherweise sowohl im Privaten als auch im Unternehmensumfeld „Geheimnisse“. Hierzu gehören typischerweise sensible Daten wie Konto-, Zugangsdaten, Passwörter und vertrauliche Informationen zu Mitarbeitern und Kunden.
Social Hacking ist das Ausnutzen von menschlichem Vertrauen für den Erhalt von ebensolchen „Geheimnissen“, also von solchen sensiblen Informationen. Alternativ kann auch der direkte Zugriff auf die Systeme des Opfers angestrebt sein.
Social Hacking hat da Erfolg, wo Daten unreflektiert weitergegeben werden. Die Weitergabe und Annahme von sensiblen Daten ist immer mit Risiken verbunden und kann nicht gänzlich kontrolliert werden. Vertrauenswürdigkeit ist zudem an subjektives Empfinden gekoppelt, was die Regulierung von sensiblem Datenaustausch äußert schwierig gestaltet.

Methoden des Social Hacking

Social Hacking ist in den letzten Jahren immer beliebter geworden und fasst mittlerweile eine Vielzahl an Techniken und Methoden zusammen, die von Cyberkriminellen zur Manipulation genutzt werden. Methoden des Social Hacking unterscheiden sich zum Teil extrem voneinander. Laut Interpol können sie aber in zwei große Kategorien eingeteilt werden:

  • Massenbetrügereien (mass frauds) zielen auf eine große Anzahl an Personen oder Institutionen ab und werden standardisiert umgesetzt.
  • Gezielte Betrügereien (targeted frauds) richten sich an sehr spezifische Personen oder Institutionen.

Nahezu alle erfolgreich gegen Unternehmen durchgeführten Angriffe sind heute gezielte Betrüge. Oft untersuchen Social Engineers die Sicherheitsvorkehrungen von Unternehmen gründlich und entwickeln entsprechende Lösungen zu ihrer Umgehung.

Die Umsetzung von Social Hacking

Nach Raj Samani gibt es zwei Möglichkeiten, wie Social Hacking umgesetzt wird. Mit dem Hunting versuchen Cyberkriminelle mit möglichst wenig Zeitaufwand möglichst viele relevante Daten zu bekommen. Mit dem Farming bauen Social Engineers eine persönliche oder geschäftliche Verbindung zu ihren Zielpersonen auf und versuchen, nach und nach möglichst viele relevante Daten sicherzustellen.
Nach Interpol laufen nahezu alle im Social Engineering angewandten Methoden aber in den gleichen vier Schritten ab: Zuerst werden Informationen gesammelt, mit ihnen wird eine Beziehung aufgebaut, Schwachstellen werden ausgenutzt und die erwünschten Daten abschließend gestohlen.

border_color

IT-SERVICE.NETWORK – Nehmen Sie Kontakt zu uns auf!

Unsere IT-Dienstleister beraten Sie zum Schutz vor dem Social Hacking. Sorgen Sie dafür, dass der Mensch in Ihrem Unternehmen kein Sicherheitsrisiko ist.

Jetzt Kontakt aufnehmen!

Schutzmaßnahmen gegen Social Hacking

Beim Social Hacking werden Mitarbeiter durch Manipulationen dazu gebracht, vertrauliche Daten weiter- und Zugänge freizugeben. Anders als bei den meisten anderen Cyberangriffen reicht es daher nicht aus, für eine umfangreiche, aber rein technische Sicherheit der IT-Infrastruktur zu sorgen.

Informationstechnische Präventionsmaßnahmen

Die ganzheitliche IT-Sicherheit stellt dennoch die Basis für ein jedes Unternehmen dar. Sie sollten stets aktuelle Antiviren-Software und Firewalls im Einsatz haben, um vor technischen Angriffen von außen und vor Schadsoftware umfangreich geschützt zu sein. Hierfür ist unter anderem auch die umfassende Passwortsicherheit wichtig: Empfohlen werden sporadische, aber nicht regelmäßige Passwortwechsel und keine Weitergabe von Kennwörtern.
Auch die E-Mail-Sicherheit ist für einen ganzheitlichen Schutz absolut wichtig. Sensibilisieren Sie Ihre Mitarbeiter, welche Gefahren sich in E-Mails verbergen könnten. Richten Sie bei Bedarf Spamfilter und Blacklists ein. Sorgen Sie dafür, dass in Ihrem Unternehmen ausschließlich verschlüsselte E-Mails verschickt werden. Verschlüsseln Sie sämtliche Daten und Transportwege und sorgen Sie für eine sichere Datenübertragung. Achten Sie darauf, dass Websites, die Sie besuchen, mit SSL verschlüsselt sind. Für den Fall der Fälle sollte Ihr Unternehmen mit einem ausführlichen Notfallplan ausgestattet sein. Das IT.SERVICE-NETWORK unterstützt Sie dabei, unsere IT-Dienstleister arbeiten in enger Zusammenarbeit mit Ihnen ein optimales IT-Sicherheitskonzept aus.

Erstellung von Richtlinien

Für einen ganzheitlichen Schutz vor Social Engineering ist die Erstellung von unternehmensübergreifenden Richtlinien absolut zentral. Dort, wo Richtlinien und Regeln vorhanden sind, kann die Gefahr des spontanen und persönlich geleiteten Handelns minimiert werden. Ob die Umsetzung einer No-Blame- oder eine Zero-Tolerance-Policy für Ihr Unternehmen sinnvoll ist und wie Sie Richtlinien festhalten sollten, kann nicht pauschal gesagt werden und hängt von der Firmenpolitik ab.
Definieren Sie genau festgelegte Zugriffsrechte, vor allem, was sensible Bereiche angeht. Überlegen Sie sich als Chef stringente Abwesenheits- und Urlaubsübergaberegelungen. Nur wenn in Ihrem Unternehmen klare Richtlinien zur Urlaubsübergabe umgesetzt sind, kann ausgeschlossen werden, dass Social Engineers das Fehlen eines Mitarbeiters ausnutzen können. Stellen Sie daher auch klare Richtlinien zum Umgang mit Partnern, Lieferanten, Kunden und anderen Externen auf. Legen Sie ggf. DSGVO-konforme Datenbanken mit Informationen zu Ihren Mitarbeitern, Partnern und Kunden an.

Social Hacking dient der menschlichen Manipulation

Mit dem Social Hacking werden menschliche Eigenschaften für persönliche oder wirtschaftliche Zwecke ausgenutzt. (Bild: pixabay.com/graehawk)

Weitere Vorsichtsmaßnahmen

Animieren Sie Ihre Mitarbeiter darüber hinaus dazu, gegenüber unangekündigten Telefonanrufen, unbekannten Besuchern oder nicht einzuordnenden E-Mail-Nachrichten vor allem dann misstrauisch zu seien, wenn es um vertrauliche Informationen geht. Wenn jemand explizit nach Mitarbeitern oder internen Informationen fragt, sollte dies umgehend weitergegeben werden. Wenn ein Ihnen Unbekannter behauptet, Mitarbeiter oder Geschäftsführer eines Unternehmens zu sein, versuchen Sie, seine Identität direkt von der Firma verifizieren zu lassen.
Überlegen Sie, ob es sinnvoll ist, Telefonate gesetzeskonform aufzuzeichnen oder zumindest nachzuhalten. Streben Sie an, Sicherheitszertifizierungen zu beantragen und ernennen Sie einen Sicherheitsbeauftragten. Lassen Sie sich von Ihrer Bank über potentielle Schutzmechanismen beraten und führen Sie ein internes Kontrollsystem zum Zahlungsverkehr ein.

Der Umgang mit Social Media

Die Bedeutung von Social Engineering ist durch den Aufstieg von Social Media bedingt. Nur weil viele Menschen private und zum Teil vertrauliche Informationen in den sozialen Medien preisgeben, können Cyberkriminelle diese auch gegen sie verwenden. Social Engineers nutzen für ihr Vorgehen Mitarbeiterprofile auf XING, LinkedIn, Twitter, Facebook und Co.
Viele an Unternehmen gerichtete Social-Engineering-Methoden haben sich in den letzten Jahren aus Trickbetrügen im Social-Media-Bereich entwickelt. Heute ist es gerade für Unternehmen schwierig, die richtige Balance zwischen der Öffentlichkeitsarbeit als Marketing-Strategie und dem Schutz der sensiblen Unternehmensdaten zu finden. Achten Sie stets darauf, wo welche Informationen über Sie, Ihr Unternehmen und Ihre Mitarbeiter öffentlich einzusehen sind.

Schulungen und Weiterbildungen

Unternehmen können das verfügbare Wissen zu Social Engineering nutzen, um ihre Mitarbeiter mit Schulungen zu sensibilisieren. Nur, wenn Ihre Mitarbeiter auch die Gefahren des Social Hacking kennen, können sie sich dagegen auch erfolgreich schützen. Bieten Sie Ihren Mitarbeitern zum Beispiel Schulungen zu den beliebtesten Social-Engineering-Methoden an.

Penetrationstests für Social-Engineering-Angriffe

Darüber hinaus können mit der eigenen Umsetzung von Social-Engineering-Attacken auch Penetrationstests durchgeführt werden. Lesen Sie in unserem Artikel Social Engineer, wie Tobias Erdmann, der Geschäftsführer der Systemhaus Erdmann GmbH & Co. KG, als Nikolaus verkleidet in ein Unternehmen „eingedrungen“ ist.
Einen passenden IT-Dienstleister, der einen Social-Engineering-Angriff nach Wunsch simuliert, finden Sie in Ihrer Nähe. Ihr entsprechender Dienstleister des IT-SERVICE.NETWORK hilft Ihnen dabei, IT-Sicherheitsvorfälle durch den Faktor Mensch zu verringern.

Geschrieben von

Robin Laufenburg unterstützt bereits seit 2018 den Blog des IT-SERVICE.NETWORK. Während er anfangs noch als Werkstudent Artikel schrieb, blieb er dem Blog auch nach seinem Masterabschluss in Germanistik erhalten. Mit privatem Interesse an der IT versteht er es, sich in komplexe Themen einzuarbeiten und sie in verständlicher Sprache darzustellen. Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Pikabot-Malware

Aktuelle Angriffskampagne nutzt Social-Engineering-Taktiken

von • 15.04.2024

Anfang 2023 ist sie erstmals entdeckt worden, seit Anfang 2024 sorgt sie vermehrt für Schlagzeilen: Die Pikabot-Malware ist eine raffinierte Bedrohung und wird durch Social Engineering verbreitet. ...

Weiterlesen
IT-Sicherheit

TeamViewer-Sicherheitslücke

Schwachstelle verhilft Nutzern zu Admin-Rechten

von • 10.04.2024

Die Entwickler der beliebten Remote-Support-Software TeamViewer warnen vor einer Schwachstelle, über die sich Nutzer Admin-Rechte verschaffen können. Ein Update für die TeamViewer-Sicherheitslücke...

Weiterlesen
IT-Sicherheit

Exchange Server verwundbar

BSI warnt vor kritischer Schwachstelle

von • 03.04.2024

Das BSI warnt: In Deutschland sind mindestens 17.000 Microsoft Exchange Server verwundbar. Unternehmen sind zu schnellem Handeln aufgerufen, denn Cyberkriminelle greifen bereits an! Wir berichten, ...

Weiterlesen