Social Engineering – woran denken Sie bei diesem Begriff? Mit sozialem Verhalten hat Social Engineering nichts zu tun. Kreativ sind Social Engineers dagegen durchaus. Und zwar, wenn es um Manipulation geht. Social Engineering ist ein spannender Begriff, den nur wenige kennen. Denn es geht um eine kriminelle Disziplin, die in Unternehmen regelmäßig großen Schaden anrichtet: das systematische Erlangen vertraulicher Informationen auf dem Wege der Manipulation von Mitarbeitern.

Menschliche Schwachstellen

Dass Unternehmen und Organisationen gut daran tun, größten Wert auf die Sicherheit ihrer IT-Systeme zu legen, hat sich herumgesprochen. Doch an das schwächste Glied in der Kette – den Menschen – wird allzu häufig nicht ausreichend gedacht. Oft sind es die Benutzer von IT-Systemen, die durch Fahrlässigkeit die Sicherheit vertraulicher Daten gefährden, etwa, indem sie sich einen Computervirus einfangen oder Benutzernamen und Passwörter unverschlüsselt abspeichern. Clevere IT-Administratoren sind stets bemüht, solche menschlichen Schwachstellen durch regulierende Maßnahmen zu schließen – etwa, indem das Aufsuchen der Sicherheit schadender Websites vom Arbeitsplatzrechner aus verhindert wird, indem Passwörter für kritische Systeme regelmäßig geändert werden müssen und so weiter und so fort.

Erste Anzeichen harmlos

Doch das alles bringt nichts, wenn Social Engineering als Angriffsmethode zum Einsatz kommt. Denn solche Angriffe auf die Datensicherheit beginnen nicht bei den IT-Systemen selbst. Sie beginnen bei den Menschen. Dabei sind die ersten Anzeichen harmlos. Social Engineering nimmt schleichend seinen Lauf. Es kann mit telefonischem Smalltalk anfangen – etwa mit einem Anruf von einem angeblichen Umfrageinstitut, das einige Daten sammelt. Dann wird noch ein wenig geplaudert, und so erfährt der Anrufer Details aus dem täglichen Unternehmensleben – Nebensächlichkeiten, die er später als Insiderwissen nutzen kann. Social Engineering kann auch mit einer Online-Freundschaft beginnen, etwa bei Facebook, vielleicht sogar außerhalb der Arbeitszeit, aus der dann eine persönliche Verbindung zwischen Angreifer und Zielperson wird. Der Zweck ist immer der gleiche: Social Engineers möchten Vertrauen aufbauen und Informationen sammeln. Beides soll den Angreifern im entscheidenden Moment ermöglichen, an sensible Daten zu kommen.

Smalltalk erschleicht Vertrauen

Klassisches Beispiel: Ein Anrufer meldet sich, gibt sich als Mitarbeiter eines externen IT-Dienstleisters aus, behauptet, ganz dringend ein akutes Sicherheitsproblem des Zielunternehmens lösen zu müssen. Dass sich die im Display angezeigten Absender-Telefonnummern heutzutage ganz leicht fälschen lassen, ist ebenso schockierend wie skandalös, aber Tatsache. Der normalerweise zuständige Kollege beim IT-Dienstleister sei krank, sagt der Anrufer. „Sie wissen ja, Herr Schulze und sein Bandscheibenvorfall.“ Da der Social Engineer im Vorfeld zahlreiche Informationen gesammelt hat, ist es ihm möglich, solche Smalltalk-Elemente einfließen zu lassen. „Ah, der kennt ja den Herrn Schulze“, fasst das Opfer Vertrauen. Dann kommt der Angreifer zum Punkt: „Ich weiß nicht, wo mein armer Kollege Herr Schulze die VPN-Zugangsdaten zu Ihrem Unternehmensnetz notiert hat. Er schreibt ja immer alles auf Zettel. Erreichen kann ich ihn gerade auch nicht, er ist wohl beim Arzt. Wir müssen das bei Ihnen jetzt aber ganz schnell regeln, denn Ihr Netz hat ein Sicherheitsleck.“ Wenn die Zielperson jetzt noch kurz zögert, so kann der Angreifer nachlegen und sagen: „Ich verstehe ja, dass Sie diese Daten normalerweise nicht am Telefon herausgeben. Also gut. Ich kann auch Ihren Chef fragen, aber der ist ja immer so beschäftigt, außerdem hält er ja ausgerechnet heute seinen Vortrag auf dem IT-Security-Kongress und würde jetzt bestimmt nicht gern gestört werden. Übrigens, ich wäre auch gern auf dem Kongress gewesen, aber Sie wissen ja, was bei uns derzeit los ist.“

Social Engineering kann ruinöse Folgen haben

Spätestens jetzt könnte es schon soweit sein – und unser Social Engineer hätte sich erfolgreich Zugang zum Unternehmensnetz des Zielunternehmens verschafft. Die Zielperson hat Vertrauen gefasst und gibt die Zugangsdaten heraus. Ab diesem Moment haben die kriminellen Angreifer Zugang zu vertraulichen Unternehmensdaten – mit potentiell ruinösen Folgen.

Dass Social Engineering noch viele weitere Facetten haben kann – Sie werden es sich spätestens jetzt beliebig ausmalen können, selbst, wenn Sie von dem Fachbegriff zuvor noch nie gehört hatten. Lassen Sie sich doch einmal durch den Kopf gehen: Wo könnten mögliche Angriffspunkte in Ihrem Unternehmen liegen? Wo besteht die Gefahr, dass im Falle eines vorgetäuschten akuten Handlungsbedarfs Login-Daten auf Zuruf am Telefon oder per Chat weitergegeben werden und dabei in falsche Hände geraten könnten?

Social Engineering abwehren

Letztlich gibt es gegen Social Engineering kein Patentrezept. Doch eine Sensibilisierung aller Personen, die Zugriff auf wichtige Logindaten und geschäftskritische Informationen haben, kann nie verkehrt sein.

Legen Sie innerhalb Ihres Unternehmens klar fest:

  1. Wie müssen sich externe Dienstleister, vor allem aus dem IT-Bereich, bei telefonischer Kontaktaufnahme legitimieren?
  2. Auf welchen Wegen dürfen sensible Informationen wie Logins Ihr Unternehmen überhaupt verlassen?
  3. Wer hat auch von unterwegs Zugriff auf das Unternehmensnetz? Haben all diese Personen nur die notwendigen Rechte? Oder dürfen diese Personen pauschal auf alle Ressourcen wie Dateiserver zugreifen, auch wenn sie den Zugriff gar nicht zwingend benötigen?
  4. Ist Ihre Sicherheitsarchitektur überhaupt noch zeitgemäß? Firewalls sind schön und gut. Es gibt jedoch auch Lösungen, die qualitativ überwachen können, welche Daten das Unternehmen verlassen – und Alarm schlagen, wenn beispielsweise erkennbar als „strictly confidential“ gekennzeichnete Dokumente übertragen werden. Denken Sie dabei auch an ganz banale Kommunikationswege wie E-Mail. Einige der größten Datenlecks und Skandale in den vergangenen Jahren sind entstanden, weil illoyale oder innerlich gekündigte Mitarbeiter sensible Daten in Mini-Häppchen per E-Mail nach Hause transferiert haben. Vom Arbeitsplatz aus. Und keiner hatte es bemerkt.

 

Bernhard JodeleitAutor dieses Beitrags:

Bernhard Jodeleit berät Unternehmen in Sachen Digitalstrategie, Content Marketing und Krisenkommunikation.