Top Treffer für „

Kein Treffer. Bitte überprüfen Sie Ihre Suche.


Ihre Sparkasse

Finden Sie weitere Informationen bei Ihrer Sparkasse vor Ort.

Schliessen

Social Engineering: Wenn Cyber-Kriminelle Menschen hacken

HXNWRK Gründerteam: Moritz Samrock, Nicholas Peters, Victor von Busch (von links nach rechts).

HXNWRK Gründerteam: Moritz Samrock, Nicholas Peters, Victor von Busch (von links nach rechts).

Stellen Sie sich vor, es wäre ein ganz normaler Arbeitstag. Sie kommen gut gelaunt in die Praxis, starten den Computer und öffnen Ihr E-Mail-Postfach. Doch huch, was ist das? Ihr Chef hat Ihnen eine E-Mail geschrieben in der steht, dass er krankheitsbedingt ausfällt. Er bittet Sie darum, die Akten der heutigen Patienten einzuscannen und ihm diese zukommen zu lassen. „Komisch“ denken Sie sich, wieso braucht er die Akten, wenn er doch krank ist? Da es sich hierbei jedoch um Ihren Vorgesetzten handelt, fragen Sie nicht weiter nach und befolgen seine Anweisungen. Eine halbe Stunde später kommt Ihr Chef zur Tür herein. Er sieht weder krank aus, noch scheint es ihm schlecht zu gehen. Nach einem kurzen Gespräch kommt heraus, dass er Ihnen überhaupt keine E-Mail geschrieben hat. Doch woher stammte die vermeintliche Nachricht dann und wer hat nun Zugriff auf die sehr sensiblen Patientenakten?
Wenn Sie so etwas in der Art schon einmal erlebt haben, sind Sie Opfer eines sogenannten „Social Engineering“-Angriffs geworden. Social Engineering tritt in den unterschiedlichsten Formen auf. Um etwas Licht ins Dunkle zu bringen, führen wir Sie deshalb in den nachfolgenden Abschnitten an die Begrifflichkeiten heran, erklären Ihnen die gängigsten Arten von Social Engineering und zeigen Ihnen, wie Sie sich davor schützen können.
Bitte beachten Sie bei den nachfolgenden Abschnitten, dass für die Kriminellen nicht vorrangig ist, ob es sich um Unternehmen, Organisationen oder Praxen handelt. Solange Sie mit sensible Daten und Informationen arbeiten, sind Sie ein potenzielles Ziel.

Was ist Social Engineering eigentlich?

Der Begriff Social Engineering oder auch Social Hacking wird im Bereich der Informationssicherheit verwendet, um eine Vielzahl von Methoden und Techniken zu beschreiben, die von Kriminellen dazu verwendet werden, um ihre Opfer mit psychologischen Tricks zu manipulieren.
Anders gesagt: Cyber-Kriminelle haben die Beeinflussbarkeit des Menschen erkannt und versuchen diese Sicherheitslücke nun für ihre eigenen Zwecke zu instrumentalisieren. Mit Hilfe von ausgefeilten Tricks schaffen es die Hacker, ihre Opfer so zu manipulieren, dass sie Dinge tun, die sie sonst nie gemacht hätten oder vertrauliche Informationen preisgeben, die sie normalerweise für sich behalten würden. Insbesondere sensible und geheime Daten, wie Kreditkarteninformationen oder Firmengeheimnisse, sind an dieser Stelle interessant für die Angreifer.
Darüber hinaus macht die steigende Anzahl von E-Mails, das Wachstum der Sozialen Netzwerke und anderen Formen elektronischer Kommunikation einen Social Engineering Angriff immer attraktiver. Cyber-Kriminelle verwenden nicht viel Zeit darauf, die Systeme einer Organisation mit hoch komplexen Technologie-Hacks auszuhebeln, wenn sie sich bewusst darüber sind, dass sie es mit Social Hacking wesentlich einfacher haben können. Das schwächste Glied in der Sicherheitskette einer Organisation ist deshalb meist nicht in der Technologie zu finden, sondern im Menschen.

„Eine Firma kann Hunderttausende Dollar in Firewalls, Verschlüsselung und andere Sicherheitstechnologien stecken. Doch wenn ein Angreifer eine eigentlich vertrauenswürdige Person anrufen kann, diese sich hereinlegen lässt und der Angreifer somit in das Netzwerk der Firma gelangen kann, dann ist das ganze Geld umsonst ausgegeben worden.“ – Kevin Mitnick

Die oben genannten Erkenntnisse spiegeln sich auch in den aktuellen Zahlen einiger groß angelegter Studien wieder. Knapp 90 Prozent aller Hacking-Angriffe beginnen mit einer Phishing E-Mail, eine der bekanntesten Formen des Social Engineering. Um sich geeignet vor der Manipulation der Kriminellen schützen zu können, sollten Sie die wichtigsten Formen des Social Hackings kennen.

1. Phishing

Beim Phishing handelt es sich um das massenhafte Verschicken von E-Mails. Diese geben vor, von realen Dienstleistern und Webshops wie Amazon oder PayPal zu sein und sehen womöglich vollkommen seriös aus. In diesen Nachrichten versuchen die Kriminellen, Sie davon zu überzeugen, Ihre Daten, Kontoinformationen oder Passwörter weiterzugeben. Darüber hinaus werden Sie häufig dazu aufgefordert auf einen Link zu klicken, der es den Angreifern erlaubt Ihr gesamtes Netzwerk mit einem Schadcode zu infizieren.

2. Spear-Phishing

Spear-Phishing ist eine spezifische Form des Phishings, bei der die Angreifer auf bestimmte Personen, Organisationen oder Unternehmen abzielen. Hierbei werden die Opfer zum Teil über Wochen oder Monate zielgerichtet ausspioniert. Während dieser Zeit werden Gewohnheiten, Alltagsroutinen und Präferenzen in Erfahrung gebracht. Dazu nutzen die Hacker alle öffentlich verfügbaren Informationen aus den sozialen Medien und von Unternehmensseiten. Die daraus resultierenden Spear-Phishing E-Mails sind häufig so täuschend echt, dass knapp 30 Prozent der Betroffenen darauf hereinfallen.
Der im ersten Abschnitt geschilderte Fall ist als Spear-Phishing Angriff zu werten und häufig auch als CEO-Fraud bekannt. Diese Phishing-Masche kann auch als Anruf oder SMS erfolgen und wird dann „Vishing (Voice-Fishing) bzw. Smishing (SMS-Fishing) genannt.

3. Baiting

Beim Baiting (zu Deutsch: ködern) machen sich die Angreifer die menschliche Eigenschaft der Neugierde zunutze. Wie der Name schon verrät, beinhaltet diese Social Engineering Methode einen Köder, welcher sowohl digitaler, als auch physischer Natur sein kann. Einer der beliebtesten Köder ist häufig ein scheinbar zufällig vor dem Bürogebäude verlorener USB-Stick, der mit „wichtig“ oder „vertraulich“ gekennzeichnet ist. Anstelle von echten Informationen verbirgt sich auf diesem Datenträger allerdings eine Schadsoftware, die sich nach dem Einstecken in den Computer automatisch im Netzwerk der Organisation ausbreiten kann.

4. Tailgating

Tailgating ist eine physische Form des Social Engineerings, bei der sich der Kriminelle unerlaubt Zutritt zu einem Gebäude verschafft. Hierbei folgt der Angreifer einem Mitarbeitenden der Organisation und bringt diesen dazu, ihn auch in das Gebäude oder auf das Gelände zu lassen. Der Hacker gibt dabei vor, dass er in seiner Tasche nach dem Schlüssel oder der Zugangskarte sucht oder gerade die Hände voll hat und deshalb nicht an seine Zutrittsberechtigung kommt.

5. Quid pro quo

Die Angriffsmethode Quid pro quo basiert auf dem Prinzip „eine Hand wäscht die andere“. Die Angreifer behaupten hierbei gegenüber Ihren Opfern, dass sie deren Unterstützung benötigen, um eine bestimmte Leistung zu erbringen. Häufig geben sich die Hacker als Mitarbeitende der IT-Abteilung aus und drängen darauf, ein neues Sicherheitsupdate einspielen zu müssen. Um die Installation durchführen zu können, würden jedoch die Zugangsdaten benötigt werden. Sind diese erst einmal ausgetauscht, wird anstelle der neusten Sicherheitsfeatures ein Schadcode platziert.
Wie kann ich mich vor Social Engineering schützen?
Bei allen oben genannten Methoden machen sich die Kriminellen menschliche Eigenschaften wie Vertrauen, Neugierde, Hilfsbereitschaft, Respekt, Angst oder Gier zu nutze. Sobald Sie dies verinnerlicht haben, sind Sie den Hackern einen Schritt voraus. Bleiben Sie jedoch bei jeglichen Kontakten im Internet wachsam, schenken Sie unbekannten Personen nicht zu schnell Ihr Vertrauen und schalten Sie unbedingt Ihren gesunden Menschenverstand ein.
Der unerwartete Gewinn eines entfernten Verwandten, die ungewöhnliche Zahlungsaufforderung Ihres Vorgesetzten oder das komische Dokument Ihres Geschäftspartners – all dies sollte Ihnen verdächtig vorkommen und Sie zur Vorsicht ermahnen. Damit Sie allerdings zukünftig noch besser gewappnet sind, haben wir die wichtigsten Tipps im Kampf gegen Hacker für Sie zusammengetragen.

1. Achten Sie auf verdächtige E-Mails

Bleiben Sie bei jeglichem Kontakt im Internet wachsam. Eine gut fingierte Phishing E-Mail ist oft schwer zu erkennen. Wenden Sie sich deshalb im Zweifelsfall lieber über ein anderes Medium an den Versender (zum Beispiel telefonisch) oder an Ihre IT-Abteilung bzw. Ihren IT-Dienstleister.

2. Schützen Sie Ihre Daten

Verschlüsseln Sie unbedingt all Ihre sensiblen Daten und hinterlegen ein Passwort, wenn die Informationen nicht für jedermann zugänglich sein sollen.

3. Nutzen Sie sichere Passwörter

Nutzen Sie starke und einzigartige Passwörter (mind. 12 Zeichen) und teilen Sie diese mit niemandem. Erstellen Sie darüber hinaus für jede Anwendung ein anderes Passwort, damit Hacker bei einem Datenleak nicht Zugriff auf alle Ihre Systeme haben.

4. Vorsicht bei USB-Sticks

Schließen Sie wenn möglich keine fremden USB-Sticks, oder solche die scheinbar zufällig vor dem Bürogebäude gefunden wurden, an Ihrem Computer an. Diese könnten, genauso wie unbekannte Aufladekabel und E-Zigaretten, eine Schadsoftware enthalten.

5. Lassen Sie Ihre Geräte nicht unbeaufsichtigt

Lassen Sie Ihre Geräte nicht unbeaufsichtigt an unsicheren Orten liegen und melden Sie sich zu jeder Zeit von Ihren Geräten ab, sollten Sie Ihren Arbeitsplatz verlassen.

6. Verwenden Sie eine Zwei-Faktor-Authentifizierung

Das Verwenden einer Zwei-Faktor-Authentifizierung kann dafür sorgen, dass Ihr Konto geschützt bleibt, selbst wenn Ihr Passwort abgegriffen wurde.

7. Führen Sie wichtige Aufgaben nur gemeinsam durch

Das Vier-Augen-Prinzip schützt Sie bei wichtigen Entscheidungen davor, einen Fehler zu machen. Kontaktieren Sie im Zweifel Ihren Vorgesetzten oder Kollegen und fragen Sie ihn, was er davon hält.

8. Engagieren Sie einen Experten

Würden Sie eine schwere Erkrankung versuchen selbst zu heilen oder zu einem Arzt gehen? Bei einem IT-Vorfall ist es ähnlich. Engagieren Sie im Zweifelsfall einen externen Experten oder wenden Sie sich an Ihre IT-Abteilung.

Sobald Sie die oben genannten Tipps in Ihren Alltag integriert haben, sind Sie bereits bestens auf die Methoden der Cyber-Kriminellen vorbereitet. Dennoch sollten Sie eine technische Absicherung und die Überprüfung Ihrer Systeme nicht außer Acht lassen. Regelmäßig durchgeführte Schwachstellenanalysen durch einen Experten sorgen dafür, dass auch von dieser Seite kein Eindringen in Ihr Netzwerk möglich ist.

Autor: Nicholas Peters
Über den Autor:
Nicholas Peters ist einer der Mitgründer von HXNWRK by von Busch GmbH. Gemeinsam mit seinen Kollegen hat er sich das Ziel gesetzt dem deutschen Mittelstand Cyber-Security Themen nahezubringen. HXNWRK hat sich dabei auf Mitarbeiter-Awareness-Schulungen sowie Penetrationstests und Schwachstellenanalysen spezialisiert.