Social Engineering: Mitarbeiter als Angriffsziel von Cyberkriminellen

29. April 2021 | Allgeier CyRis

Die Mail, die dem Mitarbeiter eine Software günstig zum Download zur Verfügung stellt, oder die persönliche Social Media Nachricht, die einen neuen Online-Shop vorstellen möchte: Cyberkriminelle setzen immer stärker darauf, gezielt Menschen ins Visier zu nehmen und sich so zum Beispiel Anmeldedaten oder sensible Finanzinformationen zu beschaffen. Diese Betrugsform ist als Social Engineering bekannt. Social Engineering stellt eine immer größere Bedrohung für Unternehmen dar. Einer Erhebung des Digitalverbands Bitkom zufolge waren in den vergangenen zwei Jahren ca. 40 Prozent der deutschen Unternehmen von Social Engineering betroffen oder vermutlich betroffen. In diesem Beitrag erfahren Sie, welchen Social Engineering-Methoden sich Hacker bedienen und welche Möglichkeiten Betriebe haben, Ihre Mitarbeiter und Ihr Unternehmen davor zu schützen.

Erläuterung: Social Engineering ist ein Verfahren, um sicherheitstechnisch relevante Daten in Erfahrung zu bringen. Kriminelle nutzen dabei menschliche Verhaltensweisen wie Vertrauen, Neugier, Hilfsbereitschaft oder Pflichtbewusstsein aus, um gezielt Handlungen bei ihren Opfern hervorzurufen. Abhängig vom Autoritätslevel der betrogenen Person können durch Social Engineering beträchtliche Schäden entstehen.

Social Engineering Vorfälle gibt es schon seit einigen Jahren. Allerdings hat die Corona-Krise dazu geführt, dass sich die Zahl der Attacken multipliziert hat, findet doch der Berufsalltag seit Monaten nahezu ausschließlich im Digitalen statt. Die Methoden der Angreifer sind dabei heute sehr unterschiedlich:

Phishing/Spear Phishing: Um authentische E-Mail-Inhalte zu verfassen, greifen Hacker auf öffentlich zugängliche Unternehmens- und Mitarbeiterinformationen zurück. Oft bedienen sie sich dabei der Angaben, die in Sozialen Medien zu finden sind. Ziel ist es, Empfänger dazu zu bewegen, Anhänge zu öffnen oder Links zu folgen, die auf gefälschte Internetseiten, Online-Shops oder andere Online-Dienste verweisen. Dort wird meist die Bestätigung eines Zugangs angefordert, mit denen sensible persönliche Daten abgegriffen werden. Spear Phishing stellt eine gezieltere Art des Phishings dar. Klar definierte Nutzergruppen werden mithilfe hoch-personalisierter Inhalte attackiert. Demnach richten sich Spear Phishing-Attacken häufig an bestimmte Abteilungen eines Unternehmens und nicht an die gesamte Belegschaft.

Scareware: “Ihr Rechner ist infiziert”, heißt es in einem plötzlich erscheinenden Popup-Fenster. Eine Liste mit bösartigen Programmen, die sich auf dem Rechner befinden sollen, wird gleich mitgeliefert. So verläuft die klassische Scareware-Attacke. Ziel ist es, Nutzer in Schrecken zu versetzen und eine Ad-hoc-Handlung anzustoßen – nämlich die, eine als Antiviren-Programm getarnte Malware herunterzuladen, mit der Cyberkriminelle zum Beispiel Zugriff auf sensible Unternehmens- oder Kundendaten erhalten.

Media-Dropping: Diese Methode spricht die Neugier potenzieller Opfer an und setzt sich aus einer analogen und einer digitalen Komponente zusammen. Hierbei werden USB-Sticks, CDs oder andere Speichermedien mit Malware infiziert und so platziert, dass sie für Mitarbeiter gut sichtbar sind. Das geschieht in der Regel im Zuge von sogenannten Tailgating-Aktionen, bei denen sich Externe mithilfe von Vorwänden Zugang zu Unternehmensräumen verschaffen. Wird ein Mitarbeiter hierauf aufmerksam, weckt das oft das Verlangen, die Inhalte zu prüfen. Mit dem Öffnen gelangt die Schadsoftware auf den Firmenrechner.

Quid-pro-Quo-Angriffe: „Eine Hand wäscht die andere“ – so lautet die vermeintliche Devise bei dieser Form des Social Engineerings. Cyberkriminelle bauen im ersten Schritt Vertrauen zu ihren Opfern auf, indem sie sich beispielsweise als Service-Personal ausgeben und Hilfestellungen bei bestimmten Aufgaben anbieten. Dafür benötigen sie im Gegenzug allerdings persönliche oder geschäftliche Informationen, mit denen sie sich Zutritt zu Unternehmensrechnern verschaffen.

CEO-Fraud: Beim CEO-Fraud, auch bekannt als Chefbetrug, nutzen Betrüger vor allem das Pflichtbewusstsein bzw. den Respekt vor Autoritäten seitens der Angestellten aus. Mitarbeiter werden dabei durch Vorspiegelung einer falschen Vorgesetzten-Identität getäuscht, zum Beispiel per E-Mail oder Telefon. Bei Letzterem greifen die Betrüger auf Künstliche Intelligenz (KI) zurück, um Stimmen relevanter Führungskräfte aus dem eigenen Unternehmen zu imitieren. Inhaltlich geht es bei dieser Form häufig um eine schnell zu tätigende Überweisung (i.d.R. Auslandsüberweisung) – besonders betroffen sind daher Finanz- und Buchhaltungsabteilungen von Unternehmen.

Die größten Sicherheitsrisiken bei der Arbeit auf Distanz

Home-Office und das Arbeiten per Remote vereinfachen es Cyberkriminellen, sich mithilfe von Mitarbeitern Zugang zu Unternehmensnetzwerken zu verschaffen. Die Gründe hierfür sind vielfältig:

Der direkte Kontakt zur IT-Abteilung fehlt: Mitarbeiter im Home-Office neigen dazu, sich bei IT-Problemen online zu informieren, da ihnen der direkte Kontakt zur den IT-Administratoren fehlt. Dabei laufen sie Gefahr, auf nicht vertrauenswürdige Quellen im Internet zu stoßen.
Schatten-IT: Schatten-IT bezieht sich auf alle Geräte und Anwendungen, die sich außerhalb der Sichtbarkeit und Kontrolle der unternehmenseigenen IT-Verantwortlichen befinden. Beispiele sind mit dem privaten Netzwerk verbundene Smart-Home-Geräte sowie Tools und Anwendungen, die von Mitarbeitern eigenständig aus dem Internet heruntergeladen werden. Das hiermit verbundene Risiko können Mitarbeiter oftmals nicht bewerten. So kann es geschehen, dass neben den eigentlichen Anwendungen auch versteckte Schadprogramme heruntergeladen und installiert
werden.
Private Nutzung der Firmen-IT: Im Home-Office werden Firmengeräte oft auch von mehreren Familienmitgliedern für private Zwecke genutzt. Ob für Social-Media-Aktivitäten, Online-Shopping oder zur Informationsgewinnung – die Gefahr, Social Engineering zum Opfer zu fallen, vervielfacht sich hiermit.
Zusätzliche Schulungsangebote fehlen: Viele Unternehmen haben bei den Forderungen nach vermehrter Arbeit aus dem Home-Office ad hoc reagiert und entsprechend kurzfristig IT-Infrastrukturen geschaffen. Mitarbeiter-Schulungen, in denen die Belegschaft auf die Umstellung vorbereitet wurden, gab es indes nicht. Dabei überfordert viele Mitarbeiter die neue, ungewohnte Situation aufgrund fehlenden Know-hows – vor allem mit Blick auf die IT-Sicherheit. Sie sind sich den Gefahren schlichtweg nicht bewusst. Das hat zur Folge, dass Risiken von Mitarbeitern unterschätzt werden und sie Cyberkriminellen zum Opfer fallen.

Gut geschulte Mitarbeiter sind die beste Versicherung

Jeder einzelne Mitarbeiter kann in einem Unternehmen Opfer von Social Engineering werden. Betriebe sollten daher Wert darauflegen, das Bewusstsein für diese wachsende Bedrohungsform zu stärken. Das Wissen der Belegschaft hierzu sollte regelmäßig überprüft und laufend aktualisiert werden, denn Cyberkriminelle entwickeln kontinuierlich neue Formen, die „Schwachstelle Mensch“ auszunutzen. Mit Mitarbeitern, die für das Thema Security Awareness sensibilisiert worden sind, kann das Risiko, Opfer einer Social Engineering Attacke zu werden, erheblich gesenkt werden.

Seminare und Workshops stellen adäquate Formate hierfür dar. Grundlegende Themen sollten dabei die Erkennung gefakter E-Mails sowie Anforderungen an Passwörter und sichere Kommunikation sein. Mithilfe von Phishing-Simulationen durch IT-Experten sollten Bedrohungen verdeutlicht und das Bewusstsein geschärft werden. Durch regelmäßige Simulationen lassen sich zudem Fortschritte beim Thema IT-Sicherheit messen.

Risikofaktor Social Engineering

Laden Sie jetzt unsere IT-Security Insights kostenfrei herunter.

ZUM DOWNLOAD l

Stärken Sie Ihr „Schutzschild Mitarbeiter“

Als Spezialist auf dem Gebiet der IT-Sicherheit bietet die Allgeier CyRis umfangreiche Awareness-Trainings und Sensibilisierungsmaßnahmen für Führungskräfte und Mitarbeiter an: von interaktiven Online-Schulungen über Live-Workshops bis hin zu standort-übergreifenden Sicherheitskampagnen.

Fazit

Social Engineering hat sich zu einem der größten Cyberrisiken für Unternehmen entwickelt. Cyberkriminelle attackieren vermehrt die „Schwachstelle Mensch“ via E-Mail, Social Media oder per Telefon, um sich Informationen zu Unternehmensnetzwerken oder Online-Diensten zu verschaffen. Remote-Work als „Neue Normalität“ führt dazu, dass sich Hackern immer neue Angriffspunkte bieten. Umso wichtiger ist es für Betriebe, auf das Bedrohungspotential hinzuweisen und ihre Mitarbeiter für die Gefahren zu sensibilisieren.

Artikel teilen:

CYBERSECURITY-WISSEN DIREKT IN IHR POSTFACH!

WERDEN SIE ZUM CYBERSECURITY INSIDER

CYBERSECURITY INSIGHTS HIER ABONNIEREN ✔

Herkunft	Cookie	Typ	Beschreibung	Ablauf
Cookie Consent	mysign_cookiebanner	HTTP	Wird benötigt um die vom Nutzer ausgewählten Cookie Präferenzen zu speichern.	1 Jahr
Google	test_cookie	HTTP	Verwendet, um zu überprüfen, ob der Browser des Benutzers Cookies unterstützt.	1 Tag
MaTelSo GmbH	mat_tel	HTTP	Hierbei handelt es sich um einen Dienst, der die Auswertung des Anrufverhaltens durch die Nachverfolgung von Telefonnummern ermöglicht.	2 Jahre
www.allgeier-cyris.de	JSESSIONID	HTTP	Behält die Zustände des Benutzers bei allen Seitenanfragen bei.	Session

Herkunft	Cookie	Typ	Beschreibung	Ablauf
Google	_ga	HTTP	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.	2 Jahre
Google	_gat	HTTP	Wird von Google Analytics verwendet, um die Anforderungsrate einzuschränken	1 Tag
Google	_gid	HTTP	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.	1 Tag
LinkedIn	lang	HTTP	Speichert die vom Benutzer ausgewählte Sprachversion einer Webseite	Session

Herkunft	Cookie	Typ	Beschreibung	Ablauf
Google	_gcl_au	HTTP	Wird von Google AdSense zum Experimentieren mit Werbungseffizienz auf Webseiten verwendet, die ihre Dienste nutzen.	3 Monate
Google	_gcl_au	HTTP	Wird von Google AdSense zum Experimentieren mit Werbungseffizienz auf Webseiten verwendet, die ihre Dienste nutzen.	3 Monate
Microsoft Ireland Operations Limited	_uetsid	Cookie	Dies ist ein Tracking-Cookie, das für gezielte Werbung verwendet wird.	1 Tag
Microsoft Ireland Operations Limited	MUID	Cookie	Dies ist ein Tracking-Cookie zur Identifizierung von Benutzern, um gültige Klicks für gezielte Werbung zu zählen.	1 Jahr, 25 Tage
Microsoft Ireland Operations Limited	MUIDB	Cookie	Hierbei handelt es sich um ein Cookie zur Benutzeridentifizierung, das von Microsoft Bing Ads verwendet wird und der gezielten Werbung dient.	1 Jahr, 25 Tage
Microsoft Ireland Operations Limited	SRCHUSR, SRCHUID, SRCHD	Cookie	Dieses Cookie ermöglicht es, Besuchern im gesamten Microsoft Bing-Netzwerk relevante Werbung zu präsentieren.	1 Jahr
Microsoft Ireland Operations Limited	SRCHHPGUSR	Cookie	Dieses Cookie hilft dabei, die Wirksamkeit von Werbekampagnen im Bing-Werbenetzwerk zu verfolgen.	1 Jahr
Microsoft Ireland Operations Limited	_RwBf	Cookie	Dies wird von einem Drittanbieterdienst, Bing, für die Nachverfolgung von Werbung festgelegt.	1 Jahr
Microsoft Ireland Operations Limited	_HPVN	Cookie	Dies ist ein 1st-Party-Cookie von Microsoft MSN, der das ordnungsgemäße Funktionieren der Website gewährleistet.	Session
Microsoft Ireland Operations Limited	MSCC	Cookie	Diese Cookies verfolgen das Nutzerverhalten auf der Website und Interaktionen mit der Bing Maps API.	1 Jahr
Microsoft Ireland Operations Limited	ABDEF	Cookie	Dieses Cookie wird vom Bing-Werbenetzwerk für die Nachverfolgung von Werbung verwendet.	Session
Microsoft Ireland Operations Limited	_uetvid	Cookie	Hierbei handelt es sich um ein Tracking-Cookie, das für gezielte Werbung verwendet wird.	1 Jahr, 24Tage
Google	pagead/landing	Pixel	Sammelt Daten zum Besucherverhalten auf mehreren Webseiten, um relevantere Werbung zu präsentieren - Dies ermöglicht es der Webseite auch, die Anzahl der Anzeige der gleichen Werbung zu begrenzen.	Session