Social Engineering: die unsichtbare Bedrohung

Author: Michael Vogel

26. Apr. 2023 Sicherheit bei der Arbeit / Digitalisierung

Das Cyberrisiko steigt. Ausgenutzt für Attacken werden sowohl technische Schwachstellen als auch die Gutmütigkeit der Menschen.

Im vierten Quartal 2022 verzeichnete die Welt einen traurigen Rekord: Durchschnittlich fanden 1.168 Cyberattacken pro Woche und Organisation statt, ein Allzeithoch. Aufs Gesamtjahr bezogen lag die Zahl der Cyberattacken 2022 um 38 Prozent höher als 2021. Die Zahlen stammen von dem amerikanisch-israelischen IT-Sicherheitsunternehmen Check Point, das die weltweite IT-Bedrohungslage seit Längerem erfasst. Die drei am häufigsten attackierten Branchen waren laut Check Point akademische Einrichtungen, staatliche Einrichtungen sowie der Gesundheitssektor.
Die wirtschaftlichen Schäden, die durch Cyberattacken entstehen, lassen sich in ihrer Gesamtheit nur schwer beziffern. Zahlen, die immer mal wieder kommuniziert werden, fallen recht unterschiedlich aus. Gemeinsam ist ihnen jedoch, dass sie hoch sind, so hoch, dass die bei der Angabe verwendete Währung fast schon nachrangig wird. Es geht um Milliarden – oder mehr. Betrachtet man Einzelfälle, wird der entstandene Schaden anschaulicher.
Ransomware legt Landkreis lahm
Ein Beispiel ist der Landkreis Anhalt-Bitterfeld, der im Juli 2021 ungewollt IT-Geschichte schrieb, als er zum ersten digitalen Katastrophenfall Deutschlands wurde. Nach einem erfolgreichen Angriff mit Ransomware konnten die Behörden Elterngeld, Arbeitslosen- und Sozialgeld, Kfz-Zulassungen und weitere bürgernahe Dienstleistungen nicht mehr erbringen. Fast tausend Beschäftigte der Verwaltung durften nur noch mit Telefon und Fax arbeiten, weil die Dienstrechner von einer Schadsoftware befallen waren.
Unter den Begriff Ransomware fällt Erpressungssoftware, die unbemerkt in ein IT-Netzwerk eingeschleust wird und dort Daten verschlüsselt oder den Zugriff auf Computer verhindert. Meist steht dann eine Lösegeldforderung im Raum. Ransomware ist seit Jahren weltweit eine rasant wachsende Gefahr. Allein für die deutsche Wirtschaft bezifferte der Branchenverband Bitkom den dadurch verursachten wirtschaftlichen Schaden auf 24 Milliarden Euro im Jahr 2021.
Der Landkreis Anhalt-Bitterfeld weigerte sich, das Lösegeld zu zahlen. Nach 207 Tagen endete der Katastrophenfall, nachdem die IT-Systeme komplett neu aufgesetzt worden waren. Doch selbst ein Jahr nach dem Vorfall waren manche Dienste noch betroffen, zum Beispiel das Umweltregister.
Ein anderes Beispiel für die Folgen einer Cyberattacke liefert das europäische Satellitennetzwerk KA-SAT, dessen Kommunikationsdienste nahezu zeitgleich mit Beginn der russischen Invasion in der Ukraine Ende Februar 2022 schwer beeinträchtigt waren. Mutmaßlich sollte die Cyberattacke ukrainische Kundinnen und Kunden vom Satelliteninternet abschneiden. Doch betroffen waren unter anderem auch Deutschland, Frankreich und Irland, mutmaßlich ein Kollateralschaden. Infolge der Störung ließen sich zum Beispiel 5.800 Windenergieanlagen nicht mehr aus der Ferne warten. Der Angriff erfolgte über einen falsch konfigurierten Zugang ins Managementnetz des Satellitennetzes. So ließen sich mehrere Zehntausend Modems auf einen Schlag stören.
Hinterlistige Mails helfen Kriminellen
Doch Cyberangriffe gelingen keineswegs nur aufgrund technischer oder organisatorischer Schwachstellen. Auch der Mensch ist unmittelbar Angriffen ausgesetzt, die ihren Ursprung in Mails, SMS, Social-Media-Nachrichten oder Anrufen haben können. Die zugrundeliegende Überlegung der Kriminellen: Warum mühselig technische Schwachstellen in einem Unternehmensnetz suchen, wenn jemand aus der Belegschaft das Gewünschte auf dem Silbertablett liefert? Social Engineering nennt sich das. Es beginnt zum Beispiel mit einer Mail, die vermeintlich von einem Geschäftspartner oder jemandem aus dem eigenen Unternehmen stammt. Absender, Anmutung und Inhalt der Mail sind mehr oder minder gut gefälscht. Wobei die Zahl der Spam-Mails zunimmt, die extrem gute Fälschungen sind: ohne Schreib- und Grammatikfehler, mit korrekter Anrede und korrektem Firmenlogo des vermeintlichen Absenders. In der Mail gibt es dann einen Link oder einen Anhang, über den das Opfer Daten preisgibt oder sich unbemerkt eine Schadsoftware einfängt, die sich dann im Unternehmensnetz breitmacht.
Sehr viel schwieriger zu durchschauen ist Social Engineering, wenn das Opfer zunächst ausgespäht wurde – seine Kontaktdaten, sein Lebenslauf, sein Umfeld. Im Prinzip lassen sich alle öffentlich zugänglichen Informationen nutzen, um im nächsten Schritt das Vertrauen des Opfers zu gewinnen, indem ihm mit den gesammelten Informationen eine falsche Identität vorgegaukelt wird. Das Opfer soll dann sensible Daten, etwa die Zugangsdaten zum Unternehmensnetz, preisgeben. Der Angriff ist in eine Geschichte eingebettet. Da ist etwa der Vorgesetzte, der irgendwo auf der Welt in einer schwierigen Verhandlung steckt und dringend an bestimmte Daten herankommen muss – aber sein Passwort vergessen hat. Die Kontaktaufnahme kann per Mail sein, aber auch per Social Media oder gar telefonisch.
Niemand ist vor Cyberattacken sicher
Treffen kann eine Cyberattacke jeden. Egal ob Einrichtungen der öffentlichen Hand oder Einrichtungen, die zur kritischen Infrastruktur eines Landes gehören, egal ob Weltkonzerne oder kleine und mittelständische Unternehmen – niemand ist sicher. Das von der Allianz jährlich erstellte „Risk Barometer“ nennt für 2023 zum zweiten Mal nach 2022 Cybervorfälle als das größte Risiko. Befragt wurden mehr als 2.700 Risk-Management-Fachleute aus 94 Ländern und Territorien. Da große Unternehmen auf die Bedrohungslage mit mehr finanziellen und personellen Ressourcen reagieren, rücken laut dem „Risk Barometer“ verstärkt kleine und mittlere Unternehmen bei Cyberattacken in den Fokus.
Herumgesprochen hat sich das anscheinend noch immer nicht überall, wie ein Beispiel aus Deutschland zeigt. Ein vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) initiierter Sicherheits-Check, an dem 19 Mittelständler aus Logistik, Groß- und Einzelhandel teilnahmen, deckte bei 18 Firmen Schwachstellen auf, die Einfallstore für Cyberattacken gewesen wären. Laut einer begleitenden Umfrage im Auftrag des GDV unter 300 Unternehmen der genannten Branchen gingen jedoch fast zwei Drittel von einem geringen Cyberrisiko für ihr Unternehmen aus – weil die Firma zu klein sei oder die Daten für Kriminelle uninteressant seien. Das könnte sich als fataler Irrtum erweisen.
„Phishing ist das größte Problem“
Menschen sind beliebte Opfer von Cyberkriminellen, die nicht allein technische Sicherheitslücken ausnutzen wollen. Graham Stanforth, Leiter der DEKRA Business Line „Information Security Training“ erläutert die Gefahren und Gegenmaßnahmen.
Warum funktioniert Social Engineering?
Stanforth: Es ist ja immer wieder die Rede von der „Schwachstelle Mensch“, das finde ich eine unschöne Formulierung. Menschen haben für gewöhnlich positive Eigenschaften: Wir wollen vertrauenswürdig sein, sind neugierig und respektvoll, wir wollen helfen, wollen als Team agieren. Bei unserem Gegenüber gehen wir davon aus, dass es genauso ist. Das Social Engineering nutzt diese positiven Eigenschaften der Menschen leider schamlos aus.
Welche Trends gibt es im Social Engineering?
Stanforth: Seit ein paar Jahren dominiert das Phishing. Ich schicke eine gefälschte Mail mit Link oder Anhang und hoffe, dass das Opfer auf den Link klickt beziehungsweise den Anhang öffnet. Was man technisch dafür braucht, lässt sich heute für wenig Geld online kaufen und bequem an die eigenen Absichten anpassen. Das geht komfortabel und einfach. Auf Knopfdruck kann ich dann eine halbe Million Mails verschicken – irgendjemand fällt immer darauf rein. Die Klickraten liegen bei fünf bis zehn Prozent.
Haben Sie Verhaltenstipps für den Arbeitsalltag?
Stanforth: Sehr hilfreich sind Awareness-Schulungen für alle, die mit vernetzten Geräten in Berührung kommen. Eine wichtige Botschaft dieser Schulungen lautet, dass es keine 100-prozentige Sicherheit gibt. Deshalb müssen Mitarbeitende sich ihrer Verantwortung bewusst werden. Verlasse ich zum Beispiel meinen eingeschalteten Rechner, muss ich den Bildschirm sperren. Oder: Wer kann mir beim Arbeiten auf den Monitor schauen? Welche Informationen kann ich bedenkenlos in Social Media teilen? Wie gehe ich mit Dienst-Notebook und -Smartphone in der Öffentlichkeit verantwortungsvoll um? All das wissen wir eigentlich. Aber wir müssen dafür immer wieder sensibilisiert werden, damit sich keine unsicheren Routinen einschleichen.
Welche Trainings bietet DEKRA in Sachen Awareness an?
Stanforth: Wir bieten alles für die Durchführung von Awareness-Kampagnen. Dazu gehört auch ein Manager-Dashboard, von dem aus sich Phishing-Mails verschicken lassen, um zu sehen, wie hoch die Klickraten im eigenen Unternehmen sind. Damit gekoppelt sind E-Learning-Module, um die ermittelten Schwächen gezielt anzugehen. Im Lauf der Zeit lassen sich so auch Lernfortschritte der Organisation dokumentieren.
Bietet DEKRA auch das Social Engineering-Pendant zu technischen Penetrationstests, versucht also als „guter Hacker“ Menschen zu täuschen?
Stanforth: Ja, die Unternehmen entscheiden dabei, was DEKRA vorab erfährt und wo DEKRA Zugang bekommt. Nach der Vorbereitung auf das Unternehmen schicken wir einen Pentester los, der mit Social Engineering-Techniken versucht, Informationen abzugreifen. Er gibt sich zum Beispiel als jemand aus, der die feuerpolizeilichen Vorgaben im Gebäude überprüfen muss und schaut, an welche Informationen er noch nebenbei herankommt. Der Abschlussbericht lässt sich auch im Rahmen einer Sicherheitszertifizierung nach ISO 27001 nutzen.