Das 1×1 der IT-Sicherheit: Social Engineering oder Angriff auf unser Vertrauen

Das 1x1 der IT-Sicherheit

Es klingt wie aus einem Krimi – ist aber Alltag im Internet: Cyberkriminelle spielen mit den Emotionen ihrer Opfer, um an vertrauliche Informationen, private Daten oder Geld zu gelangen. Die Strategie hinter dem sogenannten Social Engineering: Die Täter*innen missbrauchen gezielt unser Vertrauen, um Privatpersonen oder ganze Unternehmen zu attackieren  mit schwerwiegenden Folgen, wie Datendiebstahl oder dem Ausrauben ganzer Konten. In Teil 15 unserer Serie „Das 1×1 der IT-Sicherheit“ erklären wir, welche Strategien Hacker*innen beim Social Engineering einsetzen  und wie wir uns davor schützen können. 

Aktuell arbeiten viele Menschen auf Grund der Pandemie vermehrt aus dem Homeoffice. Die Kommunikation mit den Kolleg*innen findet fast ausschließlich digital statt – über E-Mail, Chat, Telefon- und Videokonferenzen. Hinzu kommt, dass wir unsere Arbeitsweise immer wieder an neue Gegebenheiten anpassen müssen: Durch stetige Neuerungen hinterfragen wir manchmal Informationen weniger, öffnen unbewusst Emails und Dokumente oder klicken auf Links, weil wir im Alltagstrott nicht darüber nachdenken. Doch das kann fatale Folgen habenKommt die E-Mail mit den Corona-Updates wirklich aus der unternehmenseigenen IT-Abteilung? Wohin führt der Link, dem man möglichst schnell für eine System-Aktualisierung folgen soll? Die Gefahr von Cyberangriffen ist während der COVID-19-Pandemie deutlich gestiegen. Interpol berichtete im Zeitraum zwischen Januar und April von fast einer Millionen Spam-E-Mails737 Malware-Angriffen und 48.000 gefährlichen URLs, die sich vorgeblich mit COVID-19 befassen. Den weltweiten Höhepunkt der Cyberangriffe unter dem Deckmantel des Virus‘ haben wir von Microsoft (bislang) in den ersten Märzwochen beobachtet  die Angreifer*innen blieben zwar vorwiegend die gleichen, sie nutzen COVID-19 allerdings als neuen Köder, um ihre Malware zu verbreiten. Denn das Virus und die Pandemie sind täglich in den Schlagzeilen, permanentes Gesprächsthema mit Kolleg*innen oder Freund*innen und stellen eine Gefahr für uns Menschen dar. Warum also sollte die Email nicht echt sein?  

Der Mensch bleibt also das Einfallstor für kriminelle Hacker*innen – sie nutzen unsere Verhaltensweisen gezieltum technische Sicherheitsvorkehrungen zu umgehen. Laut Human Factor Report sind 99 Prozent aller Cyberattacken weltweit so geplant, dass sie nur mit Hilfe menschlicher Interaktion gelingen. 

Wie Kriminelle Vertrauen ausnutzen, um digitale Daten und Firmennetze zu hacken 

Cyberkriminelle nutzen menschliche Emotionen wie Vertrauen, Angst, Druck oder Verwirrung, um ihre Opfer etwa auf manipulierte Internetseiten zu locken. Dort haben sie es auf sensible Daten abgesehen, zum Beispiel auf Zugänge für Unternehmensaccounts. In vielen Fällen täuschen Täter*innen dafür – häufig in E-Mails – eine Identität vor, die auf den ersten Blick vertrauenswürdig erscheintDas kann angeblich die Chefin sein, die dringend innerhalb der nächsten Stunde eine Antwort erwartet, ein Kollege oder im Privaten auch eure Liebsten: 

  • Die „beste Freundindie Urlaubsfotos in einer Rundmail schickt, die mit Schadsoftware belegt sind. 
  • Ein vermeintlicher Systemadministrator, der zur Erneuerung des Accounts das Passwort eines Beschäftigten verlangt. 
  • Eine scheinbare Nachricht der Chefin kurz vor Feierabend an einem Freitagnachmittagdass dringend noch eine Überweisung geschehen muss.  

Die Methoden des Social Engineering sind häufig der Anfang folgenreicher Phishing-Attacken – also im übertragenen Sinne das Fischen von Passwörtern und sensiblen Daten. Der finanzielle Schaden für Konzerne ist beträchtlich: Besonders betroffen ist etwa das Gesundheitswesen, dort wurden im vergangenen Jahr durch Cyberangriffe Kosten in Höhe von geschätzten 25 Millionen US-Dollar verursacht. Manchmal wird auch schon bei einem Klick auf den Link Schadsoftware installiertAn dieser Stelle ist Vorsicht geboten: Die Websites oder Absender*innen der Kriminellen sehen erschreckend echt aus und immer mehr PhishingSeiten verwenden einen https-Link, der im Normalfall Vertrauenswürdigkeit und Seriosität verspricht. Laut BSI führt mehr als jeder zweite Phishing-Link (60 Prozent) auf eine https-Seite.  

Hinzu kommt, dass statt unbekannter Absenderadressen auch bereits erfolgreich gehackte Email Accounts genutzt werden. In diesen Fällen werden gezielt die Kontaktlisten den gehackten Accounts genutzt. Dies macht das Ganze noch gefährlicher, da die vermeintliche Email Adresse ja eine bekannte ist und wir dadurch noch weniger hinterfragen, ob die Nachricht echt ist.  

Häufig richten Hacker*innen ihre Angriffe auf ausgewählte Personen. Beim Spear Phishing werden gezielt manipulative E-Mails an Menschen geschickt, die zuvor über soziale Netzwerke als mögliches Einfallstor in bestimmte Unternehmen identifiziert wurden. Oder die Attacke richtet sich wie beim CEO-Fraud direkt an Beschäftigte mit direktem Kontakt zur Führungsetage, um zum Beispiel vermeintlich im Auftrag des Top-Managements Überweisungen von hohen Geldbeträgen zu veranlassenIn manchen Fällen greifen die Täter*innen sogar noch tiefer in die Trickkiste und versuchen ihre Opfer durch Anrufe, die täuschend echt klingen, zu verwirren: Mit der sogenannten Deepfake-Technologie auf Basis von künstlicher Intelligenz können die Kriminellen beispielsweise die Stimme einer Führungskraft simulieren und so Informationen per Telefonat entlocken. Auch das zeigt erneut, dass sich Cyberkriminelle modernsten Technologien bedienen und wir uns nur ausreichend dagegen schützen können, indem wir diese ebenso zur Verteidigung einsetzen. Ein Wettlauf also, um den Einsatz der besten Technik.  

Wie können wir uns vor den Cyberangriffen schützen?

Hier sind einige Grundregeln, die vor den Social-Engineering-Fallen schützen können: 

  • Verantwortungsvoll in sozialen NetzwerkenKriminelle können schnell an viele persönliche Daten gelangen, wenn die Privatsphäre-Einstellungen in sozialen Netzwerken nicht genutzt werden. Das Risiko für Täuschungsversuche und Identitätsdiebstahl steigt, je leichter es ist, an persönliche Daten zu gelangen. Vertrauliche Informationen über den Arbeitgeber oder Details zur persönlichen Arbeit sollten nicht in sozialen Netzwerken kommuniziert werden. Ebenso sollten die Privatsphäre Einstellungen so genutzt werden, dass nur direkte Kontakte die Daten eines Profils einsehen können. Öffentliche Profile sollten, so weit möglich, vermieden werden. 
  • Keine sensiblen Daten teilen: Passwörter, Zugangsdaten oder Kontoinformationen sollten niemals per Telefon, E-Mail oder auf sonstige Art und Weise geteilt werdenDiese sind ausschließlich für den Inhaber dieser Daten gedacht. Banken, seriöse Firmen und auch IT-Administratoren fordern ihre Kund*innen oder Kolleg*innen beispielsweise nie auf, ihr Passwort zu teilen. 
  • Besondere Vorsicht bei E-Mails von unbekannten Absender*innenVon E-Mails geht die größte Gefahr aus. Sollte nur der kleinste Verdacht bestehen, hilft der 3-Sekunden-Sicherheits-Check des BSI: Wer könnte die/der Absender*in sein? Ist der Betreff sinnvoll? Macht es Sinn, dass die E-Mail möglicherweise einen Anhang hat? Im Zweifel: Besser nicht reagieren und auf einem anderen, bekannten Weg, beim vermeintlichen Absender nachfragen, ob eine solche Email wirklich verschickt worden ist. 
  • Zweifeln nachgehen: Weckt der Inhalt einer Mail Zweifel, kann ein kurzer Anruf genügen, um einen großangelegten Betrug zu verhindern. Um einen Betrugsversuch zu melden, steht bei Microsoft diese Webseite zur Verfügung. Und auch andere Anbieter wie Google, Amazon, Facebook und Twitter bieten ihren Nutzern Ressourcen an, um Angriffe zu melden. Nutzt diese Möglichkeiten und unterstützt somit den Kampf gegen Cyberkriminelle.  

Mehr Informationen zu dem Thema und den Arten von Datendiebstahl und Missbrauch, die Cyberkriminelle heute so gefährlich machen, findet ihr außerdem in unserer Gewusst-Wie Reihe: „So schützt ihr euch vor Phishing, Scamming und Social Engineering“.


Ein Beitrag von Stratos Komotoglou
Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland
@HerrStratos
Profilbild Stratos Komotoglou

Tags: ,

Weitere Infos zu diesem Thema

21. Oktober 2020
Gewusst wie: Sicher unterwegs im Internet

Der Browser ist für viele Nutzer*innen der Zugang in die digitale Welt. Welche Einstellungen und grundsätzliche Verhaltensregeln euch helfen, euer Surferlebnis sicherer zu machen, erfahrt ihr in unserer neuen Folge „Gewusst wie – euer Guide für mehr IT-Sicherheit im Alltag“.