Neben den IT-Systemen eines Unternehmens stellen auch seine Mitarbeiter ein signifikantes Angriffsziel dar. Hierbei versuchen Angreifer die menschlichen Eigenschaften von Mitarbeitern auszunutzen, um an vertrauliche Informationen zu gelangen oder Mitarbeiter zu schädlichen Aktionen zu verleiten. Solche Angriffe werden unter dem Begriff Social Engineering zusammengefasst.
Wir wollten es genauer wissen und haben Ludger Goeke von der Social Engineering Academy (SEA) GmbH zu den jüngsten Entwicklungen, den wichtigsten Punkten, die jeder kennen sollte und zur Sensibilisierung von Mitarbeitern befragt.
1. Herr Goeke, welche Entwicklungen konnten Sie jüngst beim Thema Social Engineering beobachten und welche Erfahrungen haben Sie selbst damit gemacht?
Phishing-Angriffe anhand von E-Mails stellen weiterhin die häufigste Art von Social Engineering-Angriffen dar. Hierbei ist neben den traditionellen spambezogenen Phishing-Mails ein Anstieg von zielgerichteten Phishing-Angriffen zu verzeichnen. Bei diesen zielgerichteten Angriffen, die auch Spear-Phishing genannt werden, sind die Inhalte der Phishing-Mails spezifisch auf die designierten Opfer zugeschnitten. Ein Beispiel für einen solchen Phishing-Angriff ist ein Business E-Mail Compromise. Bei einem solchen Angriff nimmt ein Angreifer eine falsche Identität an, um Mitarbeiter eines Unternehmens, die entsprechende Befugnisse besitzen, durch den Inhalt einer E-Mail zu unrechtmäßigen Geldtransfers auf ein Konto des Angreifers zu bewegen.
Außerdem ist zu beobachten, dass auch Filesharing-Dienste im Rahmen von Phishing-Angriffen missbraucht werden. In diesem Zusammenhang enthält eine Phishing-Mail einen Link, der ein Dokument, das innerhalb eines Filesharing-Dienstes verwaltet wird, referenziert. Dieses Dokument enthält wiederum einen schädlichen Link oder eine Schadsoftware. Solche Phishing-Mails werden in der Regel nicht von E-Mail-Filtern erkannt, da die enthaltenen Links auf Ressourcen von seriösen Diensten verweisen.
Ein weiterer Trend besteht darin, dass sich Phishing-Angriffe nicht mehr ausschließlich auf E-Mails beschränken. So werden auch soziale Netzwerke und Instant Messaging-Anwendungen für Phishing-Angriffe missbraucht, wobei die klassischen Techniken des E-Mail-Phishing in Form von schädlichen Links und Schadsoftware verwendet werden.
So genannte Deepfake-Angriffe stellen eine relativ neue Social Engineering-Bedrohung dar. Bei Deepfake-Angriffen erstellen Angreifer manipulierte Medieninhalte, wie Videos oder Audioinhalte, um diese fälschlicherweise der Identität einer anderen Person zuzuordnen. Hierzu werden Softwarewerkzeuge verwendet, die Konzepte der Künstlichen Intelligenz und des Maschinellen Lernens umsetzen. Es wurden bereits erfolgreiche Deepfake-Voice-Angriffe durchgeführt, bei denen die Stimme von Vorgesetzten bei einem Telefongespräch mit Hilfe von Deepfake-Technologien nachgestellt wurden, um die Ausführung von unrechtmäßigen Zahlungsanweisungen zu erreichen. Im Rahmen eines Deepfake-Video-Angriffs könnte beispielsweise das Gesicht einer Person in einem vorproduzierten Video über das Gesicht einer Schauspielerin beziehungsweise eines Schauspielers gelegt werden, um diese Person oder das zugehörige Unternehmen mit dem Video zu erpressen. Ein weiteres Angriffsszenario zielt darauf ab, mit Hilfe von Deepfake-Videos kamerabasierte Authentisierungsmechanismen zu umgehen.
Meine persönlichen Erfahrungen mit Social Engineering beziehen sich auf spam-bezogene Phishing-E-Mails, die ich allerdings zum größten Teil relativ einfach anhand des Absenders, der schlechten Sprache und des fehlerhaften inhaltlichen Bezugs identifizieren konnte.
2. Was sind die wichtigsten Punkte, auf die jeder achten sollte, um nicht Opfer von Social Engineering zu werden?
- Es sollte immer „bewusst“ gehandelt werden. So sollten beispielsweise nicht aus einem Impuls heraus ein Link oder Anhang in einer E-Mail einfach angeklickt werden. Vor der Ausführung einer Aktion sollte immer die Glaubwürdigkeit des zugehörigen Sachverhaltes geprüft werden. Bei Zweifeln sollte eine zusätzliche Absicherung eingeholt werden. Außerdem sollte man sich beim Treffen von Entscheidungen und der Durchführung von entsprechenden Aktionen nie durch äußere Umstände, wie zum Beispiel Zeitdruck, beeinflussen lassen.
- Anfragen in Bezug auf Anmeldedaten, Finanzinformationen und andere persönliche Informationen sollten grundsätzlich abgelehnt werden.
- Auf verwendeten Geräten sollten technische Maßnahmen, wie zum Beispiel E-Mail-Spamfilter, Antivirenprogramme oder Firewalls, installiert sein. Diese technischen Maßnahmen sowie das Betriebssystem und weitere verwendete Software sollten durch Softwareaktualisierungen immer auf dem neusten Stand gehalten werden.
- Jeder sollte sich der unterschiedlichen Gefahren durch Social Engineering bewusst sein.
- Innerhalb von privaten und beruflichen sozialen Netzwerken sollten keine kritischen Informationen offengelegt werden.
- Es sollte eine zweifelnde Grundhaltung eingenommen werden.
- Quellen, wie beispielsweise der Absender einer E-Mail oder die Telefonnummer bei einem wichtigen Anruf, sollten immer überprüft werden.
3. Welche Schritte können Unternehmen einleiten, um ihre Mitarbeiter für Social Engineering zu sensibilisieren?
Die Mitarbeiter sollten durch Schulungs- und Trainingsmaßnahmen mit den Gefahren des Social Engineering vertraut gemacht werden und Verhaltensweisen erlernen, um Social Engineering-Angriffe abwehren zu können. Hierbei ist es wichtig, dass die Mitarbeiter die Lerninhalte mit ihrem Arbeitsalltag verbinden können. Dementsprechend sollten die Inhalte die Charakteristiken des Unternehmens, seine Sicherheitsrichtlinien und die unterschiedlichen Rollen der Mitarbeiter wiederspiegeln. Als Trainingsmaßnahme bieten sich Lernspiele – so genannte Serious Games – an, mit deren Hilfe die Mitarbeiter ihr erworbenes Wissen aktiv anwenden und somit vertiefen können. Weiterhin kann eine gezielte Sensibilisierung von Mitarbeitern für E-Mail-Phishing-Angriffe durch so genannte Phishing-Kampagnen, in denen Angriffe durch Phishing-Mails simuliert werden, erfolgen.
Schulungen sollten in regelmäßigen Abständen stattfinden. Um die Sensibilisierung für Social Engineering fortlaufend aufrecht zu erhalten, ist es notwendig, dass Mitarbeiter durch weitere Maßnahmen zwischen den Schulungen mit dem Thema Social Engineering konfrontiert werden. Solche Maßnahmen können beispielsweise das Spielen von Online-Lernspielen, das Aufhängen von Postern mit Social Engineering-Inhalten oder die Veröffentlichung von Informationen zu neuen Social Engineering-Gefahren im Intranet umfassen.
Über Ludger Goeke
Ludger Goeke ist seit dem Mai 2019 Senior Consultant und Trainer bei der Social Engineering Academy (SEA) GmbH. Davor war er über zehn Jahre lang als Consultant bei dem Institut für technische Systeme ITESYS GmbH mit einem thematischen Fokus auf Informationssicherheit tätig. Bei der Social Engineering Academy umfassen seine Tätigkeiten die Konzeption und Durchführung von Beratungs-, Schulungs- und Trainingsangeboten in den Bereichen Social Engineering und Security Awareness. Außerdem koordiniert er die Entwicklung von Trainings-Onlinespielen und ist an den Forschungsaktivitäten der Social Engineering Academy beteiligt. In dem Zeitraum von Mai 2017 bis Dezember 2019 war Ludger Goeke zusätzlich Mitarbeiter an der Universität Duisburg-Essen.
Informationssicherheit, Interviews
