Was ist Social Engineering?

Social Engineering (Englisch= angewandte Sozialwissenschaft, im Kontext Cyber-Kriminalität: soziale Manipulation) bedeutet, dass Menschen beeinflusst werden sollen, sich auf eine bestimmte Art zu verhalten. Das Ziel von Social Engineering kann die Preisgabe sensibler oder vertraulicher Informationen (zum Beispiel Kreditkartennummern), der Kauf eines Produktes oder die Freigabe von Finanzmitteln sein. 

Es besteht heute kein Zweifel mehr daran, dass Cyberangriffe zu den größten Bedrohungen für Unternehmen und für öffentliche Einrichtungen geworden sind. Die „Qualität“ und Professionalität der Angriffe steigt stetig. Und so scheint es nur eine Frage der Zeit, bis ein Unternehmen ins Visier von Cyber-Kriminellen gerät. Oder – mit den Worten von Thomas Strobl – Innenminister Baden-Württemberg

Es gibt zwei Arten von Unternehmen:
„Die einen, die einen schweren Hackerangriff hinter sich haben.
Und die anderen, die ihn noch vor sich haben.“

Um es deutlich zu sagen: Ist eine Unternehmung schlecht auf die Gefahren vorbereitet und wird dann Opfer eines Cyberangriffes, kann es je nach Ausgestaltung der Social Engineering Attacke die Firma im schlimmsten Fall sogar in den Ruin treiben. Sind zum Beispiel betriebsnotwendige Daten gestohlen oder verschlüsselt und – auch das ist schon vorgekommen – auch der Zugriff auf die Backups und Sicherungskopien verwehrt, bleibt zunächst nur die Zahlung des Lösegeldes und die Hoffnung, dass die Daten danach wieder verfügbar sind. Es ist aber keineswegs sicher, dass die Erpresser nach einer Lösegeldzahlung die Daten tatsächlich wieder bereitstellen.

Formen von Social Engineering Angriffen

Phishing

Phishing ist die häufigste Art von Social Engineering Angriffen. (→ Phishing)

Baiting

Hier wird dem Opfer ein Köder vorgesetzt (baiting = englisch für Köder). Dieser Köder kann in einer E-Mail, in einer Chat-Nachricht oder auch in einem Social Media Beitrag enthalten sein. Versprochen wird eine Belohnung / ein Geschenk, wenn man zum Beispiel an einer Umfrage teilnimmt. Die Belohnung selbst ( iPhone etc) wird in der Regel nie ausgekehrt.

Quid pro Quo

In diesem Fall behauptet der Angreifer gegenüber dem Opfer, dass er dessen Hilfe oder Mitarbeit braucht, um eine Leistung zu erbringen. In einem Szenario gibt der Angreifer vor, Mitarbeiter im EDV-Support zu sein und bietet Ihnen an, Sie bei der Installation eines Sicherheitssoftware-Updates zu unterstützen. Tatsächlich wird während dieser „Unterstützung“ Schadsoftware installiert.

Identitätsmissbrauch

Manche Angreifer stehlen die Identität von Personen in den sozialen Medien, um sich dann mit Opfern zu vernetzen. Sie nutzen damit die Vertrauenswürdigkeit der echten Person und verleiten die „Follower“ der gekaperten Identität zu „Investitionen“.

Tailgating

Dies ist eine physische Form von Social Engineering. Der Angreifer verschafft sich unerlaubt Zutritt zu einem Gebäude oder zugangsbeschränkten Gebäudebereich. Er folgt dabei einer befugten Person und veranlasst diese, ihn / sie auch hineinzulassen. Ausreden wie „ich habe meine Zugangskarte auf dem Schreibtisch liegen lassen“ werden dann verwendet.

Watering-Hole Angriff

Dies ist eine Kombination von Social Engineering und Hacking. Dieser Angriff macht sich zu Nutze, dass Menschen bestimmten Website-Inhabern vertrauen. Links auf einer vertrauenswürdigen Website sind ebenfalls vertrauenswürdig – so die Annahme. Tatsächlich hat der Angreifer die Website kompromittiert und dort schädliche Links platziert. Der Begriff Watering Hole ist ein Umschreibung für das Phänomen, dass sich Tiere, die gemeinsam am Wasserloch sind, sicherer fühlen.

Virus Hoax

Diese Vorgehensweise ist besonders perfide, denn sie nutzt die Tatsache, dass Personen sich zunehmend über Cyber Sicherheit Gedanken machen (und das ist natürlich absolut richtig!). Die Angreifer versenden E-Mails mit Virus-Warnungen und fügen dann Links ein, die – augenscheinlich – zur Website des IT-Supports führen.

Underground Economy – Phishing als Geschäftsmodell

In der „Underground Economy“ können illegal erworbene Daten ein- und verkauft werden. Bei diesem „Marktplatz“ handelt es sich um ein international vernetztes, organisiertes und kriminelles Konstrukt, über das vor allem illegale finanzielle Ziele bedient werden. Hier werden illegal beschaffte Patente, Account-Daten, Kreditkartendaten und Passwörter angeboten. Die An- und Verkaufstransaktionen sind nur schwer nachverfolgbar und das macht es für Kriminelle so lukrativ und risikoarm.

Mittlerweile haben sich in dem „Wirtschaftszweig Cyber-Crime“ verschiedene Gruppierungen gebildet, die sich jeweils auf Teile des Prozesses spezialisiert haben und dann im Verbund – als konzertierte Aktion – die Angriffe arbeitsteilig und gemeinsam durchführen. Es gibt Anbieter, die sich auf den initialen Zugriff auf ein Unternehmensnetzwerk spezialisiert haben. Andere übernehmen den Teil „Ausbreitung im Netzwerk und Beschaffung weiterer Rechte“. Die nächste Gruppierung übernimmt die Ausleitung der Daten, die Verschlüsselung und die Erpressung der Opfer.

Abgeleitet aus dem Begriff Software-as-a-Service, kurz: SaaS → Software als Dienstleistung im Gegensatz zum Kauf der Software kann man inzwischen auf diesem Marktplatz auch die Dienstleistung Ransomware-as-a-Service (kurz; RaaS) buchen. Das Dilemma für uns als potentielle Opfer von Social Engineering Attacken ist, dass es aus Sicht der Kriminellen automatisiert und damit effizient abgewickelt werden kann und obendrein sehr lukrativ ist. Gleichzeitig ist die Gefahr entdeckt zu werden gering.

Eine Weiterentwicklung ist „Command and Control as a Service„, kurz: C2aaS. Diese Cloud-Plattform bietet Cyber-Kriminellen die Möglichkeit, deren Kontroll-Server-Infrastruktur zu nutzen. Der Einstieg in die Underground Economy, das Geschäftsfeld Cybercrime ist damit noch weiter vereinfacht.

Das Dilemma ist, diese Vorgehensweise ist effizient, lukrativ und risikoarm.

Cyber-Kill-Chain – Die Angriffsphasen

1. Identifizierung des Angriffsziels (Reconnaissance): Der Angreifer wählt ein individuelles Ziel aus und legt ein Opferprofil an. Es werden dabei Informationen aus Firmenwebseiten und aus sozialen Kanälen (LinkedIn, Xing) recherchiert.
2. Vorbereitung des Angriffs (Weaponinzation): In dieser Phase entscheidet sich, welche Angriffsmethode verwendet werden soll. Das kann die Ausnutzung einer Software-Schwachstelle („Exploit Public-Facing-Application“) sein. Der Versuch über einen mit dem Internet verbundenen Dienst wie zum Beispiel mit dem Email-Server Zugang zu Ressourcen zu erlangen zählt dazu. Oder es wird eine Phishing-Attacke konfiguriert. Auch ist es möglich, sich über valide Zugangsdaten (Valid Accounts) Zugang zum System zu verschaffen.
3. Durchführung des Angriffs (Delivery): Nun wird die Attacke gestartet.
4. Implementierung einer Backdoor (Installation): Noch ohne Kenntnis des Opfers wird nun die Schadsoftware auf dem Zielsystem installiert. Das kann zum Beispiel ein Trojaner sein.
5. Fernsteuerung des Zielsystems (C&C = Command and Control): So kann zum Beispiel das Remote Desktop Protokoll als mögliche Schwachstelle für einen Fernzugriff verwendet werden.
6. Zielerreichung (Actions on objective): In dieser Phase startet, je nach Zielsetzung die Spionage, die Sabotage oder der Datendiebstahl.

Hacker – nicht alle haben böse Absichten

Hacker werden in verschiedene Gruppen in Abhängigkeit davon aufgeteilt, welche Ziele sie beim Hacken verfolgen. Und wie wir es aus den klassischen Western-Filmen kennen, sagt die Hutfarbe etwas darüber, wer zu den Guten und wer zu den Bösen zählt.

Black Hat Hacker – Die Schwarz-Hüte sind die Bösen. Ihre Absicht ist es zu stehlen, zu manipulieren oder zu zerstören. Sie sind es, die sich der Otto-Normalverbraucher unter einem Hacker vorstellt.

White Hat Hacker – Die Weiß-Hüte zählen nicht zu den Bösen. Sie hacken, um zu testen, zu reparieren oder um die Sicherheit von IT-Systemen und Netzwerken zu verbessern. Oft sind es Experten im Bereich Computersicherheit, die sich darauf spezialisiert haben, Schwachstellen in IT-Systemen von Firmen aufzuspüren. Daher werden sie in der Regel auch von Firmen beauftragt. Achtung: Als White Hat Hacker darf sich nur bezeichnen, wenn er einen konkreten Auftrag einer Firma hat, die eigenen Systeme zu überprüfen. Sie handeln – im moralischen Sinne – einwandfrei.

Grey Hat Hacker – Grau ist ja eine Mischung aus schwarz und weiß, so auch hier. Sie handeln zwar nicht in böser Absicht (böse im Sinne des Black Hat Hackers), aber sie handeln ohne Auftrag der System-Eigner. Eigenmächtig suchen sie in Firmen und deren IT-Systemen nach Schwachstellen, ohne aber die Absicht zu verfolgen, Schaden anzurichten. So gibt es Grey Hat Hacker, die nach dem erfolgreichen Aufspüren von Schwachstellen den betroffenen Firmen ihre Dienste anbieten und versprechen, gegen Zahlung eines Honorars die identifizierten Sicherheitslücken zu schließen.

Green Hat Hacker – Im Sinne von „Übung macht den Meister“ werden auch Profi-Hacker nicht als solche geboren. Wir reden umgangssprachlich manchmal von einem Grünschnabel, wenn wir es mit einem Anfänger zu tun haben. Und so ist der Green Hat Hacker eine Person, die noch „übt“. Bei einem Green Hat Hacker ist noch keine Aussage möglich, ob er den schwarzen, den grauen oder den weißen Hut tragen wird.

Blue Hat Hacker – Diese Kategorie von Hackern ähneln den White Hat Hackern insoweit, als dass sie keine bösen Absichten verfolgen. Sie werden dafür bezahlt, Software-Fehler zu finden, bevor die Software auf dem Markt kommt.

Was tun nach einem Cyberangriff?

1. Einen Cyberangriff erkennen – Die Darstellung der Cyber Kill Chain verdeutlicht, dass der Angriff häufig erst relativ spät entdeckt wird. Das bedeutet in vielen Fällen, dass erst wenn sich die Cyberkriminellen melden und Geldforderungen stellen klar wird, dass ein Angriff stattgefunden hat. Das Firmennetzwerk sollte ständig (!) unter Beobachtung (Monitoring) sein. Meldungen von Virenscannern und Firewalls sollten immer mit hoher Priorität bearbeitet werden – und nicht einfach weggeklickt werden. Ebenso sollten Informationen von Telekommunikationsanbietern zu Spam E-Mails unbedingt überprüft werden.
2. Reaktion auf die Attacke – Die Angriffe sind sehr individuell und natürlich hängt es auch davon ab, in welcher Phase der Angriff entdeckt wurde. Als oberstes Ziel gilt es weiteren Schaden zu verhindern. Handeln Sie besonnen und ruhig. Nehmen Sie gegebenenfalls das ganze System vom Netz. Es gilt nun die Schadenquelle zu identifizieren und das Voranschreiten des Angriffs zu stoppen. Versuchen Sie herauszufinden, wann der Angriff begonnen hat, wo und bei welchem Mitarbeiter die Infektion stattgefunden hat, welche Bereiche angegriffen wurden und in wieweit der Angriff Auswirkungen auf den laufenden Betrieb haben kann. Spätestens jetzt kann ein Notfallplan wertvolle Dienste leisten.
3. Erste Maßnahmen – Manchmal ist die Aktivierung eines Back-Up-Notfallplans schon die Lösung. Vielleicht gilt es Login Daten zu verändern. An dieser Stelle ist meist die Hilfe durch einen Profi, einen Spezialisten für IT-Security angeraten. IT-Forensik ist ein komplexes Thema und daher auch mit nicht unerheblichen Kosten verbunden.
4. Nächste Schritte – Ist die Attacke erfolgreich abgewehrt, muss das System zügig von allen Resten des Angriffs gesäubert und der Normalzustand muss wieder hergestellt werden. Tatsache ist jedoch, dass dieser Angriff möglich war. Das bedeutet, es gab ein Einfallstor, diese Sicherheitslücke gilt es natürlich zu schließen. Im Rahmen der IT-Forensik findet eine Beweissicherung statt und wird Bestandteil der Dokumentation.
5. Meldepflicht – Es besteht eine Meldepflicht gegenüber der Polizei, weil es sich bei dem Vorgang um eine Straftat handelt. Aus diesem Grund ist die Beweissicherung nötig und wird auch von Versicherungen (siehe nächster Abschnitt) eingefordert. WICHTIG: Sind bei dem Angriff auch personenbezogenen Daten betroffen, MUSS die zuständige Aufsichtsbehörde, konkret der Landesdatendatenschutzbeauftragte informiert werden.

Ist es sinnvoll eine Cyberversicherung abzuschließen?

Die Bedrohung durch und die Risiken aus Cyber Kriminalität sind enorm und ja, man kann als Unternehmen eine Menge zu, um sich dagegen zu schützen (→ Wie können Sie sich gegen Phishing-Attacken schützen), aber 100 % Sicherheit ist kaum möglich. Da kann es sinnvoll sein, sich gegen die Schäden eines erfolgreichen Angriffes zu versichern. Die Leistungsumfänge einer Cyber Security Police umfassen heute nicht nur finanzielle Aspekte sondern auch Unterstützung bei der Ursachenforschung (IT-Forensik) und bei der Begleitung während der Kommunikation mit den Erpressern.

Auf folgende Fragestellungen müssen Sie sich bei der Beantragung einer Police einstellen:

• Verfügen alle Endgeräte über eine aktuelle Endpoint Protection?
• Schützen Sie Ihre IT-Systeme vor bestimmungswidrigen Angriffen (Zum Beispiel durch Antivirenprogramme und Firewalls)?
• Erstellen Sie für Ihre Daten und Programme Backups? Werden die Backups getrennt vom IT-System gelagert?
• Ist eine Multi-Faktor-Authentifizierung unternehmensweit implementiert? Erfolgt die Verbindung zum Firmennetzwerk ausschließlich über abgesicherte Zugangsmöglichkeiten?
• Ist das Netzwerk segmentiert, sodass kritische Bereiche von weniger kritischen Bereichen getrennt sind?
• Gibt es regelmäßig Mitarbeiterschulungen zum Thema Informationssicherheit, Datenschutz sowie Informationen über aktuelle Gefahrenpotentiale (Trojaner, Phishing)?
• Gibt es einen IT-Notfallplan (Business Continuity Process), gibt es einen Wiederanlaufplan?
• Werden personenbezogene Daten grundsätzlich verschlüsselt?
• Wird eine regelmäßige Schwachstellenanalyse (Vulnerability Assessment) durchgeführt und wenn nötig, entsprechende Maßnahmen eingeleitet? Wurde ein manueller Penetrationstest durchgeführt?
• Werden Patches vor der Ausführung im Live-System erfolgreich in einer Test-Umgebung eingespielt? Gibt es einen formalen Prozess zum Einspielen von Patches, Updates, Firmware, Software, nach Herstellervorgaben?

Dies sind eine Menge Fragen, die gleichzeitig aber aufzeigen, welche Möglichkeiten Unternehmen haben. Bekanntlich kalkulieren Versicherungen die Prämien in Anlehnung des individuellen Risikos. Wenn Sie also alle oben genannten Fragen eine positive Antwort geben können, ist die Chance auf eine kostengünstige Prämie hoch.