Social Engineering — Methodik und Abwehr

Ugur Koc
Ugur Koc
Nov 4 · 4 min read

In letzter Zeit beschäftigen wir uns immer mehr mit der Thematik der Internetsicherheit. Meistens handelt es sich dabei um Hacker und Sicherheitslücken. Aktuell gibt es außer Richtlinien durch das BSI und BaFin kaum Druck auf Unternehmen gewisse Sicherheitsrichtlinien zu erfüllen.

In der Vergangenheit kam es immer wieder zu Ransomware Attacken auf Klein- bis Mittelständische Unternehmen die vor allem deren Existenz bedrohten. Viele Unternehmen sind nämlich auf funktionsfähige Computer und Drucker angewiesen ansonsten verlieren Sie nicht nur ihre Kunden, sondern auch sehr viel Geld. Dramatischer wird es für sehr große und bekannte Unternehmen deren Image beschädigt wird.

Aufgrund der steigenden Gefahr durch Internetkriminalität setzt man bei der Absicherung der Infrastruktur verstärkt auf Hardwarelösungen.

Die größte Gefahr jedoch kommt meist von innen, d.h. durch Angestellte des Unternehmens. Dabei ist es den Angestellten garnicht bewusst das Sie ihrem Arbeitgeber schädigen; es reicht auch wenn Sie unwissentlich auf Links in Emails klicken.

Um dieser Problematik entgegenzuwirken kann man den Angestellten Seminare anbieten, bei denen Sie die Gefahren und Angriffsmöglichkeiten kennenlernen.

Wo Menschen arbeiten, werden Fehler gemacht. Angreifer nutzen Menschen aus um sich Zugang zu Netzwerken und somit geheimen Dokumenten und E-Mails zu verschaffen. Dieses hacken von Menschen wird als Social Enginnering bezeichnet.

Social Engineering bezeichnet die Kunst Angestellte auszutricksen, damit diese Daten preisgeben, die dazu genutzt werden um in das interne Netzwerk zu gelangen und sich in Konten anzumelden. Das Problem ist das die Sicherheitssysteme der IT keine Möglichkeiten haben das Netzwerk vor diesen Angriffen zu schützen, denn die Angestellten haben Zugangsrechte um arbeitsfähig zu sein. Angreifer nutzen diese Zugangsrecht um Daten zu exportieren und das Netzwerk zu infiltrieren.

Im Unterschied zu dem aufwendigen Hacken durch ein Red Team (Hacker) sind die Methoden des Social Engineerings sehr einfach und dadurch erfolgreicher. Heute muss man sich nicht mehr damit beschäftigen Sicherheitslücken zu finden, es reicht ein Anruf oder eine E-Mail die um Daten bittet weil man z.B. eine Rechnung von Amazon bekommen hat, die man nur sehen kann wenn man sich auf einer Internetseite anmeldet.

Was ist Social Engineering?

Kurz: Die einfachste Methode um Informationen über ein Ziel zu sammeln.

Beim social engineering nutzen die Angreifer verschiedene Methoden um sich als Mitarbeiter auszugeben und somit die IT-Sicherheit zu umgehen.

Social engineering ist eine sogenannte low-tech Attacke. Man versucht mit Manipulation der Opfer an geheime Daten zu kommen. Dabei werden die Schwächen der Persönlichkeit eines Opfers ausgenutzt. Diese Lücke im Netzwerk eines Unternehmens kann nur schwer (z.B. durch Simulationen etc.) geschlossen werden.

Motivation für Social Engineering

Welche Methoden gibt es?

Es gibt fünf Methoden die immer wieder beobachtet werden.

1. Phishing

Ziel: Persönliche Daten wie Name und Adresse

Methode: Links zu infizierten Webseiten

2. Pretexting

Ziel: Informationen über das Opfer bestätigen und persönliche Informationen stehlen.

Methode: Wasserdichte Hintergrundgeschichte des Angreifers, sorgt für Stress und Angst

3. Baiting

Ähnlich wie Phishing nur das beim Baiting der Wunsch z.B. nach einem Gegenstand erfüllt wird. Dadurch geben die Opfer ihre Daten preis.

4. Quid pro quo

Methode um sich als IT-Support Mitarbeiter auszugeben und nach Daten zufragen.

5. Tailgating

Beim Tailgating gibt sich der Angreifer als ein z.B. Paketbote aus.

Vier Schritte beim Social Engineering

Maßnahmen gegen Social Engineering

1. Sicherheitsrichtlinien

Richtlinien zru technischen und nicht-technischen Strategie im Umgang mit Sicherheit.

Jeder Unternehmensbereich sollte Sicherheitsmaßnahmen in das tägliche Geschäft integrieren.

2. Übungen

Sensibilisieren der Mitarbeiter durch Simulation eines Angriffs. Insbesondere neue Mitarbeiter müssen auf die verschiedenen Möglichkeiten aufmerksam gemacht werden.

Die Übungen bzw. Seminare sollten zwecks Auffrischung des Wissens mehrmals im Jahr stattfinden.

3. Maßnahmen im Netzwerken

Nut bestimmte Geräte (Whitelist) dürfen in die Domäne. Offene Ports schließen und ungenutzte Software deinstallieren.

4. Überprüfung und Compliance

Alle Zwei Wochen sollten die Netzwerk-Logs, Zugriffsrechte der Mitarbeiter sowie die Desktops überprüft werden. Damit werden Sicherheitslücken vermieden.

5. Technische Maßnahmen

Dazu gehören IPS, IDS, Firewalls, DMZ und VPN.

6. Physische Maßnahmen

Kameras und Sicherheitskräfte. An Rechnern sollte eine Multifaktor Authentifizierung eingeführt werden.

Gruppen die am meisten Betroffen sind

Quellen:

Aldawood, H., & Skinner, G. (2019). Contemporary Cyber Security Social Engineering Solutions, Measures, Policies, Tools and Applications: A Critical Appraisal. 16.

Conteh, N. Y., & Schmick, P. J. (2016). Cybersecurity:risks, vulnerabilities and countermeasures to prevent social engineering attacks. International Journal of Advanced Computer Research, 6(23), 31–38. https://doi.org/10.19101/IJACR.2016.623006

Krombholz, K., Hobel, H., Huber, M., & Weippl, E. (2015). Advanced social engineering attacks. Journal of Information Security and Applications, 22, 113–122. https://doi.org/10.1016/j.jisa.2014.09.005

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade