In letzter Zeit beschäftigen wir uns immer mehr mit der Thematik der Internetsicherheit. Meistens handelt es sich dabei um Hacker und Sicherheitslücken. Aktuell gibt es außer Richtlinien durch das BSI und BaFin kaum Druck auf Unternehmen gewisse Sicherheitsrichtlinien zu erfüllen.
In der Vergangenheit kam es immer wieder zu Ransomware Attacken auf Klein- bis Mittelständische Unternehmen die vor allem deren Existenz bedrohten. Viele Unternehmen sind nämlich auf funktionsfähige Computer und Drucker angewiesen ansonsten verlieren Sie nicht nur ihre Kunden, sondern auch sehr viel Geld. Dramatischer wird es für sehr große und bekannte Unternehmen deren Image beschädigt wird.
Aufgrund der steigenden Gefahr durch Internetkriminalität setzt man bei der Absicherung der Infrastruktur verstärkt auf Hardwarelösungen.
Die größte Gefahr jedoch kommt meist von innen, d.h. durch Angestellte des Unternehmens. Dabei ist es den Angestellten garnicht bewusst das Sie ihrem Arbeitgeber schädigen; es reicht auch wenn Sie unwissentlich auf Links in Emails klicken.
Um dieser Problematik entgegenzuwirken kann man den Angestellten Seminare anbieten, bei denen Sie die Gefahren und Angriffsmöglichkeiten kennenlernen.
Wo Menschen arbeiten, werden Fehler gemacht. Angreifer nutzen Menschen aus um sich Zugang zu Netzwerken und somit geheimen Dokumenten und E-Mails zu verschaffen. Dieses hacken von Menschen wird als Social Enginnering bezeichnet.
Social Engineering bezeichnet die Kunst Angestellte auszutricksen, damit diese Daten preisgeben, die dazu genutzt werden um in das interne Netzwerk zu gelangen und sich in Konten anzumelden. Das Problem ist das die Sicherheitssysteme der IT keine Möglichkeiten haben das Netzwerk vor diesen Angriffen zu schützen, denn die Angestellten haben Zugangsrechte um arbeitsfähig zu sein. Angreifer nutzen diese Zugangsrecht um Daten zu exportieren und das Netzwerk zu infiltrieren.
Im Unterschied zu dem aufwendigen Hacken durch ein Red Team (Hacker) sind die Methoden des Social Engineerings sehr einfach und dadurch erfolgreicher. Heute muss man sich nicht mehr damit beschäftigen Sicherheitslücken zu finden, es reicht ein Anruf oder eine E-Mail die um Daten bittet weil man z.B. eine Rechnung von Amazon bekommen hat, die man nur sehen kann wenn man sich auf einer Internetseite anmeldet.
Was ist Social Engineering?
Kurz: Die einfachste Methode um Informationen über ein Ziel zu sammeln.
Beim social engineering nutzen die Angreifer verschiedene Methoden um sich als Mitarbeiter auszugeben und somit die IT-Sicherheit zu umgehen.
Social engineering ist eine sogenannte low-tech Attacke. Man versucht mit Manipulation der Opfer an geheime Daten zu kommen. Dabei werden die Schwächen der Persönlichkeit eines Opfers ausgenutzt. Diese Lücke im Netzwerk eines Unternehmens kann nur schwer (z.B. durch Simulationen etc.) geschlossen werden.

Welche Methoden gibt es?
Es gibt fünf Methoden die immer wieder beobachtet werden.
1. Phishing
Ziel: Persönliche Daten wie Name und Adresse
Methode: Links zu infizierten Webseiten
2. Pretexting
Ziel: Informationen über das Opfer bestätigen und persönliche Informationen stehlen.
Methode: Wasserdichte Hintergrundgeschichte des Angreifers, sorgt für Stress und Angst
3. Baiting
Ähnlich wie Phishing nur das beim Baiting der Wunsch z.B. nach einem Gegenstand erfüllt wird. Dadurch geben die Opfer ihre Daten preis.
4. Quid pro quo
Methode um sich als IT-Support Mitarbeiter auszugeben und nach Daten zufragen.
5. Tailgating
Beim Tailgating gibt sich der Angreifer als ein z.B. Paketbote aus.

Maßnahmen gegen Social Engineering
1. Sicherheitsrichtlinien
Richtlinien zru technischen und nicht-technischen Strategie im Umgang mit Sicherheit.
Jeder Unternehmensbereich sollte Sicherheitsmaßnahmen in das tägliche Geschäft integrieren.
2. Übungen
Sensibilisieren der Mitarbeiter durch Simulation eines Angriffs. Insbesondere neue Mitarbeiter müssen auf die verschiedenen Möglichkeiten aufmerksam gemacht werden.
Die Übungen bzw. Seminare sollten zwecks Auffrischung des Wissens mehrmals im Jahr stattfinden.
3. Maßnahmen im Netzwerken
Nut bestimmte Geräte (Whitelist) dürfen in die Domäne. Offene Ports schließen und ungenutzte Software deinstallieren.
4. Überprüfung und Compliance
Alle Zwei Wochen sollten die Netzwerk-Logs, Zugriffsrechte der Mitarbeiter sowie die Desktops überprüft werden. Damit werden Sicherheitslücken vermieden.
5. Technische Maßnahmen
Dazu gehören IPS, IDS, Firewalls, DMZ und VPN.
6. Physische Maßnahmen
Kameras und Sicherheitskräfte. An Rechnern sollte eine Multifaktor Authentifizierung eingeführt werden.

Quellen:
Aldawood, H., & Skinner, G. (2019). Contemporary Cyber Security Social Engineering Solutions, Measures, Policies, Tools and Applications: A Critical Appraisal. 16.
Conteh, N. Y., & Schmick, P. J. (2016). Cybersecurity:risks, vulnerabilities and countermeasures to prevent social engineering attacks. International Journal of Advanced Computer Research, 6(23), 31–38. https://doi.org/10.19101/IJACR.2016.623006
Krombholz, K., Hobel, H., Huber, M., & Weippl, E. (2015). Advanced social engineering attacks. Journal of Information Security and Applications, 22, 113–122. https://doi.org/10.1016/j.jisa.2014.09.005
