Social Engineering wird auch in absehbarer Zukunft weiterhin ein Problem bleiben. Es finden sich mittlerweile zahlreiche öffentlich gewordene Angriffe durch Social Engineering sowie Informationen darüber, wie derartige Angriffe vermieden werden können.
Zudem gibt es spezielle Mitarbeitertrainings zur Schulung des Sicherheitsbewusstseins im täglichen Umgang mit Firmendaten. Hinter jedem Nutzer steckt jedoch ein Mensch, der Fehler begeht, weshalb immer noch viele Nutzer den Angriffen zum Opfer fallen und damit die Hoheit ihres Unternehmens über seine Daten gefährden. Der kleinste menschliche Fehler reicht aus, um einem böswilligen Akteur Zugriff auf die Firmendaten zu gewähren und schlimmstenfalls den gesamten Betrieb lahmzulegen. Möglicherweise können mit der Zeit effektiver werdende Trainings sowie Technologien wie künstliche Intelligenz in Zukunft Unternehmen dabei helfen, Angriffen durch Social Engineering weniger leicht zum Opfer zu fallen. Nach dem heutigen Stand wird erfolgreiches Social Engineering uns noch eine Weile begleiten.
Was Social Engineering so wirkungsvoll macht
Social Engineering hat zahlreiche Facetten, zu denen laufend weitere hinzukommen, da Cyberkriminelle stetig neue Methoden zur Überlistung des Nutzers entwickeln. Die gängigsten Methoden sind Phishing, Spear Phishing, Smishing, Vishing, Tailgating, Pretexting, Baiting und Quid Pro Quo. Die Angriffe fokussieren dabei in erster Linie auf Emotionen des Nutzers. In Abhängigkeit von der jeweiligen Angriffsart machen sie sich dabei meist den Faktor der Dringlichkeit zunutze. Der Nutzer soll keine Zeit bekommen, lange über seine Reaktion nachdenken zu können, sondern mit spontanem Handeln dem Cyberkriminellen direkt in die Hände spielen. Beispielsweise, indem er mit einem einzigen Klick auf einen Link Informationen preisgibt.
Cyberkriminelle nutzen für Angriffe durch Social Engineering zu Beginn einen Köder, mit dem sie den Nutzer in die Falle locken können. Dieser Köder besteht aus Informationen, die die Cyberkriminellen über ihr Angriffsziel finden können. Das können Medienthemen oder persönliche Informationen sein, die sie über frei zugängliche Quellen wie beispielsweise Facebook finden. Oder sie erhalten Informationen über ihr Ziel, indem sie wiederum andere Nutzer ködern. Je relevanter die gesammelten Informationen für das Opfer sind, desto wahrscheinlicher ist ein erfolgreicher Angriff.
Zudem zielen die Cyberkriminellen bei ihrer Angriffsmasche auf „Einfachheit“ oder „Bequemlichkeit“ für die Angriffsziele ab. Sie machen es dem Nutzer so einfach wie möglich, sich genau so zu verhalten, wie von den Cyberkriminellen beabsichtigt. Dabei stellen sie ihrem Opfer alle nötigen Informationen und selbst einen Link zur Verfügung, der einfach und schnell geklickt werden kann. Die gesamte Strategie der Social Engineers ist darauf ausgelegt, den Denkprozess ihres Opfers zu unterbrechen oder gar lahmzulegen.
Was vor Social Engineering schützt
Am wirkungsvollsten ist als grundsätzliche Verhaltensregel „Think before you click“ – würde man diese Art der Kommunikation von einer Person erwarten und ist einem die Person überhaupt bekannt? Da es unterschiedliche Arten von Social Engineering gibt, muss die Grundlage eines jeden Angriffs verstanden werden, um sich vor ihm zu schützen. Dem Nutzer muss bewusst sein, dass Social Engineers die Emotionen ihrer Opfer manipulieren. Er muss lernen, den Versuch einer Manipulation zu erkennen.
Aktuell bleibt eine Schulung der Mitarbeiter die beste Verteidigung gegen Social Engineering. Indem auf diese Weise gewissermaßen die „vorderste Front“ auf potentielle Angriffe vorbereitet wird, kann das Geschäftsrisiko bereits stark eingedämmt werden. Das Training lässt sich dabei auf sämtliche Angriffsvektoren und -techniken anwenden. Dennoch gibt es immer noch sehr ausgefeilte Angriffstaktiken. Besonders hinterhältig ist Business Identity Compromise (vorher Business E-Mail Compromise, BEC). Dabei kommen Deepfakes von Ton und/ oder Video zum Einsatz, um Nutzer auf sehr wirkungsvolle Weise in die Irre zu führen. Dieses Phänomen steckt derzeit noch in den Kinderschuhen, aber wird es Cyberkriminellen mit Zugang zu den geeigneten Ressourcen zukünftig ermöglichen, extrem überzeugende Deepfakes zu erzeugen, die ohne spezielle Erkennungsverfahren kaum als Betrug entlarvt werden können.
Durch ein Training zum Schutz gegen Social Engineering soll erreicht werden, dass der Nutzer beim alleinigen Betrachten einer Auffälligkeit sofort alarmiert ist und anschließend überlegt handelt. Wenn der Nutzer die Grundlagen kennt, dann kann er sich mit den einzelnen Angriffsarten im Detail befassen. Dazu finden sich online eine Vielzahl an Beispielen und Kurse. Neben effektiven Trainings gegen Social Engineering kann das Risiko eines erfolgreichen Angriffs zusätzlich durch weitere Maßnahmen minimiert werden. Technologien wie E-Mail-Filter können bereits hilfreich sein. Zudem sind Richtlinien sinnvoll, wie das Vier-Augen-Prinzip, das gegen Business E-Mail Compromise (BEC) hilft.
Fazit
Jeder Mitarbeiter sollte sich darüber im Klaren sein, dass IT-Sicherheit jeden einzelnen im Unternehmen betrifft und nicht allein bei der IT-Abteilung liegt. Vielmehr sollten die Mitarbeiter verstehen, was die IT-Abteilung unternimmt, um Angriffen durch Social Engineering vorzubeugen. Jeder einzelne Mitarbeiter muss sich hierbei einbringen und sich nicht einfach darauf verlassen, dass die IT-Abteilung nach einem erfolgreichen Angriff alles regelt. Denn im Fall von Social Engineering ist das nicht möglich – die Verantwortung liegt hier beim einzelnen Mitarbeiter. Wie in vielen Bereichen der IT-Sicherheit gelingt der Kampf gegen Social Engineering also durch eine Kombination und Zusammenarbeit von Personen, Prozessen und Technologien. Alle diese drei Bereiche können dazu beitragen, Angriffe durch Social Engineering im Keim zu ersticken.