Security-Maßnahmen

Social-Engineering-Abwehr – Security Awareness allein reicht nicht aus!

Social-Engineering

E-Mails in gebrochenem Deutsch oder Englisch mit fragwürdiger Rechtschreibung von einem unbekannten Absender und einer zweifelhaften URL im Text – so sehen in der Vorstellung vieler Menschen Social-Engineering-Angriffe heute noch aus.

Für in Awareness-Trainings geschulte Mitarbeitende ist es ein Leichtes, solche Cyberangriffe zu erkennen. Die Herausforderung ist: Viele Bedrohungsakteure gehen heute viel geschickter vor. Denn Social Engineers nutzen moderne Tools und KI-Technologie, um fehlerfreie, hochpersonalisierte und seriös wirkende SMS, WhatsApp, E-Mails und Nachrichten etc. zu erstellen. Daher bleibt Security Awareness zwar eine wichtige Säule der Cybersicherheit, muss aber immer in Kombination mit Maßnahmen wie umfassendem Monitoring und einer Incident-Response-Strategie erfolgen.

Anzeige

Was ist Social Engineering?

Mittlerweile sind sich Unternehmen der Tatsache bewusst: Das Risiko, Opfer eines Social-Engineering-Versuchs zu sein, ist allgegenwärtig. Denn Social Enineering ist eine Cyberangriffstaktik, die gezielt auf Mitarbeiterinnen und Mitarbeiter in Unternehmen gerichtet ist und geschickt allzu menschliche Eigenschaften wie Hilfsbereitschaft, Leichtsinnigkeit oder Respekt vor Behörden und Vorgesetzten manipuliert – und das immer raffinierter. So werden Mitarbeitenden beispielsweise Zugangsdaten entlockt oder sie werden zu Handlungen verleitet, von denen die Angreifer profitieren, z. B. die Übermittlung von Daten oder das Tätigen von Überweisungen an die Konten der Täter.

Moderne Cyberangriffe sind inzwischen durch die Zuhilfenahme innovativer Technologien so qualitativ hochwertig, dass sie kaum mehr als solche identifizierbar sind. Deswegen ist es nicht die Frage, ob ein Unternehmen Opfer eines Cyberangriffs wird, sondern wann. Umfassende Cybersecuritystrategien vereinen daher nicht nur präventive (Security-Awareness-Trainings), sondern auch detektive (umfassendes Monitoring) und reaktive Maßnahmen (Incident Response), um den bestmöglichen Schutz der Systeme, Geräte und User bereitzustellen und es den Angreifern so schwer wie möglich zu machen.

So läuft Social Engineering ab

Die Technologie entwickelt sich weiter und spielt den Bedrohungsakteuren in die Karten, die Formen und die Vorgehensweisen der Cyberkriminellen bleiben aber zum großen Teil gleich: E-Mail-Spoofing, Phishing, Smishing, Pretexting, Business E-Mail Compromise (BEC) und E-Mail Account Takeover (EAT) in Kombination mit Telefonanrufen sind Arten von Social Engineering, die aus einem vierteiligen Prozess bestehen:

Anzeige
  1. Informationsbeschaffung: Zu Anfang beobachtet der Bedrohungsakteur das Ziel, um herauszufinden, welche menschlichen Schwachstellen ausgenutzt werden können. Öffentlich verfügbare Kommunikation wie Unternehmensmeldungen und -Blogs oder Plattformen wie LinkedIn erleichtern das Sammeln von relevanten Informationen und die Identifikation von geeigneten Zielpersonen, die aufgrund ihrer Position im Unternehmen über besondere Rechte und Daten verfügen.
  2. Beziehungsaufbau: In diesem Schritt erfolgt die Kontaktaufnahme. Hierfür setzt sich der Angreifer z. B. mit einer Phishing-Nachricht, die via E-Mail, Sprachnachricht oder SMS übermittelt werden kann, mit der Zielperson in Verbindung. Häufig geben sich Cyberkriminelle als vertrauenswürdige Personen aus, also z. B. als Assistent des Geschäftsführers oder Mitarbeitender der Finanzabteilung. Öfters werden hierzu auch begleitende Telefonanrufe durch die Angreifer eingesetzt.
  3. Ausbeutung: Nun beginnt der eigentliche Angriff. Das heißt, dass die Empfängerinnen oder Empfänger der Nachricht zum Handeln aufgerufen werden. Sie oder er soll einen Link anklicken, einen Anhang öffnen, Daten transferieren oder Überweisungen tätigen, die vermeintlich auf legitime Konten gehen, in Wirklichkeit jedoch auf das Konto des Cyberangreifers führen. 
  4. Durchführung: Wenn der Versuch geglückt ist und die Kontaktperson zu einer unbedachten Handlung verleitet wurde, erfolgt die Aktion, die es dem Angreifer ermöglicht, Rechte oder Zugriffe zu erhalten oder flächig Schadsoftware zu installieren.

Insbesondere BEC ist bei Bedrohungsakteuren beliebt und wird oft eingesetzt. So ergab die aktuelle Studie The State of Cybersecurity: 2024 Trends Report, dass 41 Prozent der in DACH befragten Unternehmen einen oder mehrere signifikante BEC- oder EAT-Ereignisse erfahren haben – Tendenz steigend.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

KI als Komplize der Social Engineers

Den Mitarbeiterinnen und Mitarbeitern beizubringen, auf Warnsignale zu achten und generelle Aufmerksamkeit walten zu lassen, ist nur dann erfolgreich, wenn es auch Anzeichen eines Angriffs gibt. Allerdings gehen Cyberkriminelle heut geschickt vor und nutzen dabei modernste Technologie. Ihre Angriffe sind kaum mehr als solche zu identifizieren. Denn mithilfe generativer künstlicher Intelligenz (GenAI) können Bedrohungsakteure täuschend echt aussehende Videos, Bilder und Audio-Inhalte erstellen, in denen beispielsweise Vorgesetzte oder Autoritätspersonen imitiert werden. Wie im Fall eines Angestellten in Hongkong, der auf Basis einer Videokonferenz mit einem vermeintlichen Vorgesetzten umgerechnet 24 Millionen Euro an eine kriminelle Bande überwiesen hat. Und das ist kein Einzelfall mehr. Die Überzeugung zum direkten Geldtransfer ist nur eine Masche: Oft werden Mitarbeiterinnen und Mitarbeiter überzeugt, auf ihrem System Webseiten aufzurufen oder sogar Software zu installieren. Zudem kann KI mithilfe der Informationen von Social Media und anderen öffentlich zugänglichen Daten qualitativ hochwertige Phishing-Mails – zugeschnitten auf den konkreten Mitarbeitenden – erstellen, die kaum als solche zu identifizieren sind.

Die Gefahr ist da draußen – und immer öfter auch drinnen

Also ist es nur mehr eine Frage der Zeit, bis ein Social-Engineering-Versuch zum Erfolg führt – mit teilweise verheerenden Konsequenzen für den Betrieb und den Ruf von Unternehmen. Behörden, Organisationen und die Bevölkerung müssen sich damit auseinandersetzen, dass Social Engineering und andere Formen von Cybercrime sie jederzeit treffen können und es keinen 100-prozentigen Schutz mehr gibt.

Eine Sicherheitskultur in den Unternehmen zu etablieren, darf vor dem Hintergrund nahezu unmöglich als solche zu erkennender Social-Engineering-Versuche nicht mehr nur heißen, dass die Mitarbeitenden Awareness-Trainings erhalten. Heute bedeutet Awareness vor allem, dass die Entscheider sich darüber bewusst sind, dass „klassische Awareness“ nicht mehr ausreicht und immer ein Restrisiko eines erfolgreichen Cyberangriffs besteht. Darauf müssen die Unternehmen vorbereitet sein.

Zwar sind Security-Awareness-Schulungen immer noch ein entscheidendes Element der Cybersecurity, sie sind aber nur ein Teil einer umfassenden Cybersecuritystrategie. Für einen ganzheitlichen Ansatz müssen präventive, detektive UND reaktive Maßnahmen Hand in Hand gehen: So müssen die Systeme unter anderem rund um die Uhr überwacht und Schwachstellen umgehend gepatcht werden sowie Notfallpläne für den Ernstfall vorliegen. Unternehmen, die aufgrund des fortwährenden Fachkräftemangels und mangelnder Ressourcen entsprechende Cybersecuritystrategien nicht selbst umsetzen können, haben die Möglichkeit, sich an Security-Experten – wie Arctic Wolf – zu wenden. Die Security-Anbieter übernehmen Aufgaben wie Managed Detection und Response, Managed Risk und Incident Response und stellen so einen umfassenden Cyberschutz bereit.

Incident Response: Auswirkungen erfolgreicher Cyberangriffe begrenzen

Ist es trotz aller Monitorings und Security-Trainings sowie aller weiteren Maßnahmen zu einem erfolgreichen Angriff gekommen, ist Eile geboten. Schnell sollten Incident-Response-Maßnahmen zum Einsatz kommen, um den Schaden für Netzwerk, Identitäten und Cloud-Umgebungen sowie Endgeräte kleinzuhalten. Das überschreitet aber oft das Wissen der IT-Mitarbeiterinnen und -Mitarbeiter, da die Reaktion auf Angriffe nicht ihre Kernkompetenz darstellt. Die Security-Verantwortlichen müssen die Ursache und Ausmaße des Angriffs analysieren und Zugriffe der Cyberkriminellen schnell von allen Systemen oder Services entfernen, weil nur dadurch die Angreifer die Möglichkeit verlieren, erneut Access zu den Unternehmenssystemen zu erlangen. Zudem müssen Maßnahmen zur Datenwiederherstellung und Aufrechterhaltung der Business Continuity vorbereitet und getroffen werden. Denn nur so bleibt auch bei einem sehr wahrscheinlich erfolgten Angriff durch Phishing der Schaden so gering wie möglich.

Awareness bedeutet heute: allzeit bereit für den Ernstfall

Mitarbeiterinnen und Mitarbeiter über Risiken und Cyberhygiene aufzuklären und so die „Schwachstelle Mensch“ zu „patchen“, ist wichtig, aber längst nicht ausreichend, um erfolgreiches Social Engineering zu verhindern. Das Bewusstsein darüber, dass es zu jederzeit zu einem Cybervorfall kommen kann und es zusätzliche Security-Maßnahmen zur Abwehr braucht, ist entscheidend und gehört ebenso zum Security Awareness wie entsprechende Trainings. 

Sebastian

Schmerl

Vice President Security Services EMEA

Arctic Wolf

Dr. Sebastian Schmerl bringt mehr als 15 Jahre Erfahrung im Bereich Cybersecurity mit sowie in der Bereitstellung von Cyber Defense Services und dem Aufbau von Enterprise Security Operations Center (SOC) für Unternehmen wie Daimler, Volkswagen, Bosch, Datev und Bayer. Schmerl ist ständiges Mitglied in der „EU/ENISA – Working Group
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.