Kampf gegen Social Engineering

Der richtige Mix für mehr Sicherheit

19. Januar 2021, 7:00 Uhr | Thomas Mayerhofer/wg
405 LANline 2021-01 Virtual Solution Bild 1
Containerisierung sorgt für anwenderfreundliche Sicherheit auf Mobilgeräten.
© Bild: Virtual Solution

Betrügereien mittels Social Engineering – also durch das Ausnutzen menschlicher Schwächen, Gewohnheiten und Heuristiken (Entscheidungsfindung bei begrenztem Wissensstand) – gewinnen unter Cyberkriminellen immer mehr an Popularität. Unternehmen sind dieser Art von Angriffen aber nicht schutzlos ausgeliefert. Der richtige Mix aus Technologie, organisatorischen Maßnahmen und Mitarbeitersensibilisierung kann die Risiken deutlich senken.

Angriffe auf IT-Systeme haben in den vergangenen Jahren stark zugenommen. Immer größerer Beliebtheit erfreut sich dabei der Angriffsvektor Social Engineering: Mit soziopsychologischen Täuschungsmanövern, die tief verwurzelte menschliche Verhaltensautomatismen ausnutzen, versuchen die Kriminellen, sensible Daten, höhere Geldbeträge, Passwörter oder geschäftlich relevante Informationen zu erbeuten. Das Angriffsspektrum der Hacker reicht heute von einfachen Pishing-Mails bis zu hochspezialisierten Attacken, die mit vorher erbeuteten Informationen arbeiten. Erstere verschicken die Angreifer millionenfach und hoffen darauf, dass irgendjemand sich nicht am unbekannten E-Mail-Absender stört und auf die im Anhang enthaltene Malware klickt. Diese kann dann den Rechner des Adressaten und darüber hinaus IT-Systeme des Unternehmens infizieren.

Mittlerweile bieten Kriminelle automatisierte Dienste im Darknet an, wo sich zum Beispiel Ransomware-Kampagnen auch im Franchise-Geschäftsmodell buchen lassen, sozusagen Ransomware as a Service. Über Botnets skalieren die Angriffe beliebig hoch, es lassen sich also Hunderttausende gleichzeitig fahren. Die Erfolgsquoten einfacher Massen-E-Mails liegen im niedrigen einstelligen Prozentbereich. Wesentlich höhere Chancen haben hochspezialisierte Angriffe auf bestimmte Zielpersonen im oberen Management. Diese verfügen in der Regel über privilegierte Konten mit sehr weitgehenden Zugriffsrechten, sodass die Kriminellen hochsensible Informationen erbeuten können.

Die Angriffe selbst bereiten die Betrüger minutiös vor, sie recherchieren das Profil und mögliche Schwachstellen der Zielperson sehr genau. Gleichzeitig setzen sie gezielt Autorität ein und bauen Zeitdruck auf, um ihre Opfer zu manipulieren und zu Handlungen zu bewegen, die bei genauem Nachdenken dem gesunden Menschenverstand widersprechen. Eine aufgebaute Stresssituation aber vernebelt den ansonsten klaren Kopf. Besonders bei stark hierarchisch aufgebauten Organisationen kann dieses Social-Engineering-Vorgehen erfolgreich sein.

 


  1. Der richtige Mix für mehr Sicherheit
  2. Wenn herkömmliche Security nicht reicht
  3. Sensibilisierung der Mitarbeiter

Verwandte Artikel

Virtual Solution AG

Virtual Solution

MAM