Sind Sie beim Kauf eines Produktes schon einmal manipuliert worden? War der Verkäufer dabei eventuell so geschickt, dass Sie einen Kauf getätigt haben, den Sie vielleicht gar nicht wollten? Oder haben Sie im Zuge eines Telefonbetrugs schon einmal sensible Daten preisgeben und wurden so unfreiwillig zum Opfer? Diese Art von „Angriffen“ hat einen Namen: Social Engineering, welche auch als soziale Manipulation bezeichnet wird.
Mit Manipulation ans Ziel – menschliches Verhalten als Sicherheitslücke
Angreifer verfolgen beim Social Engineering oder Social Hacking nur ein Ziel: Vertrauliche Informationen bzw. sensible Daten ihrer Opfer zu erhalten. Dies geschieht nicht nur durch Manipulation, sondern auch durch eine autoritäre Verhaltensweise und das Vorgeben falscher Identitäten. Dabei sind nicht nur Privatpersonen, sondern vor allem Unternehmen vom Social Engineering betroffen, wobei Mitarbeiter meist gezielt angegriffen werden und das menschliche Verhalten als Sicherheitslücke dient.
Beispielsweise geben sich vermeintlich seriöse Anrufer als Support-Mitarbeiter oder Admin aus, um sich vom Opfer gezielt durch einen technischen Prozess leiten zu lassen. Davon abgesehen, dass der betroffene Mitarbeiter die Identität des Anrufers nicht infrage stellt, gibt er nun auch noch unabsichtlich sensible Daten wie z.B. das Benutzerpasswort preis. Der Angreifer hat nun ungehinderten Zugang zu vertraulichen Daten. Das Ergebnis: Ein hintergangenes Opfer und infizierte Dateien.
Häufig auch potenzielle Opfer in sozialen Netzwerken
Auch der Zugang über soziale Netzwerke ist eine weitere Methode, um an sensible Daten zu kommen. Beispielsweise schließt der Angreifer mit einem potenziellen Opfer Freundschaft. Dies kann ein Mitarbeiter eines Unternehmens sein. Das unseriöse Vorgehen: Sobald das Vertrauen des Opfers gewonnen wurde, werden (hoffentlich) sensible Informationen preisgegeben. Nicht immer müssen dies sensible Daten wie Passwörter sein, sondern auch Produktideen, Produktentwicklungen oder Marketingstrategien, die vom betreffenden Mitarbeiter im guten Glauben und Vertrauen ausgeplaudert werden.
Sensibilisieren Sie Ihre Mitarbeiter deshalb auch auf den Unterschied zwischen privater und beruflicher Kommunikation – egal ob persönlich oder digital.
Hintergrund von Bewerbern prüfen
Auch vermeintliche Bewerber in Ihrem Unternehmen können eine Gefahr für sensible Daten darstellen. So können angebliche Bewerber, beispielsweise bei einer Initiativbewerbung, infizierte Anhänge mitsenden, die von der Personalabteilung in gutem Glauben geöffnet und enormen Schaden durch einen Computervirus anrichten können.
Auch kann Social Engineering von eingeschleusten „gefälschten Mitarbeitern“ in Ihrem Unternehmen umgesetzt werden, deren Ziel es ist, strategische Informationen und sensible Daten abzugreifen.
Prüfen Sie deshalb immer den Hintergrund Ihrer Bewerber und öffnen Sie keine Dateianhänge, die nicht vertrauenswürdig erscheinen.
Social Engineering kann mit der Reinigungskraft beginnen
Auch Dienstleister, die für Ihr Unternehmen tätig sind, können eine Sicherheitslücke darstellen. So kann beispielsweise allein die Reinigungskraft das Tor zum Social Engineering öffnen. Warum? Da sie in der Regel die Schlüssel für alle Räume hat und meist in den Abend- oder sogar Nachtstunden arbeitet. Also dann, wenn keiner der Mitarbeiter mehr anwesend ist. Die Reinigungskraft könnte damit beispielsweise von einem Angreifer beauftragt werden, einen USB-Stick an einen bestimmen Rechner anzuschließen, der sensible Daten beinhaltet. Damit kann ein Datentransfer in Ruhe vollzogen und ein Virus eingeschleust werden, währen die Reinigungskraft die Räume säubert.
Prüfen Sie deshalb, welcher Mitarbeiter Zugriff auf welche Daten im Unternehmen hat und überlegen Sie, ob der Zugriff auf ggf. alle Daten im Unternehmen wirklich notwendig ist. Beispielswese muss ein Buchhalter nicht zwingend Zugriff auf die Daten der Projekt- bzw. Produktentwicklung haben.
Sicherheitslücken auch über infizierte Hardware
Sicherheitslücken entstehen nicht nur durch menschliche Verhaltensweisen, sondern auch durch gezielt platzierte Hardware. So wurde bereits von Fällen berichtet, in denen gefundene USB-Sticks zum totalen Systemzusammenbruch in Unternehmen geführt haben. Dafür platzierte der Angreifer einen mit einer Malware infizierten USB-Stick so clever, dass es für die Mitarbeiter nach einem verlorenen USB-Stick aussah. Damit der Besitzer identifiziert werden konnte, schloss der Finder den USB-Stick an seinen Rechner an und damit war der Virus auf dem PC.
Derartige USB-Sticks werden meist über Drittanbieter im Internet angeboten und können die Steuersoftware gezielt ausschalten, womit das gesamte Stromsystem lahmgelegt werden kann. Das wiederrum kann zum totalen Zusammenbruch der gesamten Unternehmensstruktur führen – der Worst Case. Vorsicht ist übrigens auch bei USB-Sticks in Form von Werbegeschenken geboten – vor allem, wenn Sie das Unternehmen nicht kennen und/ oder es sich auch im Internet nicht finden lässt. Machen Sie in so einem Fall von derartigen USB-Sticks besser keinen Gebrauch.
Deshalb: Beziehen Sie Ihre Hardware von vertrauenswürdigen Lieferanten und prüfen Sie generell, von welchem Anbieter Sie Ihre Hardware beziehen. Größere Unternehmen gehen mittlerweile so weit, dass deren Daten nur noch über registrierte und verschlüsselte Datenträger ausgelesen werden können – und das ist gut so!