Social Engineering, wenn der Mensch "gehackt" wird

Firmen investieren immer mehr Geld, um ihre IT-Infrastruktur abzusichern und übersehen dabei aber immer wieder etwas: den Mitarbeiter selbst. Heutzutage ist es für Malware nahezu unmöglich geworden, sich völlig unbemerkt in ein System einzuschleusen. Sicherheitslücken, die so etwas ermöglichen, sind unglaublich selten. Sie werden, sobald entdeckt, auch sehr schnell geschlossen. Wie schon WannaCry, Petya oder NotPetya gezeigt haben, bringt ein Angriff alleine auf den Computer kaum den gewünschten Schadenserfolg. Also muss man irgendwie einen Menschen dazu bringen, hierbei zu helfen.

Wie aber bringt man jemanden dazu, etwas zu tun, was einem selber schadet? Indem man ihn manipuliert! Man tarnt die Malware und lässt diese harmlos aussehen. Wie ein Office Dokument, eine PDF, eine Bild- / Videodatei oder schlicht als Link zu einer Internetseite. Man muss den Mitarbeiter nur noch dazu verlocken, die Datei oder den Link auch auszuführen. Dazu bedient man sich psychologischer Tricks. Diese laufen dann darauf hinaus, dass der Nutzer nicht lange nachdenkt und prompt handelt. Ein Beispiel ist das Verschicken einer gefälschten Rechnung. Diese soll der Nutzer dann öffnen. Dies geschieht aus Neugier oder aus Angst, dass man eine Zahlung vergessen hat.

Jetzt kann man natürlich einwenden, dass die Sicherheitssoftware im Unternehmen die Malware doch eigentlich entdecken müsste. Das ist richtig, geschieht aber nicht immer vollständig. Malware entwickelt sich ständig weiter, eine hundertprozentige Erkennung aller Bedrohungen gibt es bei keinem Anbieter.

Außerdem enthält nicht jeder Angriff auch Schadsoftware. Häufig geht es „nur“ darum, an wichtige Informationen zu kommen. Hierbei werden dann Zugangsdaten für Accounts, private Informationen für einen Identitätsdiebstahl oder Daten für Betrugsabsichten ins Visier genommen.

Ein gutes Beispiel ist der sogenannte CEO-Fraud. Dabei gibt sich der Betrüger als Mitarbeiter oder Vorgesetzter aus, nicht selten mit Informationen die vorher über soziale Netzwerke oder Phising gesammelt wurden. Hier solle man doch bitte eine Rechnung begleichen. Dazu wird noch ein Zeitdruck vermittelt, da die Rechnung möglichst schnell beglichen werden soll. Macht man dies, ist das Geld natürlich weg.

Die CEO-Fraud Masche benötigt viel Vorarbeit und Vorbereitung, funktioniert aber auch überraschend häufig. Im Jahr 2016 wurde ein bayerischer Autozulieferer Opfer dieser Methode und erlitt einen Schaden von 40 Millionen Euro. Ziel solcher Angriffe sind häufig Großkonzerne und mittelständige Unternehmen.

Wie häufig solche Angriffe stattfinden, ist nicht bekannt, da es keine Meldepflicht gibt und viele Unternehmen aus Imagegründen nicht eingestehen wollen, Opfer eines solchen Angriffs gewesen zu sein.

Ein meist nicht gesehener Faktor einer IT-Infrastruktur sind die Mitarbeiter, welche zwingend zu solchen Themen und Risiken sensibilisiert werden sollten. Dies kann über Schulungen und Unterweisungen erfolgen. Dem Mitarbeiter sollte dabei vermittelt werden, dass unerwartete Zahlungsaufforderungen nur nach Rücksprache durchgeführt werden sollten. Ein einfaches Telefonat kann da schon reichen. Man sollte zudem darauf achten, dass die E-Mail auch von der richtigen E-Mail Adresse geschickt und entsprechend signiert wurde.

Trotz aller vollmundigen Versprechungen seitens Hersteller und Entwickler von Sicherheitslösungen, gibt es keinen perfekten Schutz. Von daher sollte man alles, was dennoch durchkommt, immer mit einem Quäntchen Skepsis betrachten. Mit nur wenigen Sekunden Aufwand kann man schnell den Verlust von tausenden Euros verhindern sowie sich selber und der Firma einiges an Ärger ersparen.