16. Dez 2020   Business Recht Tools

Gastbeitrag: Social Engineering – Sicherheitslücke Mensch

Armin Hendrich ©DLA Piper / Cornelis Gollhardt

Angriffe auf Unternehmen. Beim Social Engineering machen Angreifer sich die Sicherheitslücke Mensch zunutze – mit oft drastischen Folgen, schildern Armin Hendrich und Armin Redl (DLA Piper) sowie Michael Mörzinger (TCSS) in ihrem Gastbeitrag.

Wir alle als Anwender von Informationstechnologie im Alltag, sei es am Smartphone, am Laptop oder PC oder aber auch im Umgang mit den diversen „smarten“ an das Internet angebundenen Geräten, („Internet of Things“ – kurz „IOT“), denken bei dem Wort „Sicherheitslücke“ zuallererst an die verwendeten Geräte bzw Software. Tatsächlich hat sich jedoch mit der technologischen Weiterentwicklung und dem Einzug der IT in den Alltag, allen voran eine Sicherheitslücke als besonders hartnäckig herausgestellt: der Mensch, also wir Anwender.

Gegen das menschliche Versagen schützt letztlich keine Firewall und kein Virenschutzprogramm. Das Ausnützen dieser Sicherheitslücke Mensch wird allgemein als „Social Engineering“ bezeichnet. Einfache und altbekannte Maschen kommen dabei ebenso zum Zug, wie ausgeklügelte taktische Angriffe. Cyberangreifer nehmen menschliche Verhaltensmuster ins Visier – gleich, ob es sich um Privatpersonen oder Mitarbeiter großer Unternehmen handelt – mit dem Ziel, diese zu gewissen Handlungen zu verleiten: Und es funktioniert.

Harmlose scheinende Links sind Phishing-Attacken, oder Dateien werden mit Schadsoftware infiziert. Hat der Cyberangreifer Zugang erlangt, kann er diesen zu verschiedenen Zwecken nutzen. Social Engineering ist noch viel weitläufiger, äußerst wirksam und ein echter Klassiker im Werkzeugkasten von Cyber-Kriminellen.

Angriff auf die Emotionen

Es ist die hohe Kunst, Passwörter, Bankdaten oder andere vertrauliche Informationen zu entlocken – und das gänzlich ohne die sprichwörtliche Pistole an der Schläfe – also gewissermaßen freiwillig. Ist es wirklich so einfach?

Armin Redl ©DLA Piper / Cornelis Gollhardt

Menschen neigen dazu, Logik und Fakten zu ignorieren, wenn sie emotionale Entscheidungen treffen. Darauf haben sich Kriminelle spezialisiert: Gefühle zu erzeugen und auszunutzen. Anstatt beispielsweise zu versuchen, eine Sicherheitslücke in einem Programm zu finden, ist es viel einfacher, einen Mitarbeiter anzurufen, sich als Kollege aus dem IT-Support auszugeben und direkt nach dem Passwort des Mitarbeiters zu fragen.

Dies funktioniert auch sonst sehr gut. Unzählige Menschen sind schon auf verkleidete Polizisten oder Handwerker hereingefallen. Angreifer geben sich dabei stets als Vertrauenspersonen.

Die häufigsten Angriffe

Phishing

Phishing macht 90 Prozent aller Cyber-Angriffe aus. Jeden Monat werden sieben Millionen Phishing-Websites erstellt. Diese Angriffe werden in der Regel über E-Mails, Chats, Internet-Werbung oder Websites ausgeübt. Der Angreifer gibt sich als echte Person oder Unternehmen aus. Auf gefälschten Websites werden Nutzer beispielsweise gebeten, ihr Kennwort zurückzusetzen oder vertrauliche Daten wie Kreditkartendaten oder Telefonnummern einzugeben.

Spear-Phishing

Der Angreifer sammelt viele Informationen über seine Ziele. Sind Sie ins Visier eines Social Engineers geraten, werden Sie im Handumdrehen zum Forschungsprojekt. Dabei nutzen die Angreifer verschiedene Methoden: Sie googeln Mitarbeiter des Unternehmens, spionieren diese in sozialen Medien aus, durchforsten deren Kontakte, befreunden sich mit diesen und kommen auf diese Weise über Umwege an die tatsächlichen Zielpersonen heran.

Quid Pro Quo ist ebenfalls eine beliebte Social Engineering-Methode: Opfer werden mit einem Versprechen geködert, wenn sie im Gegenzug Informationen preisgeben. Am häufigsten geben sich Angreifer als IT-Mitarbeiter aus. Sie rufen Angestellte im Unternehmen an und versprechen ihnen eine schnelle, unkomplizierte Lösung. Dazu müssen die Opfer zB „nur ihr Antiviren-Programm ausschalten“. Dann wird jedoch Malware auf dem Computer installiert.

Das hilft gegen Social Engineering

Die Auswirkungen eines Cyber Angriffes sind für den Einzelnen, sowie im Unternehmen oftmals fatal und können enorme Schäden nach sich ziehen. Unternehmen müssen derartige Risiken in einem unternehmensinternen Risikomanagement berücksichtigen. Eine Haftung der Führungsetage kann nur vermieden werden, wenn entsprechenden Strategien von der Führungsebene vorgegeben und kritisch verfolgt werden.

Michael Mörzinger ©TCSS

Bei den Unternehmensdaten sind vor allem drei Aspekte essenziell, nämlich dass diese vertraulich bleiben (Confidentiality), nicht von Dritten unrechtmäßig verändert werden (Integrity) und im benötigen Zeitpunkt auch abrufbar sind (Availability). Ein entsprechender Cyberangriff kann sich auf einen oder auch auf alle drei Punkte gleichzeitig auswirken.

  • Neben der technischen Wartung der IT-Systeme und der Verwendung der Zwei-Faktor-Authentifizierung sind im Hinblick auf Social Engineering Angriffe auch die Bewusstseinsschaffung bei den Mitarbeitern zu schärfen. Der beste Schutz sind daher geschulte und vorbereitete Mitarbeiter.
  • Eine gesunde Skepsis bei unbekannten Absendern sollte stets vorherrschen. Informationen sollten nur nach guter Überlegung preisgegeben werden.
  • Auf Aufforderungen, bei denen persönliche Informationen oder Passwörter angegeben werden sollen, sollte man nicht eingehen.
  • Schulungen für Mitarbeiter, organisatorische Richtlinien und der Einsatz aufeinander abgestimmter Cybersecurity-Werkzeuge sind unabdingbar. Bei den Schulungsprogrammen ist es wiederum essentiell, dass nicht nur Wissen einmalig transportiert (und danach vergessen) wird, sondern sich das Verhalten langfristig verändert.
  • Aus dem Bankensektor bekannt, können Unternehmen periodenweise Cyber-Stresstests durchführen, um die Effektivität des Risiko- und Compliance Management Systems, des Verfahrensprotokoll und insbesondere der Mitarbeiterschulungen auf die Probe zu stellen.

Schmerzliche Schäden vermeiden

Neben einem etwaigen unmittelbaren finanziellen Schaden kommt es meist zu Reputationsschäden. Auch die datenschutzrechtlichen Themen sollten nicht außer Acht gelassen werden. Als ob die Konsequenzen nicht schon meist schlimm genug wären, drohen hohe Bußgeldforderungen. Ein effektives Datenschutzmanagement und ein rasches Handeln im Fall eines Cyberangriffes sind essenziell.

Unternehmen sind aber nicht gänzlich machtlos. Zusätzlich zu regelmäßigen Mitarbeiterschulungen zur Bewusstseinsschaffung, kann und sollte man auch aktiv auf einen Cyberangriff und dabei auch Datenverlust vorbereitet sein. Kann man den Angriff nicht verhindern, so kann man meist den Schaden eindämmen und, als wesentlichstes Ziel, die Betriebsfortführung garantieren.

Die Autoren

  • Mag. Armin Hendrich MBA MSc, Partner, DLA Piper Wien
  • Mag. Armin Redl, Associate, DLA Piper Wien
  • Michael Mörzinger, TCSS  – Trusted Cyber Security Solutions

Link: DLA Piper

 

    Weitere Meldungen:

  1. Healthcare-Deals bei CMS, Gleiss Lutz und mehr
  2. Stadler liefert Rettungszüge an ÖBB mit Cerha Hempel
  3. Dogado übernimmt Herold: Die Berater
  4. Wolf Theiss berät Hensoldt bei Übernahme von Sail Labs