Angriffe auf IT-Systeme richten sich nicht immer direkt gegen die Systeme selbst, sondern gegen die Menschen, die sie nutzen. Beim Social Engineering nutzt der Angreifer menschliche Eigenschaften geschickt aus, um an sensible Informationen zu gelangen. Menschen reagieren unterschiedlich auf Situationen, im Gegensatz zu Maschinen, die sich an festen Regeln orientieren.
Phishing-Angriffe und ihre Tücken
Der Begriff „Phishing“ ist vielen Büromitarbeitern bekannt, doch die Gefahr, darauf hereinzufallen, bleibt bestehen. Diese Angriffe erfolgen oft über E-Mails, die das Opfer dazu auffordern, Anhänge oder Links zu öffnen. Die Täter tarnen sich dabei geschickt als vertrauenswürdige Absender und erzeugen Druck, indem sie scheinbar dringende Themen wie Bankangelegenheiten oder nicht zugestellte Pakete ansprechen.
Beim Spearphishing besitzt der Angreifer detaillierte Informationen über das Opfer, was die Erfolgschancen erhöht. Durch gezielte Recherche in sozialen Medien oder abgefangene E-Mails wird das Opfer manipuliert, dem Angreifer zu vertrauen.
Baiting: Köder ohne Angel
Beim Baiting wird das Opfer mit einem präparierten USB-Stick oder einer USB-Powerbank geködert, die in der Arbeitsumgebung platziert wird. Durch geschickte Platzierung, möglicherweise mit einem Post-it, auf dem „CEO“ oder „Vorstandspräsentation“ steht, wecken die Angreifer das Interesse des Mitarbeitenden. Sobald der Datenträger angeschlossen ist, können Dateien mit Schadcode ausgeführt oder eine simuliert USB-Tastatur verwendet werden, um Aktionen im Namen des Benutzers durchzuführen.
Piggybacking: Hacker im Schatten
Beim Piggybacking nutzt der Angreifer die Unachtsamkeit des Opfers, um physikalische Sicherheitsmaßnahmen zu umgehen. Indem er sich in Menschenmassen mischt, kann der Angreifer ohne Zutrittsberechtigung in Gebäude gelangen. Profis verkleiden sich sogar als Haustechniker und verschaffen sich so Zugriff auf Systeme vor Ort.
Awareness als effektive Gegenmaßnahme
Um sich gegen derartige Angriffe zu schützen, ist eine umfassende Awareness-Schulung für Mitarbeitende unerlässlich. Ein strukturierter Ansatz kann helfen:
- Vorstellung typischer Social Engineering-Angriffe bei einer Mitarbeiterschulung.
- Durchführung eines simulierten Angriffs auf zufällig ausgewählte Mitarbeitende.
- Aufklärung über den Angriff und erneute Schulung zu Social Engineering.
- Erneute Simulation des Angriffs auf alle Mitarbeitenden, die den ersten Angriff nicht erkannt hatten, sowie auf weitere zufällig ausgewählte Mitarbeitende.
- Fortlaufende Schulungen und Wiederholungen, um die Awareness kontinuierlich zu stärken.