Mitarbeiter & Ausbildung

Social Engineering: So kann eine Attacke ablaufen

Cyberkriminelle ha­ben wirk­sa­me Tools zur Atta­cke per So­cial En­gi­nee­ring. Wer ih­re Tricks kennt, fällt we­ni­ger leicht auf ei­nen An­griff rein. Da­her soll­ten Un­ter­neh­mer al­le Mit­ar­bei­ter über die Me­tho­den der Cy­ber­kri­mi­nel­len so­wie die rich­ti­gen Ver­hal­tens­weisen aufklären.

Teilen auf

LinkedIn Xing Whatsapp

40 Millionen Euro bei einem mittelständischen Automobilzulieferer, 1,9 Millionen bei einer regionalen Bäckerei-Kette – per Social Engineering erbeuten Cyberkriminelle enorme Summen. Jeder Firmenchef sollte sich deshalb dem Thema widmen und auch seinen Mitarbeitern klarmachen, wie beim Social Engineering ein Angriff abläuft und welche Methoden bei der Attacke bevorzugt zum Einsatz kommen. Dabei ist die Definition, was Social Engineering ist, gar nicht so einfach. Das sind – entgegen der landläufigen Meinung – nicht nur Angriffe im digitalen Raum. Manche Cyberkriminelle bereiten Attacken durch persönliche Treffen vor oder durchwühlen den Müll ihrer Opfer. So bekommen sie Informationen, die ihnen den Zugang zu einer Person oder einem Betrieb erleichtern. Deshalb sollte es bei Schulungen zu Methoden und Gefahren des Social Engineering nicht nur um Online-Zugangsdaten, E-Mail-Anhänge oder Firewalls gehen. Sondern auch um Smalltalk bei Messen, das Gespräch mit dem vermeintlich neuen Kollegen auf dem Firmenparkplatz oder die Frage, wer beim geschäftlichen Telefonat im Zug mithört.

Eine kurze Definition – was ist Social Engineering

Was ist Social Engineering? Eigentlich ist die Definition ganz einfach – Social Engineering bedeutet, dass ein Cyberkrimineller sein Opfer mit so ausgefeilten Methoden angreift, dass es sich wie gewünscht verhält, ohne eine Attacke auch nur zu ahnen. Beim Social Engineering reicht manchmal ein Angriff, um das Ziel zu erreichen, etwa eine Überweisung zu veranlassen. Oder es kommt zu wiederholten Attacken auf Daten und Informationen, bei denen sich der Cyberkriminelle immer näher ans Ziel heranpirscht. So sammelt er Informationen für den großen, finalen Schlag. Je mehr Munition er zuvor aus diversen Quellen sammelt, desto gezielter kann er sein eigentliches Opfer unter Beschuss nehmen. Bei einer einfachen Attacke kann es sein, dass der Angreifer jemanden nur auf die gefälschte Startseite seines bevorzugten Onlineshops umleitet. Gibt das Opfer die Zugangsdaten ein, ist der Hacker schon am Ziel. Er kann die Account-Einstellungen ändern und auf Rechnung seines Opfers teure Bestellungen an eine Packstation liefern lassen.

Social Engineering soll Men­schen manipulieren

Ausgefeilte Angriffe auf Unternehmen funktionieren oft mehrstufig. Jemand tippt beispielsweise bereitwillig Zugangsdaten zu seinem Social-Media-Account ein, weil er nicht die Umleitung auf eine gefälschte Startseite erkannt hat. Dann – nächste Stufe – gibt jemand am Telefon seine Zugangsdaten zum Firmennetzwerk preis, weil er glaubt, der Anrufer sei Mitarbeiter der IT-Abteilung und installiere Updates. Tatsächlich konnte der Anrufer nur Vertrauen erwecken, weil ihm der zuvor gehackte Social-Media-Account des Mitarbeiters gute Themen für Smalltalk lieferte. Die Kür ist dann ein Anruf in der Buchhaltung, mit dem der vermeintliche Firmenchef eine Überweisung fordert. Tatsächlich ist es der Cyberangreifer. Mithilfe der erbeuteten Zugangsdaten zum Firmennetzwerk konnte er sich über Personen, Strukturen und Abläufe informieren – manchmal über Tage oder sogar Wochen. Daher kann er glaubwürdig den Chef imitieren und einen kaufmännischen Angestellten dazu veranlassen, die Überweisung ohne Rücksprache auszuführen. Über einen mehrstufigen Angriff ist es gelungen, den entscheidenden Mitarbeiter per Social Engineering zum gewünschten Verhalten zu manipulieren.

Welche Attacke dem Social Engineering dienen kann

Manchmal handelt es sich um einen schnellen, direkten Angriff mit klarem Ziel, manchmal einen Teil einer mehrstufigen Attacke – aber jeder Vorstoß beim Social Engineering bedient sich einer Methode oder auch mehrerer, die dem klassischen Hacker-Werkzeugkasten entstammen. Mit ein wenig Aufmerksamkeit können viele dieser Attacken erkannt und damit abgewehrt werden. Dazu sollten Firmenchefs aber alle Mitarbeiter zumindest über folgende Tricks informieren und sie sensibilisieren.
Phishing. Cyberkriminelle versenden betrügerische E-Mails und erbeuten private Informationen. Weil unbedarfte Adressaten per Mail-Antwort freiwillig persönliche Informationen preisgeben, oder indem sie durch ihre Leichtgläubigkeit Spähsoftware auf ihren Rechner lassen. Die Beute: Bankinformationen, Zugangsdaten, PINs oder Geburtsdaten, aber auch Infos über den Arbeitgeber.

Spear Phishing. Eine verfeinerte Phishing-Variante: Die Angreifer attackieren ausgewählte Personen(gruppen), um ihre Trefferquote zu erhöhen. Wer persönliche Daten mehrerer Mitarbeiter eines Unternehmens oder einer Abteilung erbeutet, kann sich mit diesem Wissen besser als Kollege ausgeben.
Pretexting. Bei dieser Art des Informationsdiebstahls versucht der Täter, durch einen Vorwand das Vertrauen seines Opfers gewinnen. Das sind etwa fingierte E-Mails oder Anrufe von Polizei oder Behörden, Banken oder Versicherungen, einem vermeintlichen Arbeitskollegen oder entfernten Verwandten.
Water Holing. Bei der Wasserloch-Strategie lockt der Angreifer jemanden zur gefälschten Version einer häufig besuchten Website, die private oder Zugangsdaten abfragt. Wer sich in einer vertrauten Umgebung wähnt, gibt ohne Zögern oder Zweifel sensible Informationen preis.

Ein Angriff kann Geld oder Informationen gelten

Beim Social Engineering findet die Attacke nicht nur im digitalen Raum statt – manche Angriffe mit ausgefeilten Methoden sind ganz real. Dann sucht der Kriminelle den direkten, oft persönlichen Kontakt zu seinem Opfer, um es zu bestimmten Verhaltensweisen zu bewegen. Auch hier ist das Ziel, Daten oder Informationen zu sammeln und so die laufende Attacke weiter voranzutreiben. Das kann bei einer Messe sein, im privaten Umfeld oder sogar auf dem Firmengelände. Beim Social Engineering sind viele Angreifer geschickt darin, ihren Opfern in vermeintlich harmlosen Situationen aufzulauern und sie dann zu manipulieren. Deshalb reicht es nicht, die Mitarbeiter zur Abwehr von Social-Engineering-Versuchen für digitale Themen zu sensibilisieren. Auch beim Smalltalk mit einem Praktikanten in der Kaffeeküche sollten die Beschäftigten nicht zu redselig sein. Vielleicht hat ihn die Konkurrenz oder eine Hackergruppe zur Vorbereitung einer Social-Engineering-Attacke eingeschleust. Oft verwendete Tricks sind:

Baiting. Bei der Köder-Methode motivieren Cyberkriminelle die Opfer, freiwillig Schadsoftware zu installieren. Etwa, indem sie ihnen einen USB-Stick als vermeintlich aus vertrauenswürdiger Quelle stammendes Werbegeschenk unterjubeln. Wirkungsvoll ist auch der scheinbar vom Chef auf dem Firmenparkplatz verlorene USB-Stick mit der Beschriftung „Wellness-Wochenende Geschäftsführung“. Schon ist der Finder neugierig.
Tailgating. Hierbei rückt der Angreifer dem Zielobjekt unauffällig dicht auf die Pelle. Entweder, indem er die Höflichkeit des Opfers ausnutzt, um Zugang zu geschützten Bereichen zu erhalten, die er ausspähen will. Oder, indem er Situationen kreiert, in denen er etwa kurz das Handy zum Anruf beim Kind ausleiht. Schon ist eine Schadsoftware auf dem Gerät installiert.
Dumpster Diving. Dabei durchwühlen Angreifer buchstäblich die Mülltonne des Opfers, um persönliche Informationen zu erbeuten. So finden sie Anhaltspunkte, für welche Attacken jemand anfällig wäre. Wer beispielsweise als Mitglied diverse Magazine gemeinnütziger Organisationen bekommt, kann zum Opfer einer Attacke werden, die um soziale Themen kreist.

Insider-Informationen geben Angreifern mehr Autorität

Bei den zuvor genannten Methoden für eine Attacke via Social Engineering ging es oft nur um die Daten- und Informationssammlung. Aber letztlich ist es natürlich das Ziel aller Cyberkriminellen, Geld zu erbeuten. Beim einstufigen, direkten Angriff auf nur eine Person zielt das Social Engineering darauf ab, ihr Geld zu entwenden. Das geht entweder durch den Zugang zu Bank- und Onlineshop-Accounts oder das Stehlen von Kreditkarteninformationen. Oder, indem das Wissen über ein Unternehmen sowie dessen Mitarbeiter für einen großen Coup genutzt wird, den CEO-Fraud. Daher sollten Mitarbeiter folgende auf Privatleute oder Firmen zielende Methoden kennen.
Vishing. Wer etwa bei einer Social-Media-Plattform einen verlockenden Link anklickt, bekommt per Warnmeldung die Aufforderung, eine gebührenfreie Telefonnummer anzurufen. Dann könne ein Techniker ein ernsthaftes Problem mit dem Computer beheben. Der Anruf ist auch kostenlos, aber der Experte verlangt Geld für seine Hilfe und braucht zur Abrechnung die Kreditkartendaten. Und schon wird es richtig teuer.

Quid pro Quo. Der Cyberkriminelle bietet etwas an und möchte eine Gegenleistung. Bekannt ist die Masche vom vermeintlich afrikanischen Banker, der Geld auf dem Konto eines Verstorbenen ohne Erben entdeckt hat. Er sucht einen Partner, dem er es überweisen und dann teilen kann. Dieser müsse aber zunächst selbst etwas Geld überweisen, damit man gemeinsam Kasse machen kann. Oder, im IT-Bereich: Der vermeintliche Support offeriert schnelle Hilfe bei einem Problem, braucht dafür aber Zugangsdaten zum Privat- oder Firmenaccount.
CEO-Fraud. Beim Betrug per Chef-Masche kontaktiert der vermeintliche Chef jemanden in der Buchhaltung des Unternehmens, der Geld transferieren darf. Er braucht rasch eine Überweisung für eine geschäftskritische Transaktion und nennt gute Gründe, warum der Kontakt nicht über Firmenkanäle läuft. Etwa Probleme mit dem IT-Netzwerk der ausländischen Tochter, wo er gerade einen Vertrag verhandelt. Überweist der Angestellte das Geld, weil der Anruf wegen intimer Kenntnisse über Kollegen und Unternehmen glaubhaft klingt, ist es weg.

Gelegenheiten zum An­griff per Social Engineering

Soziale Netzwerke. Sie sind eine bevorzugte Informationsquelle für jeden, der einen Angriff per Social Engineering plant. Dort finden sich nicht nur persönliche Daten über jemanden, sondern oft auch Infos zum Arbeitgeber und der Funktion im Unternehmen. Damit nicht genug: Über diese Netzwerke können Cyberkriminelle ganz leicht einen persönlichen Kontakt zu Opfer aufbauen. Denn diese Kontaktfunktion macht ja gerade ihren Reiz aus, Freundschaftsanfragen oder Likes sind willkommen. Sehr gefährlich ist, dass so mancher Nutzer sozialer Netzwerke viele seiner Freunde gar nicht wirklich kennt. Er kann ihre Intention also nicht einschätzen. Gleichzeitig neigen viele Menschen dazu, ohne großes Nachdenken von vermeintlichen Freunden empfohlene Links anzuklicken. Und schon ist über eine ganz seriöse Plattform ein Trojaner auf ihrem Rechner gelandet.

Abhöraktionen. Nicht selten nutzen Cyberkriminelle für ihre Attacke via Social Engineering ein soziales Netzwerk, um den Rechner des Opfers zu verwanzen. Sie spielen Schadsoftware in Form sogenannter Spyware auf und können so seine komplette Kommunikation verfolgen. Solche Malware kann man sich allerdings auch über Links auf präparierte, gefälschte Webseiten oder voreiliges Klicken auf einen Mail-Anhang einfangen. Ebenso gefährlich sind laute Telefonate im öffentlichen Raum, bei denen es um Firmeninterna geht. Man kann nie wissen, wer im Zug eine Reihe weiter hinten sitzt und aufmerksam zuhört.

Die Attacke muss nicht im di­gi­ta­len Raum stattfinden

Datenträger. Gerade USB-Sticks bergen ein enormes Risiko – fremde wie eigene. Beim Angriff via Social Engineering kann der Cyberkriminelle einen präparierten Stick so platzieren, dass jemand ihn an seinen Computer anschließt. Schon ist Schadsoftware auf dem Rechner und schlimmstenfalls sogar gleich im Netzwerk. Aber auch ein USB-Stick der eigenen Firma kann gefährlich sein. Wer ihn etwa als Werbegeschenk erhalten hat, kann ihn manipulieren und wieder ins Unternehmen einschleusen. Weil er mit dem eigenen Logo versehen ist, dürften viele Mitarbeiter damit unvorsichtig umgehen, wenn er auf dem Betriebsgelände herumliegt. Manche präparierte Sticks könnten einen Rechner umfassend ausspionieren, indem sie sich etwa gegenüber dem Betriebssystem als Tastatur oder Netzwerkkarte ausgeben. Um Social Engineering sowie generell Cyberattacken vorzubeugen, sollten USB-Sticks für den innerbetrieblichen Gebrauch eindeutig gekennzeichnet sein. Und jeder Mitarbeiter darf nur seinen nutzen, den er nie aus der Hand gibt. Oder die USB-Ports werden doch am besten gleich verplombt und so unbrauchbar gemacht.

Risiko Mensch. Manchmal treffen sich auf dem Gang oder in der Kantine neue Kollegen mit ähnlichem Aufgabenbereich, die sich noch nicht kennen. Bei aller Höflichkeit – hier sollte nur Smalltalk auf Sparflamme laufen, bis die Identität des oder der anderen offiziell bestätigt ist. Bei einer Attacke via Social Engineering ist die Kunst des Angreifers, sich Vertrauen zu erschleichen und so Informationen abzugreifen. Deshalb sollte jeder Mitarbeiter wissen, dass man mit Unbekannten nie frei redet – wer weiß, wie sie aufs Firmengelände gekommen sind. Spätestens wenn der Neue bittet, ob man sich mal kurz für ihn ins System einloggen kann, müssen alle Alarmglocken schrillen. Denn bei genau solchen Aktionen kann jemand aus den Augenwinkeln die Login-Daten ausspähen – und dann: IT-Sicherheit ade. Mehr Tipps zu diesem Thema finde sich im DATEV-Leitfaden „Verhaltensregeln zum Thema Social Engineering“.

Tipps für bes­se­ren Schutz vor Social Engineering

Beim einem Angriff via Social Engineering ist das Ziel der Attacke, einen Mitarbeiter zu einem bestimmten Verhalten zu bewegen. Deshalb reicht es nicht, auf technische Vorkehrung zur Abwehr zu setzen. Ganz wichtig ist, die Beschäftigten für das Thema zu sensibilisieren und ihnen klare Verhaltensweisen vorzugeben. Aufmerksamkeit und eindeutige, allgemein gültige Prozesse sind hier besonders wichtig, so die Empfehlung von „Deutschland sicher im Netz“ (DsiN).
Strikte Regeln und Abläufe. Wer um eine regelwidrige Auskunft, Überweisung oder Herausgabe von Daten gebeten wird, sollte auch unter Zeitdruck oder mit dem vermeintlichen Firmenchef am Telefon auf dem vorgeschriebenen Dienstweg bestehen. Das ist nicht unkooperativ, sondern verantwortungsbewusst.
Gesteigertes Bewusstsein. Alle Mitarbeiter sollten hinterfragen, wofür sie anfällig wären. Welche Informationen über sie sind online zugänglich, ermöglicht das eine Attacke via Social Engineering? Das ist kein Zeichen für Schwäche, sondern die Übernahme von Verantwortung für das eigene Handeln.

Gesundes Misstrauen. Bei Kontaktanfragen über soziale Netzwerke sollte jeder skeptisch sein. Die Vertrauenswürdigkeit lässt sich durch öffentlich zugängliche Informationen überprüfen. Sensible persönliche sowie insbesondere Firmendaten sollten auch gegenüber guten Bekannten vertraulich bleiben, Privatsphäre-Einstellungen restriktiv sein.
Phishing-Sensibilität: Keine unerwarteten E-Mails und Anhänge öffnen, keine obskuren Links anklicken, jede Webseite genau ansehen, um Fälschungen zu erkennen. So sinkt die Gefahr, sich Schadsoftware einzufangen und leichter einer Attacke via Social Engineering zum Opfer zu fallen.

Das folgende Video informiert über das Thema E-Mail-Verschlüsselung – ebenfalls ein wichtiger Baustein der IT-Sicherheitsstrategie zum Schutz vor Informations- und Datendiebstahl.

Hat Ihnen der Beitrag gefallen?
Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.

  • Schwerpunktthemen
  • Trialog-Newsletter

    Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?
    Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

  • Experten-Suche

    Mit dem richtigen Partner sicher durch die Corona-Krise kommen, Steuerberater helfen bei Konjunkturpaket und Überbrückungshilfen! Finden Sie auf DATEV SmartExperts den passenden Experten.

    Ich suche








  • Auf Facebook mitdiskutieren

    Sie möchten das Thema vertiefen?
    Dann werden Sie gerne Fan und beteiligen sich an der Diskussion auf unserer Facebook-Fanpage

    Jetzt TRIALOG-Fanpage besuchen

  • DATEV im Web
    YouTube LinkedIn