Es erscheint wie in einem Agententhriller: Ein einzelner Mitarbeiter wird gezielt ausgewählt, um über ihn an Firmengeheimnisse zu gelangen oder Schäden an der IT-Infrastruktur zu verursachen. Die Methoden dahinter: weit mehr als nur die üblichen Spam-Mails. „Social Engineering“ ist der Sammelbegriff für allerlei perfide Methoden, mit denen Verbrecher sich Zugriff auf Unternehmensdaten verschaffen. Reine Hacker sind sie längst nicht mehr. Was bedeutet: Allein durch IT-Sicherheitsmaßnahmen lassen sie sich nicht stoppen. Unternehmen müssen nicht nur ihre Geräte sichern, sondern auch ihre Mitarbeiter.

Mit agilem Recruiting die richtigen Talente finden und binden – in unserem Guide erfährst du, wie es geht!

Der Begriff Social Engineering kann am einfachsten mit „soziale Manipulation“ übersetzt werden. Schon in den 80er Jahren gab es Social Engineering. Die technischen Möglichkeiten haben sich seitdem weiterentwickelt, das Grundprinzip hat sich nicht geändert: Menschliche „Schwachpunkte“ wie Stress und Zeitdruck werden ausgenutzt. Ruft man bei der richtigen Person zur richtigen Zeit an, denkt diese häufig nicht nach. Dadurch ist die Wahrscheinlichkeit höher, dass die vorgespielte Identität des Social Engineers nicht überprüft wird. Gebe ich halt schnell dem vermeintlichen Systemadmin die Zugangsdaten. Dazu kommt dann noch der Faktor Unwissenheit: Eine gut gefälschte Mail hat schon viele in die Irre geführt.

Neugier ist ebenfalls ein treibender Faktor. Ein Gewinnspiel bei Facebook? Melde ich mich doch gerne an – natürlich einfach mit meinem Profil. Und schon haben Social Engineers Zugriff auf allerlei nützliche Informationen über die Person. Und können sogar das gesamte Profil kapern.

Die grundlegende Vorgehensweise des Social Engineers ist das Vortäuschen von Identitäten: Er ist der Systemadmin, der ein Problem entdeckt hat. Der Serviceanbieter, der ganz dringend einen Fehler beheben muss. Die Bank, die vorgibt, dass das Konto gehackt wurde.

Die Methoden des Social Engineers sind vielfältig. Trojaner und Viren sind durch Software abwendbar und daher kaum lohnend. Phishing hingegen ist attraktiver; perfider und deutlich zielgerichteter ist die Methode des Spear-Phishing: Statt blindem Massenaussand sucht man sich im Netz die E-Mail-Adressen einer Firma und gibt sich etwa als Dienstleister oder Systemadmin aus. Inhalt der Mail ist die dringende Aufforderung, sich einzuloggen, um ein Problem zu beheben. Damit sind die Kontoinformationen preisgegeben. Das kann dann entweder zum Diebstahl von Daten oder zur Erpressung führen: Überweise Betrag x oder du bekommst das Konto nicht zurück.

Ähnlich solchen Phishing-Attacken ist der CEO-Fraud. Dort geben sich die Kriminellen als Geschäftsführer aus. Es wird ein Verantwortlicher mit Kontovollmacht angeschrieben, dass er zeitnah eine Überweisung tätigen soll. Natürlich mit dem Hinweis auf die Dringlichkeit und der Bitte um Geheimhaltung. So wird der Schaden oft erst zu spät entdeckt. Weltweit belaufen sich die Schäden durch CEO-Frauds laut FBI auf rund 2,8 Milliarden Euro (Stand 2016).

Eine weitere Variante sind sogenannte Account-Takeover. Immer wieder kommt es zu größeren Datenlecks, zuletzt „Collection #1“: Millionen von Passwörtern landeten im Netz. Kommt ein Verbrecher an nur eine Kombination aus Passwort und E-Mail, gibt es schnell ein Problem: Viele Nutzer verwenden das gleiche Passwort bei verschiedenen Diensten. Im Grunde muss der Engineer nur ein paar andere (häufig genutzte) Seiten ausprobieren und hat relativ schnell Zugriff auf verschiedene Accounts des Gehackten – und kann ihn aussperren.

Auch im echten Leben agieren Social Engineers. Und hier erinnern die Methoden endgültig an Cyber-Thriller. Beispiel USB-Drop: Auf einem Parkplatz werden USB-Sticks auf den Boden geworfen (oft weiß der Engineer, wer wo geparkt hat). Der Finder steckt den Stick in den Rechner – ob um herauszufinden, wem er gehört oder aus simpler Neugier. Und schon kann Schadsoftware installiert werden.

Social Engineers nutzen also nicht immer das Netz oder den Telefonkontakt, sondern erledigen ihre Recherche in schlichter Detektivmanier: Das Opfer wird beschattet, das Facebook-Profil analysiert und Gewohnheiten ausspioniert. Oft auch im persönlichen Kontakt: Zufällig wird ein Gespräch begonnen und das Ziel ausgefragt. Dabei täuscht der Engineer eifrig Interesse vor. In vielen Fällen sind sie eloquent und empathisch und dem Opfer fällt gar nicht auf, was für empfindliche Geheimnisse es gerade preisgibt.

Manche gehen auch weiter und verschaffen sich Zugang zu Gebäuden. Schließt jemand gerade die Tür auf, läuft der Kriminelle hinterher; er habe seinen Schlüssel vergessen. Das Opfer lässt ihn rein– wird schon stimmen. Und die Konfrontation und die Frage, ob der Engineer überhaupt zum Unternehmen gehört, vermeidet er – den Weg des geringsten Widerstands gehen (zu) viele. Und selbst das Wühlen nach Informationen im Müll ist Social Engineers nicht zuwider.

Die Gefahren sind zahlreich; aber was kann man gegen Social Engineering unternehmen? Die IT-Sicherheitslösungen können nur bedingt helfen, der Mensch muss geschützt werden.

• Sicherheitsrichtlinien einführen und Mitarbeiter sensibilisieren

Mitarbeiter müssen gründlich über die Gefahren der Cyberkriminalität aufgeklärt werden. Jedes Unternehmen braucht Richtlinien: Wie kann man sich schützen, und was ist bei einer Sicherheitslücke zu tun? Am besten spricht man im Unternehmen auch über neueste Entwicklungen sowie Gefahren, und sorgt für regelmäßigen Schulungen, etwa in Form von Vorträgen. Ganz wichtig: Unternehmen sollten Mitarbeitern deutlich vermitteln, dass sie bei einem Verdacht Bescheid sagen und sich nicht schämen müssen.

• Augen auf beim Posten

Klingt paranoid, aber: Je detaillierter man seinen Tagesablauf postet, desto angreifbarer macht man sich für Social Engineers. Beispiel: Jemand postet immer, wenn er in einem Café arbeitet. Ein Social Engineer kann dann irgendwann auch dort auftauchen. Und ein öffentliches WLAN ist gefährlich: Alle, die im selben WLAN angemeldet sind, können sich Zugriff auf die Rechner des anderen verschaffen.

•  … und bei Links in sozialen Medien

Dieses Beispiel sieht man in der eigenen Timeline recht häufig: Auf einmal preist jemand billige Sonnenbrillen an. Relativ einfach lassen sich Gewinnspiele oder Rabattaktionen gezielt an Personen mit bestimmten Interessen ausspielen. Wenn die dann klicken, müssen sie einer App Erlaubnis geben, auf ihr Profil zuzugreifen. Und wenn dann die genauen Bedingungen nicht durchgelesen werden, ist auf einmal der ganze Account übernommen.

• Passwort-Lösungen

Um sich vor Account-Takeovern zu schützen, gibt es inzwischen technische Lösungen. Sie lassen sich auf Anmeldeformulare für Softwarelösungen setzen und erkennen, ob ein Passwort schon einmal verwendet wurde und verhindern, dass es erneut festgelegt wird. Dazu sollte man sich natürlich eine Lösung wie One-Password oder Keychain anschaffen, die verlässliche Passwörter generieren und abspeichern.

• Software-Maßnahmen im Fall einer Attacke

Unternehmen brauchen Maßnahmen für und gegen Cyberattacken. Kommt es zur Attacke, sollten beispielsweise automatisch Daten vom Zielgerät gelöscht werden können, um sie zu schützen.

• Nutzungsrechte einschränken

Zudem sollte genau überlegt werden, welcher Mitarbeiter welche Zugangsrechte bekommt. Braucht er wirklich Zugriff auf alle Verträge, Bankkonten oder Dokumente? So können Social-Engineering-Attacken abgeschwächt werden.

Die große Gefahr im Social Engineering liegt darin, dass es von IT-Methoden zum großen Teil nicht verhindert werden kann. Es braucht einen bewussten Umgang mit Daten und Technologie. Es reicht nicht, nur regelmäßig Updates aufzuspielen – das Wissen der Mitarbeiter muss ebenso regelmäßig aufgefrischt werden.