Social Engineering als Risikofaktor Nummer eins

Die Verlockung ist gross, dass gerade auf dem Smartphone entdeckte «free WLAN» zu nutzen. Es trägt den Namen eines bekannten Providers, passt vielleicht sogar in die Umgebung und man wähnt sich in Sicherheit. Auch erfahrene Führungskräfte sind nicht davor gefeit, unbedarft frei zugängliche Internetzugänge zu nutzen und damit Nichtbefugten ungewollt persönliche oder unternehmensrelevante Informationen zuzuspielen.
 
Die Praxis zeigt entsprechend ein hohes Potenzial für die Sensibilisierung in Bezug auf die neuen Technologien und deren Risiken. Durch die allseits beworbene Digitalisierung ist auch die unternehmensspezifische Risikolandkarte Veränderungen unterworfen. Für die Unternehmenswelt bedeutet der digitale Fortschritt, dass sich die Strategie, das Geschäftsmodell sowie daraus abgeleitet auch die Prozesse und Risiken verändern. Diese stetigen Veränderungen sind nicht neu – neu jedoch ist die Geschwindigkeit, welche Unternehmen stark fordert. Die Adaption an veränderte Ausgangslagen ist oft eine der grösseren Herausfor­derungen. Die erfolgreichen Geschäfts­modelle der Zukunft nutzen die neuen technologischen Möglichkeiten für ihr  Ge­schäfts­modell, adaptieren und stellen ihre Fortführung sicher.   

Trend zur Cyber-Abhängigkeit

Studien (Global Risk Report 2018) zufolge steigt der Trend der Cyberabhängigkeit zunehmend. Die damit einhergehende Wahr­scheinlichkeit, dass es zu  Daten­diebstählen, Datenverlusten sowie Cyberangriffen kommt, erhöht sich entsprechend ebenfalls. Die Frage, welche wir uns zu stellen haben, ist nicht, ob wir angegriffen werden, sondern wann. Die technischen Möglichkeiten zur Sicherung der Daten wurden in den vergangenen Jahren stark genutzt. 

Eine der perfidesten Methoden ein Unternehmen zu schädigen ist jene, bei der die Kombi­nation «Mensch und Technik» zur An­wendung kommt. Wir sprechen von Social Engineering. Das schwächste Glied in der Kette, wenn es darum geht, die Eintrittswahrscheinlichkeit zu minimieren, wird jedoch vielerorts noch ausser Betracht gelassen. Der Mensch ist für die Social Engineers – also diejenigen Angreifer, welche gekonnt mit ihren Methoden und Aktionen andere Menschen dazu bringen, das zu tun, was in der Absicht des Social Engineers steckt – der am einfachsten zu knackende Code.

Wie bereits eingangs erwähnt liegen die Gründe nahe: Mitarbeiter werden nach wie vor zu wenig, zu wenig häufig und zu wenig praxisnah sensibilisiert und geschult im Kontext dieser Thematik. Die Erfolgsquote des Social Engineering (Social Hacking genannt) lässt sich dadurch erklären, dass wir, unsere Mitarbeitenden, Vorgesetzten, Kunden, Lieferanten etc. der Beeinflussbarkeit und Manipulierbarkeit sehr einfach erliegen. Täglich lesen wir in den Medien von erfolgreich durchgeführten Angriffen direkt auf Personen (Zielsubjekt). Mit der richtigen Ansprache, insbesondere wenn um vermeintliche «Hilfe» gebeten wird, erreicht der Social Engineer unser Vertrauen. 

Das Social Engineering

Social Engineering ist ein Begriff, der eine altbekannte Methode umschreibt. Die Beeinflussung und Manipulation ist seit frühster Evolutionsgeschichte ein fester Bestandteil der Menschheit. In den vergangenen Jahren hat der Begriff in Verbindung mit neuen Technologien stetig an Popularität gewonnen und zieht das Interesse weiter auf sich. Diese Kombination mit der Technologie verleiht ihm neuen Aufschwung. Nach wie vor besteht die Tendenz, dass der Begriff Social Engineering ausschliesslich der Informationstechnologie zugeordnet wird. Jedoch gehören hier weit relevantere Komponenten als diejenigen der Technik in den Fokus.
 
Der Begriff als solches verrät es bereits: Es handelt sich um eine weit komplexere Komponente – den «Faktor Mensch». Der Versuch einer Definition: «Social Engineering beinhaltet jede Aktion und Methode, welche ein Individuum in ihrem Verhalten so beeinflusst, dass diese nicht zwingend in ihrem eigenen Interesse ist. Das Kernelement von Social Engineering ist – egal ob gut- oder böswillig – die bewusste Steuerung eines Zielsubjekts in seiner Entscheidungsfindung.» Social Engineering ist jedoch kein Begriff, der sich per Definition genau abgrenzen lässt. Seine Grenzen zu anderen Methoden sind fliessend. Das sogenannte computerbasierte Social Engineering arbeitet dahingehend, dass es durch technische Hilfsmittel eine Identität vortäuscht oder eine Vertrauensbasis missbraucht. Mithilfe dieser technischen Werkzeuge (Webseiten, E-Mail-Adressen) werden die Identitäten von vertrauensvollen Partnern (Bank, Lieferant et cetera) vor­getäuscht, um an sensible Informationen des Zielunternehmens oder Zielsubjektes zu gelangen. 

Arten des Social Engineering

Primär werden drei verschiedene Bereiche des böswilligen Social Engineering unterschieden (siehe Abbildung):

• Phishing
• Elizitieren am Telefon
• Identitätsbetrug

Die technologischen Entwicklungen der Zukunft werden, aufgrund neuer Ausprägungen, weitere Untergruppen in Umlauf bringen. Fokussiert auf die Komponente «Human Factor» – also die nichttechnischen Komponenten – der drei genannten Ausprägungen lassen sich direkte Rückschlüsse auf die Effektivität der jeweiligen Methode ziehen.

Der physische Identitätsbetrug

Der physische Identitätsbetrug nimmt eine sehr wichtige Rolle – und für das Zielsubjekt gefährliche – ein. Bei dieser Form des Social Engineering kommt neben der Sprache auch die visuelle Konfrontation zwischen Täter und Zielsubjekt hinzu. Die Täuschung über die Erscheinung des Social Engineers hat wesentlichen Einfluss. 

Phishing

Bei dem sogenannten Oberbegriff des Phishings besteht die Kommunikation ausschliesslich aus den elektronisch versandten Nachrichten an das Zielsubjekt. Diese eingesetzten nonverbalen Elemente beeinflussen die Zielsubjekte aufgrund ihrer Aufmachung, Gestaltung, Formulierung und ihres Inhalts. Es fehlt jedoch ein direkter persönlicher, visueller und auditiver Kontakt zwischen dem Täter und dem Zielsubjekt.

Elizitieren am Telefon

Beim Elizitieren am Telefon entfällt die nonverbale Kommunikation in Form von visuellen Elementen wie es beim Phishing eingesetzt wird und ausschliesslich das gesprochene Wort, der Tonfall sowie die Lautstärke nehmen Einfluss das Zielsubjekt. Es geht einem Social Engineer darum, die verbale wie auch nonverbale Kommunikation des Zielunternehmens wie auch des Zielsubjekts zu erkennen und gleichzeitig die eigene sowie jene des Zielsubjekts zu steuern. Dieses «Handwerk» wird von einem professionellen Social Engineer beherrscht.

Das Ködern von Zielsubjekten

Die Praxis zeigt, dass neben individueller Funktion und Rolle innerhalb des Unternehmens auch die Generationenthematik starken Einfluss hat auf die Mani­pulation des Zielsubjektes. Dies wird bei der Sensibilisierung oft nicht berücksichtigt. Jemand der Generation «Babyboomer» hat ein anderes Verhalten gegenüber Risiken als Vertreter der Generation «Y». Social Engineering in Kombination mit den technologischen Möglichkeiten zielt genau auf diese Unterschiede ab. Das heisst, dass die Angreifer wissen, mit welcher (technologischen) Methode das Zielsubjekt am einfachsten zu gewinnen ist. Die Prävention soll diese Thematik miteinbeziehen und dann bedarfsge­recht sensibilisieren.

Für die Sicherheit jedes Unternehmens spielt Social Engineering eine nicht mehr wegzudenkende Rolle. Die auserwählten Zielsubjekte werden mit spannenden Filmen, Updates und Informationen geködert. Sie spielen eine tragende Rolle, indem sie einen Link oder ein Dokument aktiv öffnen. Doch Social Engineering geht noch viel weiter und nutzt den direkten Kontakt mit Vertretern des im Fokus stehenden Unternehmens. Sie wollen ihr Zielsubjekt kennenlernen und durchleuchten es. Nach langer Vorbereitung werden diese dann direkt und sehr gezielt angesprochen. Mit einer der erwähnten Methoden. Mit dem alleinigen Zweck, an die sensibelsten Daten eines Unternehmens zu gelangen.

Die Sensibilisierung

Die Sicherheit eines Unternehmens wie auch der Mitarbeitenden geniesst oberste Priorität. Mit einfachen modularen Massnahmen lässt sich diese Unternehmenssicherheit für alle Beteiligten erhöhen. Die grösste Hebelwirkung in der Prävention hat erfahrungsgemäss die Sensibilisierung auf eine spezifische Thematik. Diese Sensibilisierung soll sämtliche an den Prozessen beteiligten Mitarbeitenden umfassen. Die Praxis zeigt, dass insbesondere Frontmitarbeitende (Empfang, Verkauf, Administration, Marketing etc.) mit regem Kontakt zu Kunden und Partnern aus­serhalb des Unternehmens dem Risiko, Ziel eines Social Engineers zu werden, stärker ausgesetzt sind.

Ebenfalls spannend für Social Engineers sind die engen Mitarbeitenden von Entscheidungsträgern. Diese wissen in der Regel sehr viel über die Routinen und Gepflogenheiten ihrer Vorgesetzten. Entsprechend können sie für Social Engineers als Zielsubjekte auserkoren werden.
 
Durch verschiedene Methoden zur Beeinflussung und Manipulation wird die Vertrauensbasis beim Zielsubjekt geschaffen. Die implementierten Prozesse inklusive deren Kontrollumfelder im Rahmen der Abwehr von Hackerangriffen und zur Verhinderung von Informationsdiebstahl erscheinen unter dem Blickwinkel des Faktors Mensch als minimal effektiv, wenn nicht gar nutzlos. Aus diesem Grund wird Social Engineering als eine der gefährlichsten Formen der Cyberkriminalität und des Informationsdiebstahls gehandelt. Auch wenn ein Unternehmen hoch- technologische Sicherheitslösungen implementiert, ihre Mitarbeiter geschult und einen Wachdienst für Gebäude organisiert hat, es bleibt trotzdem in höchstem Masse verletzlich. 

Verantwortungsträger wie Mitarbeitende können all den Sicherheitsempfehlungen in den Schulungen Folge leisten, sämtliche Antivirenprogramme auf dem neusten Stand halten, auch sie bleiben verletzlich und angreifbar. Der Faktor Mensch ist verantwortlich für diese Verletzlichkeit – als schwächstes Glied in der Sicherheitskette (Stirnimann, 2018, Seite 141).  Die Sensibilisierung in Bezug auf Social Engineering gilt als effektivste Präventionsmassnahme. Im Rahmen des firmeninternen Notfallkonzeptes steht diese Sensibilisierung an erster Stelle.