Durch ausgefeilte Social-Engineering-Attacken verursachen Kriminelle erhebliche Schäden – doch Unternehmen können vorbeugen.

Ausmaß des Problems

Jüngst hat der Global Crime Trend Report 2022 von Interpol die Problematik erneut ins Licht der Öffentlichkeit gerückt: Über 60 Prozent der befragten Experten aus den Strafverfolgungsbehörden stufen Ransomware, Phishing und Online-Betrug als hohe oder sehr hohe Bedrohungen ein. Und sogar 70 Prozent gehen davon aus, dass die Zahl der Ransomware- und Phishing-Angriffe in den kommenden drei bis fünf Jahren weiter ansteigen wird. Insbesondere beim sogenannten Social Engineering betreiben die Täter einen hohen Rechercheaufwand, sodass sie auch versierte Nutzer zu täuschen vermögen.

Die Quantifizierung der Häufigkeit von Social-Engineering-Attacken ist nicht einfach: Für ein durchschnittliches Unternehmen rechnet der Security-Anbieter Barracuda mit etwa 700 derartigen Angriffen pro Jahr. Einschränkend muss jedoch angemerkt werden, dass jede Statistik zum Thema lückenhaft ist, weil nicht alle Social-Engineering-Attacken den Strafverfolgungsbehörden gemeldet werden. Aus Reputationsgründen ziehen es betroffene Unternehmen und Banken oft vor, die entstandenen Schäden intern zu regeln. Insbesondere bei Banken ist das Thema so sensibel, dass die Schadenssummen nur einem sehr kleinen Kreis überhaupt bekannt sind – mit Außenstehenden, einschließlich der eigenen IT-Sicherheitsdienstleister, wird über die Beträge grundsätzlich nicht gesprochen.

Social-Engineering-Attacken sind recht aufwändig und lassen sich nicht gut automatisieren – in jedem Fall müssen die Täter ihre Zielpersonen überzeugen, die gewünschten Aktionen zu tätigen. Damit sich dieser hohe Aufwand lohnt, fokussieren sich die Cyberkriminellen auf Angriffe, bei denen sie möglichst viel Geld erbeuten können. Sie nehmen also neben Unternehmen vor allem Finanzinstitute ins Visier.

Die wichtigsten Methoden des Social Engineering

Die Angreifer wissen, dass eine gute Vorbereitung über Erfolg oder Misserfolg ihrer Social-Engineering-Attacke entscheidet. Da verschiedene Angriffsvarianten auch eine unterschiedliche Herangehensweise erfordern, sammeln sie in der Vorbereitungsphase alle jeweils relevanten Informationen: Dazu zählen etwa die Namen und Kontaktdaten von potenziellen Opfern und deren weisungsbefugten Vorgesetzten, welche Bank das Unternehmen nutzt und Ähnliches.

Die bekanntesten Angriffsmethoden sind der CEO Fraud, der Microsoft Fraud sowie der SIM Swap Fraud. Der CEO Fraud zielt direkt auf Mitarbeiter, die zu Geldtransfers im Unternehmensauftrag berechtigt sind. Per E-Mail oder Telefon wird ihnen vorgespielt, dass in größter Eile ein hoher Geldbetrag ins Ausland überwiesen werden müsse. Die Täter geben sich dabei als CEO oder andere hochrangige Vorgesetzte aus; oft ergänzt um weitere Rollen wie die eines Finanzberaters oder Bankmitarbeiters. Dabei drängen die Kriminellen stets auf Eile, um eine Drohkulisse aufzubauen und den Mitarbeiter davon abzuhalten, durch die Rückmeldung bei Vorgesetzten und andere übliche Vorsichtsmaßnahmen die Identität seiner Gesprächspartner sowie die Legitimität der Forderungen zu hinterfragen.

Beim Microsoft Fraud wird versucht, das gesunde Misstrauen der Angestellten durch einen anderen Trick auszuhebeln: Viele von ihnen kennen sich mit der firmeneigenen IT-Infrastruktur nur oberflächlich aus und bringen der IT-Abteilung und deren Partnern ein gehöriges Maß an Grundvertrauen entgegen. Dies wird ausgenutzt, indem sich der Täter am Telefon als Microsoft-Mitarbeiter ausgibt und behauptet, man habe ein technisches Problem am Firmen-PC festgestellt, das dringend behoben werden müsse. Geht der User darauf ein, wird er meist auf eine Website mit Schadsoftware geleitet und installiert eine Anwendung zum Desktop-Sharing. Auf diese Weise erlangt der Angreifer Zugriff auf das System und kann Daten abgreifen oder weitere Schadsoftware installieren.

Der SIM Swap Fraud richtet sich gegen die Helpdesks von Telekommunikations-Anbietern und zielt darauf ab, SMS-basierte M-TAN-Autorisierungen abzufangen. Der Mitarbeiter soll dazu bewegt werden, eine (attackierte) Telefonnummer einer anderen SIM-Karte zuzuordnen. Angreifer müssen dafür zuvor die Sicherheitsfragen und -antworten des Users recherchieren. Gelingt es ihnen, die Umstellung zu veranlassen, erhalten die Angreifer die SMS-Nachrichten, die für den Nutzer gedacht waren – einschließlich der M-TANs fürs Banking. Die Angriffsmethode ist beispielsweise in Afrika weit verbreitet, da Bankgeschäfte hier oft ausschließlich übers Handy abgewickelt werden, kam aber auch in Großbritannien bereits zum Einsatz.

Social Engineering verhindern

Was sind nun die wichtigsten Methoden, um Social-Engineering-Attacken vorzubeugen beziehungsweise rechtzeitig zu erkennen? Eine altbekannte Weisheit aus der IT-Security bewahrheitet sich auch hier: Der Mensch ist immer das schwächste Glied in der Kette von Sicherheitsmaßnahmen. Das gilt sogar, wenn Mitarbeiter eine Sicherheitsschulung absolviert haben, denn die Angreifer entwickeln laufend neue Ideen für Angriffsszenarien. Greift eine Methode nicht mehr, weil die IT-Security explizit vor ihr warnt, wechseln die Kriminellen zu einer neuen Herangehensweise. Nicht zuletzt bauen sie während ihrer Angriffe durch Verweis auf die vorgeblich gebotene Eile und einen Auftrag „von ganz oben“ hohen Druck auf. Mitarbeiter geraten so in Versuchung, gängige Sicherheitsregeln wie das Vieraugenprinzip außer Acht zu lassen. Unternehmen sollten in ihren Schulungen daher explizit auf diese Vorgehensweise der Täter hinweisen, um ihre Angestellten vor folgenschweren Fehleinschätzungen zu bewahren.

Richtet sich der Angriff gegen Endbenutzer/-kunden, ist die Ausgangslage nochmals schwieriger. Schließlich können diese nicht oder bestenfalls sehr oberflächlich vom Unternehmen geschult werden. Insbesondere gut gemachte Phishing-Mails sind in diesem Zusammenhang nach wie vor ein akutes Problem. Als Ausweg bleibt eigentlich nur die Einführung technischer Lösungen – die aber ohnehin für eine solide Sicherheitsstrategie unabdingbar sind.

Basis der technischen Maßnahmen ist das konsequente Kappen veralteter und prinzipbedingt unsicherer Verfahren zur Nutzer-Authentifizierung. Dazu gehört etwa der Verzicht von Finanzinstituten auf das M-TAN-Verfahren, das durch Betrugsmaschen wie SIM Swap anfällig für die Manipulation durch Betrüger ist. Hinzu kommt der Einsatz einer ganzen Reihe von Security-Verfahren, insbesondere zur Nutzer-Authentisierung. Mit diesen lassen sich Banking- und E-Commerce-Apps schützen, sie sind aber beispielsweise auch für den Schutz unternehmensinterner Logins geeignet. Darunter fallen etwa die Prüfung des verwendeten Geräts und der Geolocation, aber auch kontextbasierte Verfahren wie der Abgleich des Tippverhaltens: Weicht dieses zu stark von den bekannten, im System hinterlegten Mustern ab, handelt es sich höchstwahrscheinlich nicht um denselben Menschen.

Aus der Zahl und Art solcher Abweichungen errechnet sich ein Risiko-Score. Überschreitet dieser einen Schwellenwert, wird der Nutzer beispielsweise aufgefordert, sich erneut sicher zu authentifizieren. Speziell in Banking-Apps führen solche Abweichungen zu einem „stillen Alarm“: Eine verdächtige Überweisung wird zwar vom System bestätigt, sodass sich ein illegitimer Nutzer in Sicherheit wiegt – ein tatsächlicher Geldtransfer kommt aber anschließend nicht zustande.

Was bringt die Zukunft?

Bei ihren Angriffen wählen die Täter den Weg des geringsten Widerstands. Taucht ein Hindernis auf, wechseln sie üblicherweise zunächst ihre Ziele. Hat beispielsweise eine Bank neue strikte Sicherheitsmechanismen eingeführt, wenden die Cyberkriminellen ihre bewährten Methoden einfach bei einem anderen Finanzinstitut an. Erst, wenn sie mit ihrer eingespielten Vorgehensweise regelmäßig scheitern, ändern sie sie – und das Ganze beginnt von vorn. An diesem Katz- und Mausspiel dürfte sich auch in den kommenden Jahren wenig ändern. Umso wichtiger ist es, die entsprechenden Weichenstellungen auf Unternehmensseite vorzunehmen.

Wie bereits dargelegt, müssen Security-Experten bei der Konzipierung ihrer Sicherheitsmaßnahmen stets von der Grundannahme ausgehen, dass Menschen Fehler machen. Für solche Fehler benötigt man Auffangmechanismen, die Hinweise geben und bei Bedarf korrigierend eingreifen. Prinzipiell unterscheidet sich diese Vorgehensweise nicht von anderen Bereichen, in denen fehlerhaftes menschliches Handeln mit hohen Risiken verbunden ist – beispielsweise in der Luftfahrt. Und hier wie dort stehen heute hochentwickelte technische Assistenzsysteme bereit, um die Auswirkungen abzufedern.

So werden auch bislang besonders betrugsanfällige Bereiche wieder sicher. Um noch einmal auf den SIM Swap Fraud zurückzukommen: Dieser lässt sich vollständig verhindern, wenn der Helpdesk-Mitarbeiter eine Push Notification auslösen kann, die nicht von der SIM des Kunden abhängt, sondern an eine sichere App geht. Die App prüft dann beispielsweise mittels FaceID, ob es sich um den registrierten Kunden handelt – für Betrüger wird damit ein Angriff praktisch unmöglich, da sie gleichzeitig den zweiten Kanal via App kontrollieren müssten. Außerdem wird der Benutzer unmittelbar auf den Vorgang aufmerksam gemacht, was bei einer klassischen Attacke nicht der Fall ist. Das Beispiel zeigt: Die weitere Verbreitung technischer Lösungen ist ein geeignetes Instrument, um die Flut aggressiver Social-Engineering-Angriffe auch in Zukunft erfolgreich eindämmen zu können.