Cyberangriffe, die auf Social Engineering basieren, stellen eine äußerst ernstzunehmende Gefahr für Unternehmen dar und gehören mittlerweile zum Alltag von IT-Sicherheitsexperten. Für Cyberkriminelle bietet diese Art des Ausspionierens von sensiblen Daten nicht nur eine sehr profitable Erpressungsmöglichkeit, sondern zieht potenziell auch weitere Attacken nach sich. Nicht umsonst gilt Social Engineering neben Phishing als Einfallstor für Kriminelle. Neben finanziellen Konsequenzen erleiden Unternehmen nach dem Bekanntwerden von Datenlecks oft einen Reputationsverlust. Wenn ein Angreifer einmal in ein Unternehmenssystem eingedrungen ist, kann er zudem mehrfach Schaden anrichten. Der Einsatz von Ransomware nach einer erfolgreichen Social-Engineering-Attacke kann für viele Firmen zum Beispiel den Ruin bedeuten. Die gestohlenen, sensiblen Daten werden nicht nur im DarkWeb für den Meistbietenden zum Kauf angeboten, sondern gehen durch die Verschlüsselung für immer verloren.

Viele Unternehmen begehen dennoch Fehler und machen es Angreifern bezüglich Social Engineering leicht und verhelfen ihnen dadurch zum Erfolg. Die große Gefahr dieser Angriffe belegt eine Studie des Digitalverbands Bitkom: Nahezu die Hälfte der befragten deutschen Unternehmen hat bereits Social-Engineering-Versuche erlebt. Sie und andere Cyberangriffe waren auch erfolgreich, wie das Bundeskriminalamt (BKA) in seinem Bundeslagebild Cybercrime 2022 aufzeigt. Laut der Behörde wurden im vergangenen Jahr 136.865 Angriffe zur Anzeige gebracht. Das ist jedoch nur die Spitze des Eisbergs. Die BKA-Vizepräsidentin Martina Link geht von einer Dunkelziffer von 90 Prozent aus. Das bedeutet, dass nur ein Fall von zehn überhaupt zur Anzeige kommt. Das Problem dürfte sich zukünftig noch verschärfen, da immer mehr kriminelle Hacker auf künstliche Intelligenz (KI) zurückgreifen.

Phasen von Social Engineering

Ein typischer Social-Engineering-Angriff besteht aus mehreren Phasen. Zunächst erfolgt die Recherche, bei der der Angreifer potenzielle Zielpersonen identifiziert und Informationen über sie sammelt. Die Informationen sind häufig leicht zugänglich, da diese auf Social-Media-Plattformen frei zur Verfügung stehen. Nach der Recherche erstellt der Cyberkriminelle ein Profil der idealen Zielperson und baut eine Beziehung zu ihr auf, um sie zu manipulieren. Sobald genug Vertrauen aufgebaut ist, versucht der Angreifer, die Zielperson dazu zu bewegen, vertrauliche Informationen preiszugeben oder etwas zu tun. In der Ausbeutungsphase nutzt der Hacker die erlangten Informationen oder Handlungen, wie beispielsweise Geldüberweisungen, zu seinem eigenen Vorteil. Nach Erreichen seiner Ziele beendet er die Beziehung zur Zielperson und zieht sich zurück.
Um einen effektiven Schutz vor den vielfältigen Formen des Social Engineering zu etablieren, ist es von großer Bedeutung, alle Techniken zu kennen und ihre Funktionsweise zu durchschauen.

Methoden von Social Engineering

Eine der wohl bekanntesten Techniken ist der Phishing-Angriff. Cyberkriminelle geben sich bei ihm als vertrauenswürdige Person aus, beispielweise als Mitarbeiter einer Behörde, um das Opfer zur Installation von Malware oder Preisgabe sensibler Daten zu verleiten. Bei den Angriffen setzen die Kriminellen auf E-Mails, gefälschte Websites, Chat-Programme, Telefonanrufe und Social Media. Manchmal geben sie sich sogar als gemeinnützige Organisationen aus, um Spenden zu erschleichen oder an Daten und Zahlungsinformationen zu kommen.

Pretexting ist eine weitere raffinierte Social-Engineering-Technik, die Hacker nutzen, um Zugang zu vertraulichen Informationen zu erlangen. Bei dieser Methode bemühen sich die Angreifer darum, das Vertrauen ihrer Opfer zu gewinnen, indem sie eine überzeugende Geschichte konstruieren. Ihr Ziel besteht darin, hochsensible Daten wie Passwörter oder Kreditkartennummern zu erbeuten.

Ein Watering-Hole-Angriff stellt eine spezielle Form des Social Engineering dar, bei der Cyberkriminelle eine vertrauenswürdige Website ins Visier nehmen, die von ihrer Zielgruppe regelmäßig besucht wird. Die Kriminellen hacken solche Websites und leiten die Menschen auf andere Websites um. Dort werden ihre Geräte dann mit Schadsoftware infiziert. Diese Angriffsart ist besonders gefährlich, da Nutzer häufig nicht bemerken, dass sie auf eine falsche Website zugreifen.

Die Technik Scareware wird eingesetzt, um Opfer zu untypischem Verhalten zu drängen. Dazu erstellen die Kriminellen gefälschte Warnmeldungen im Stil einer Sicherheitssoftware, die beispielsweise darauf hinweisen, dass der eigene Computer abstürzt. Opfer sollen diese Warnungen ernst nehmen und darauf reagieren und zum Beispiel eine Schadsoftware installieren.

Cache-Poisoning oder DNS-Spoofing sind Methoden, bei denen Angreifer den DNS-Verkehr von Nutzern und ihren Geräten umlenken und die IP-Adresse einer gefälschten Website mit der Ziel-URL verknüpfen. Das führt dazu, dass Nutzer auf die gefälschte Website umgeleitet werden, was ernsthafte Sicherheitsprobleme verursachen kann.

Köder- und Quid-pro-quo-Attacken hingegen locken Opfer mit Versprechungen von Belohnungen und Prämien, damit diese ihre Daten preisgeben. Quid-pro-quo-Angriffe gleichen Köder-Angriffen, weisen jedoch einen entscheidenden Unterschied auf: Das Opfer wird für seine Handlungen belohnt. Bei der Belohnung handelt es sich in der Regel um etwas, das das Opfer bereits wünscht oder benötigt. Ein typischer Quid-pro-quo-Angriff folgt diesem Muster: Der Hacker sendet dem Opfer eine E-Mail und behauptet, Zugriff auf ein begehrtes Dokument zu haben. Wenn das Opfer den Hacker daraufhin kontaktiert und um das Dokument bittet, fordert der Hacker im Gegenzug eine Gegenleistung für seine Hilfe ein. Diese Gegenleistung kann beispielsweise die Preisgabe eines Passworts oder anderer vertraulicher Informationen sein.

Maßnahmen gegen Social-Engineering-Angriffe

Um Social-Engineering-Angriffe zu verhindern, gibt es äußerst wirksame Maßnahmen, wie unter anderem fortschrittliche Authentifizierungsmethoden. Diese Technologien stellen für Cyberkriminelle erhebliche Hindernisse dar.

Die Verwendung einer Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit deutlich, da Hacker auch dann nicht ins Netzwerk kommen, wenn sie gestohlene Passwörter besitzen. Denn bei der MFA müssen Nutzer vor dem Zugriff auf ihre Konten mehrere Anmeldeinformationen angeben, was eine hohe Sicherheit gewährleistet. MFA kann in Anwendungen integriert und mit Single Sign-on (SSO) kombiniert werden. Das spart bei der Anmeldung viel Zeit und steigert damit die Produktivität.

Die biometrische Authentifizierung ist eine sichere Alternative zu Passwörtern. Nutzer müssen sich keine komplexen Passwörter merken, sondern scannen einfach einen Fingerabdruck oder ihr Gesicht für die Anmeldung. Einige Systeme, wie etwa die zur Gesichtserkennung, erfordern kaum aktives Zutun seitens des Nutzers. Zudem passt die biometrische Authentifizierung zu Zero-Trust-Modellen, da sie eine zuverlässige Identitätsprüfung ermöglicht, ohne blind zu vertrauen.

Zur Steigerung der Sicherheit kommt es auch darauf an, in Unternehmen ein Bewusstsein für die Risiken von Social Engineering und Cyberkriminalität zu schaffen und sichere Verhaltensweisen zu lehren und einzuführen. Dazu gehört auch die adäquate Identitätsprüfung. Jede Person, die Zugang zu sensiblen Daten oder Systemen beantragt, sollte diese zuerst durchlaufen. Die E-Mail-Sicherheit spielt ebenfalls eine wichtige Rolle. Auch hier sollten Unternehmen ihre Mitarbeiter für Phishing sensibilisieren und im besten Fall noch Filter einsetzen, um die Angriffe zu blockieren. Darüber hinaus gilt es, jeden Anrufer, der etwas fordert, genau zu überprüfen. Nur so wissen Mitarbeiter, dass die Anrufer nichts vortäuschen und dazu autorisiert sind, Anweisungen zu erteilen.

Es lässt sich also abschließend feststellen, dass Social Engineering eine ständige Bedrohung ist – sowohl für Privatpersonen als auch für Unternehmen. Den Menschen sehen Cyberkriminelle im Hinblick auf die IT-Sicherheit als schwächstes Glied der Kette. Jedoch können Unternehmen die Gefahr von Social Engineering durch die Sensibilisierung und Schulung ihrer Mitarbeiter und geeignete IT-Sicherheitsvorkehrungen definitiv geringhalten.