Social-Engineering-Angriffe gehören zum Alltag eines jeden Unternehmens. Für Cyberkriminelle ist das Abgreifen sensibler Daten nicht nur eine lukrative Erpressung, sie kommen Firmen auch auf andere Weise teuer zu stehen. Bei der Abwehr machen viele Firmen allerdings Fehler – und dies oft, weil sie an die fünf gängigsten Mythen rund um Social Engineering glauben. Die Nevis Security AG räumt mit diesen auf und gibt Tipps zur Erkennung und Prävention.
1. Technische Sicherheitsmaßnahmen sind ausreichend
Während Sicherheitssoftware wie Firewalls und Antivirenprogramme nach wie vor wichtig sind, um Angriffe aller Art abzuwehren, zielt Social Engineering auf den Menschen als schwächstes Glied in der IT-Sicherheitskette ab. Ziel der Angreifer ist es, Personen so zu manipulieren, dass sie beispielsweise Login-Daten oder andere sensible Informationen preisgeben. Eine der häufigsten Schwachstellen ist daher die mangelnde Sensibilisierung der Mitarbeiter. Es ist wichtig, sie regelmäßig zu schulen und zu sensibilisieren, damit sie nicht unwissentlich auf die Tricks der Kriminellen hereinfallen.
2. Social-Engineering erfolgt nur über Phishing
Gerade hochgradig personalisierte Angriffsversuche sind für Kriminelle erfolgversprechend. So werden beispielsweise fingierte Telefonanrufe immer beliebter, um an sensible Daten zu gelangen. Dabei werden verschiedene Tricks angewendet, um ans Ziel zu kommen: Techniken wie Autoritätsausbau (CEO-Scam), Sachlichkeit, Sympathie oder Neugier werden ausgenutzt, damit die Daten preisgegeben werden. Neben dem Einsatz von Multi-Faktor-Authentifizierung kann hier ein risikobasierter Ansatz oder eine adaptive Authentifizierung die Lösung sein. Meldet sich ein Nutzer beispielsweise von einem anderen als dem registrierten Endgerät an, wird er aufgefordert, einen zusätzlichen Authentifizierungsschritt durchzuführen.
3. Es bleibt bei einem Angriff
Ist ein Hacker erst einmal im System, bleibt es oft nicht bei einem Angriff. Gerade Social Engineering dient als Einfallstor für weitere Attacken. Haben sich Kriminelle beispielsweise erfolgreich in einem System oder einer Anwendung authentifiziert, können sie weitere Schadsoftware wie Ransomware nachladen.
Das Ausmaß muss nicht sofort spürbar sein, die Schadsoftware kann in einen Ruhezustand versetzt werden. Wenn der richtige Zeitpunkt gekommen ist, schlagen die Angreifer zu. Nach dem Motto “wehret den Anfängen” sollten Unternehmen eine starke Authentifizierung implementiert haben, um es Hackern so schwer wie möglich zu machen, in ein System oder eine Anwendung einzudringen.
4. Meine Mitarbeiter und meine Kunden sind eindeutig identifiziert und damit autorisiert
Eine registrierte Person muss nicht notwendigerweise die Person sein, die dazu berechtigt ist. Versäumen es Unternehmen, die Identität einer Person angemessen zu überprüfen, insbesondere wenn es sich um sensible Daten handelt, kann dies schwerwiegende Folgen – auch unter Compliance-Gesichtspunkten – haben. Für Unternehmen ist es daher wichtig, nicht nur sicherzustellen, dass die berechtigten Personen Zugriff auf die Daten haben, sondern auch eine starke MFA zu implementieren.
Gelingt es dem Angreifer, diese zu überwinden, kann neben einer risikobasierten Authentifizierung auch der Einsatz eines Continuous-Authentication-Konzepts sinnvoll sein. Dabei wird die Identität von Benutzer und Endgerät im Hintergrund überprüft, ohne dass die Sitzung unterbrochen wird. So können die IT-Sicherheitsexperten eines Unternehmens schneller feststellen, ob ein unberechtigter Zugriff auf einen Account erfolgt.
5. Nur naive Personen sind von Social Engineering betroffen, deswegen reichen Passwörter als Sicherheitskonzept aus
Dank ausgeklügelter Methoden wie Social-Engineering-Attacken in Echtzeit können auch informierte Personen Opfer von Hackern werden. Wenn dann noch unzureichende Sicherheitsrichtlinien ins Spiel kommen, wird es heikel. Viele Unternehmen verlassen sich immer noch auf Passwörter, wie eine Studie von Nevis zeigt. Zehn Prozent der befragten IT-Entscheider gaben darin sogar zu, überhaupt keine Sicherheitsvorkehrungen zu treffen.
Cybersecurity-Standards wie FIDO, OAuth oder WebAuthn sind gerade einmal der Hälfte der IT-Entscheider ein Begriff. Dabei ist längst bekannt, dass Passwörter nicht sicher sind. Der Einsatz von MFA auf Basis biometrischer Merkmale erschwert Hackern das Eindringen in Systeme, da diese Art der Authentifizierung nicht so leicht in falsche Hände geraten kann.
Stephan Schweizer, CEO der Nevis Security AG, sieht vor allem den Vormarsch der künstlichen Intelligenz als kritisch, da Cyberkriminelle damit immer einfacher Angriffe automatisiert ablaufen lassen können: “So ist im Bereich des Social Engineering kaum noch technisches Know-how erforderlich, um illegal an sensible Daten zu gelangen. Auch Fraud-as-a-Service, bei dem Kriminelle ihre Fähigkeiten oder ihre Software im Prinzip Laien zur Verfügung stellen, erschwert die Cyber-Sicherheitslage zusätzlich. Unternehmen sollten es Hackern nicht leicht machen, Daten zu stehlen und die Gefahren ernst nehmen.”