Die gängigsten Methoden der Täter in der Übersicht – Angriffe auf Unternehmen durch Social Engineering

Der Mensch ist ein soziales Wesen, er ist neugierig, lässt sich mitunter leicht in Angst versetzen, er ist gierig, er ist manchmal nur auf seinen Vorteil bedacht. Er kann mitfühlend sein und hilfsbereit sein. Alle diese Eigenschaften werden beim Social Engineering ausgenutzt. Social Engineering zielt darauf ab, rationale Überlegungen außer Kraft zu setzen, indem es starke Emotionen hervorruft und zu einem unüberlegten Handeln verleitet.

Cem Karakaya (Foto: Kay Blaschke/Ariston PR)

Fatal ist es, wenn die Angegriffenen an wichtigen Schnittstellen in Unternehmen arbeiten und es zu hohen Schadenssummen kommt. Sie glauben vielleicht, das könnte Ihnen nicht passieren? Sie werden staunen, wie leicht Menschen auf diese Manipulationsmethoden hereinfallen. Laut dem Verizon Data Breach Investigations Report (DBIR) aus dem Jahr 202241 beinhalten 82 Prozent der Datenschutzverletzungen ein menschliches Element – sprich: Jemand hat einen Fehler gemacht. Und in einer Studie des Unternehmens Barracuda aus dem Jahr 202142 wurde festgestellt, dass ein Unternehmen im Schnitt rund 700-mal im Jahr Angriffen ausgesetzt ist, häufig setzen die Täter dabei auf soziale Manipulationen von Beschäftigten.

Digitale Tools spielen dabei oft keine so große Rolle – die Täter nutzen viel lieber die menschlichen Schwachstellen aus. Sie greifen zum Telefon (oft mit verfremdeten Stimmen, etwa um zu klingen wie der Unternehmenslenker), sie schlüpfen in Rollen und tauchen als Dienstleister, Handwerker, Reinigungspersonal oder Kundinnen verkleidet in Firmen auf, um mit den Mitarbeitenden zu sprechen, so wie es etwa der Hacker Blackmamba1923 getan hat.

Man unterscheidet verschiedene Formen des Social Engineerings. Beim Pretexting etwa geben sich die Täter oft als Autoritätspersonen wie Polizeibeamte aus. Die Angreifer versuchen einen falschen Vorwand (»Pretext«) zu nutzen, um das Gegenüber zu überlisten. Die Rolle als Autoritätsperson versetzt die Täter in die vermeintlich überlegene Position, auf die gewünschten Informationen zuzugreifen. Es muss aber nicht immer eine Autoritätsperson sein, es kann auch eine Rolle der helfenden Hand sein, die das Opfer vermeintlich unterstützen will. Immer wird eine plausible Geschichte erfunden und eben eine Rolle gespielt.

Beim Tailgating (»Durchschlüpfen«) wiederum kommt es zu physischen Angriffen auf Unternehmen – so auch im Fall von Blackmamba1923. Tailgators dringen unbemerkt, getarnt oder auch eingeladen in eine Firma ein und lesen dann mit speziellen Werkzeugen, etwa einem wie ein USB-Stick aussehenden Tool, Tastatureingaben an Rechnern aus. Die Sticks können aber noch mehr – zum Beispiel Tastatureingaben ausführen.

Eine weitere Form ist der Social-Engineering-Angriff mit einem Köder. Hier wird vor allem mit Verlockungen oder der Angst, etwas zu verpassen, gespielt. Auch hier geht es darum, ein bestimmtes Verhalten auszulösen. Da werden etwa Mitarbeitenden kostenlose Geschenke angeboten, wenn sie Unternehmensdaten verraten.

Beim sogenannten Spearphishing hingegen wird eine verfeinerte Form des Phishings genutzt. Hier ist der Angriff sehr sorgfältig auf ein bestimmtes Opfer zugeschnitten. Laut einer Studie der britischen Regierung zur Cybersicherheit43 ist bei der Mehrheit (83 Prozent) der Unternehmen, die einen Cyberangriff feststellen, Phishing bzw. Spearphishing das Einfallstor. Und so gehen die Täter dabei vor:

1. Zielauswahl: Die Angreifer wählen ein spezifisches Individuum oder eine Organisation als Ziel aus. Dies kann zum Beispiel auch ein Unternehmensleiter, eine Regierungsbeamtin in hoher Funktion oder eine andere Person mit Zugang zu sensiblen Informationen sein, etwa die Leiterin der IT-Abteilung eines Unternehmens.

2. Informationssammlung: Vor dem Angriff sammeln die Täter detaillierte Informationen über ihre Zielperson. Sie durchforsten Profile in sozialen Netzwerken, Unternehmenswebsites oder andere Quellen.

3. Nachrichtenerstellung: Basierend auf den gesammelten Informationen erstellen die Täter eine speziell auf die Zielperson ausgerichtete E-Mail, Messenger-Nachricht oder einen Brief, manchmal machen sie auch einen Anruf. Hier geht es dann etwa um eine bevorstehende Konferenz, ein aktuelles Projekt oder ein anderes persönliches oder berufliches Interesse.

4. Manipulation: Die Nachricht wird so gestaltet, dass sie von einer vertrauenswürdigen Quelle zu stammen scheint, wie einem Kollegen, einer Vorgesetzten oder einem bekannten Unternehmen. Sie kann Links zu gefälschten Websites enthalten oder Anhänge mit Malware.

5. Aktion: Die Zielperson wird aufgefordert, eine bestimmte Aktion auszuführen, wie das Klicken auf einen Link, das Öffnen eines Anhangs oder das Weitergeben vertraulicher Informationen. Da die Nachricht persönlich und relevant erscheint, ist die Wahrscheinlichkeit höher, dass das Opfer die Aufforderung befolgt.

Cem Karakaya & Tina Groll, „Klicken Sie hier. Digitale Selbstverteidigung leichtgemacht“,  Ariston Verlag, 256 Seiten, 20,– Euro

Spearphishing ist gefährlich, weil die Angriffe individuell und daher sehr schwer zu erkennen sind, selbst technisch versierte Individuen können getäuscht werden.

Ein bekanntes Beispiel war der Angriff auf die E-Mails des Democratic National Committee im Jahr 2016 während des US-Wahlkampfs. 44, 45 Die Angreifer waren wohl russische Hacker. Sie verwendeten Spear-Phishing-Mails, die so aussahen, als stammten sie von Google, und forderten die Empfängerinnen und Empfänger auf, ihre Passwörter zu ändern. Die Links führten zu gefälschten Websites. Die eingegebenen Passwörter wurden von den Angreifern erfasst.

Ebenfalls 2016 wurde der österreichische Flugzeughersteller FACC Ziel einer solchen Attacke und verlor dadurch rund 50 Millionen Euro.46, 47 Das E-Mail-Konto des Geschäftsführers wurde von den Tätern gefälscht. Ein Angestellter des Unternehmens erhielt dann eine vermeintlich vom Chef stammende dringende E-Mail- Anfrage für eine Geldüberweisung. Der Beschäftigte kam der Aufforderung nach – das Geld wurde an die Täter transferiert.

2020 nutzten Cyberkriminelle Phishing-Angriffe bei mindestens 50 000 Zoom-Nutzerinnen und -Nutzern, die die Videostreaming- Plattform über einen Firmenaccount ihres Arbeitgebers verwendeten. Gespielt wurde hier mit der Angst vor einer möglichen Kündigung. Die Betroffenen bekamen einen Link zu einem Zoom-Call mit der Personalabteilung. Wer ihn anklickte, landete auf einer gefälschten Anmeldeseite48, mit der die Täter die Passwörter stahlen.

Opfer wurde auch das Marriott-Hotel in Maryland (USA) im Jahr 2022. Hier wurden Social-Engineering-Taktiken genutzt, um 20 GB persönlicher und finanzieller Daten zu stehlen.49 Ebenfalls 2022 wurde das US-Arbeitsministerium (Department of Labor, DoL) Opfer eines sozial manipulierten Angriffs50, bei dem Anmeldedaten für Microsoft Office 365 gestohlen wurden. Für den Angriff nutzten die Täter ein ausgeklügeltes Phishing, das auf geschickt gefälschten Domains basierte, die wie die legitime DoL-Domain aussahen.

All diese Beispiele zeigen: Cyberangriffe können jedes Unternehmen treffen. Und tatsächlich passiert das auch, täglich. Arbeitgeber sollten ihre Mitarbeitenden daher regelmäßig schulen und Daten sichern. Wichtig ist ein Notfallplan, der genau vorsieht, was im Falle eines Cyberangriffs zu tun ist. Der Plan hat im Idealfall auch Lösungen für die Kommunikation nach außen, damit keine Reputationsschäden entstehen. Mit einer sogenannten Endpoint Security – das ist ein mehrschichtiger Schutz für Unternehmen, insbesondere bei verdächtigen Aktivitäten im IT-Netzwerk – bleibt man laufend informiert und kann sofort reagieren, wenn es zu einer Gefahrenlage kommt. In der Regel testen die Täter zunächst die Schwachstellen, ehe der echte Angriff erfolgt.

Anti-Ransomware-Funktionen schützen zudem Dateien vor Verschlüsselung, stellen Dateien automatisch wieder her und stoppen Angriffe mittels Verhaltensanalysen. Die meisten Systeme arbeiten heute mit künstlicher Intelligenz, die bekannte und unbekannte Malware ganz ohne Signaturen erkennt. Sie blockiert auch sogenannte Exploits und Techniken, die zur Verbreitung von Malware, zum Diebstahl von Zugangsdaten und zur Verschleierung von Angriffen eingesetzt werden. Und das Schönste daran ist, dass die IT-Abteilung die komplette Kontrolle über eine zentrale Konsole hat.

Gefährlich ist aber auch das E-Mail-Postfach. Vor allem dann, wenn die Täter das Passwort haben. Oft müssen sie dazu nichts hacken, man kann die Daten für wenig Geld im Darknet kaufen. Auf den größeren Plattformen gibt es aktuell knapp 15 Milliarden E-Mail-Adressen samt Passwörtern. Damit lassen sich dann automatisiert Erpressungsnachrichten verschicken. Ein Programm wechselt jeweils die E-Mail-Adresse und das Passwort der Opfer aus.

Sie sollten sich daher E-Mails in der Textversion darstellen lassen, nicht als HTML; außerdem keine externen Inhalte automatisch herunterladen und PDFs mit einem alternativen Programm wie dem PDF-Viewer anzeigen. Checken Sie bei verdächtigen E-Mails, ob die Absender-Domain zum Webauftritt passt und die Bankdaten zum Unternehmen. Und nutzen Sie die Dienste von VirusTotal52, Browserling53 oder urlscan.io54, um Links zu überprüfen.

(Fußnoten im Buch)