Datenschutz im Jahr 2022: Social-Engineering-Angriffe

Social Engineering wird auch im Jahr 2022 zu den gefährlichsten Cyberangriffsvektoren und den größten Risiken für Datenschutz gehören. Als Teil unserer neuen Serie, die wir am Datenschutztag 2022 vorgestellt haben, möchten wir nun mit Ihnen in dieses Thema eintauchen, um herauszufinden, wie diese Angriffe funktionieren, wie man sich gegen sie verteidigt und wie Ende-zu-Ende-Verschlüsselung helfen kann.

Was versteht man unter Social Engineering in Cybersicherheit?

Bei Social-Engineering-Angriffen handelt es sich in erster Linie nicht um technologische, sondern um psychologische Angriffe. Auch wenn sie sich digitale Tools zu Nutze machen, um computerbasierte Ressourcen anzuvisieren, unterscheidet sich die Funktionsweise dieser Angriffe nicht übermäßig von traditionellen Betrugspraktiken. Letzte Woche befassten wir uns mit Privatsphäre, Sicherheit, Informationssicherheit und Datenschutz mithilfe der Analogie eines Hauses. Und natürlich lassen sich auch für Phishing, Smishing & Co aus dem echten Leben gegriffene Parallelen finden.

Wir alle haben schon einmal von Social-Engineering-Angriffen in der realen Welt gehört: Vom Vertreter, der von Tür zu Tür zieht und Hausmänner und -frauen dazu überredet, ein Abonnement für Nahrungsergänzungsmittel einzugehen, die am Ende niemals geliefert werden. Oder von Angriffen, die Senioren und deren Bereitschaft, alles zum Schutz und zur Unterstützung ihrer Enkelkinder zu tun, ins Visier nehmen. Was diese Attacken mit ihren digitalen Gegenstücken gemeinsam haben, ist die Manipulation der menschlichen Psychologie inhärenten Schwächen: Angst, Handlungsdruck, erzwungene schnelle Entscheidungen. In einigen Fällen setzen sie Taktiken vom anderen Ende des Spektrums ein, indem Sie Belohnungen und Gewinne anbieten.

Welche Arten von Social-Engineering-Cyberangriffen gibt es?

Zwar stellt Social Engineering manchmal den eigentlichen Angriff dar, aber oftmals wird die Methode eingesetzt, um eine Grundlage für komplexere Attacken zu schaffen. Häufig verwenden bösartige Individuen diese Taktiken, um Anmeldedaten zu sammeln. Es gibt mehrere Formen von Social-Engineering-Angriffen angesichts derer Sie wachsam sein sollten:

• Phishing, Vishing, Smishing – Der Angreifer kontaktiert sein Opfer via E-Mail, Telefon (das V in Vishing steht hier für das englische Wort „voice“, also „Stimme“) oder SMS, um sensible Informationen einzuholen. Die Angriffe unterscheiden sich in Raffinesse und reichen von deutlich erkennbaren Betrugsversuchen bis hin zu z. B. E-Mails, die kaum vom authentischen Original zu unterscheiden sind.
• Spear-Phishing – Ähnelt den oben genannten Methoden, aber anstatt ein weites Netz auszuwerfen, in der Hoffnung Ergebnisse zu „fangen“, nehmen Angreifer gezielt hochrangige Einzelpersonen ins Visier, indem sie sich über Social Media geteilte Informationen, allgemeinere Branchennachrichten oder sogar Daten zu Nutze machen, an die sie über kompromittierte Firmenkonten auf unteren Zugriffsebenen gelangt sind. Spear-Phishing ist gewöhnlich besonders schwer festzustellen, was die Wichtigkeit unterstreicht, Führungskräfte im Identifizieren derartiger Angriffe auszubilden.
• Baiting – Baiting ist eine Methode, die ebenfalls eng mit Phishing verwandt ist und die menschliche Habgier (oder in vielen traurigen Fällen eine finanzielle Notlage) für ihre Zwecke ausnutzt , um Einzelpersonen zu ködern (engl. „bait“) und sie dazu zu überreden, sensible und für eine Authentifizierung hilfreiche Informationen preiszugeben. Einige simulierte Baiting-Angriffe haben die Wut von Mitarbeitern auf sich gezogen, aber unterstreichen auch, wie einfach es sein kann, Menschen mit dem Versprechen von Preisen, Prämien und Geschenken aufs Glatteis zu führen.
• Schadsoftware – Bei diesem Ansatz handelt es sich quasi um den kleinen Cousin der Erpressersoftware. Bei einer Schadsoftwarebedrohung geben Hacker vor, dass das System eines Nutzers mit einem Schadprogramm infiziert ist, und bieten an, dieses gegen eine Gebühr zu entfernen.
• Pretexting – Angreifer schaffen ein Szenario oder einen Vorwand (engl. „pretext“), um ein Opfer in eine prekäre Lage zu bringen und es dazu zu verleiten, private Informationen, Authentifizierungsdaten etc. weiterzugeben.
• Water-Holing – Diese Art von Attacken nutzen das Vertrauen aus, das Nutzer in bestimmte Webseiten (ähnlich wie wilde Tiere in bestimmte Wasserstellen, engl. „water hole“) haben, insbesondere in Berufsgemeinschaften wie z. B. Stack Exchange. Nutzer sind oftmals eher dazu bereit, auf einen auf einer solchen Webseite vorhandenen Link zu klicken, als irgendwo anders im Internet. Dies öffnet böswilligen Individuen einen Weg, Schadsoftware auf Nutzergeräten zu installieren oder Anmeldedaten für ihre Zwecke zu missbrauchen.

Aufgrund der schieren Unmenge von Angriffsmöglichkeiten und den diversen unterschiedlichen Angriffsformen kann man schnell das Gefühl haben, man ist ständig und überall Bedrohungen ausgesetzt. Es verbleiben nur noch sehr wenige – wenn überhaupt irgendwelche – sichere Bereiche online. Glücklicherweise bieten wir Ihnen jedoch eine Vielzahl von Tools, mit denen Sie sich wehren können.

Verteidigung gegen Social Engineering

Natürlich sind automatisierte Filter, das Markieren von E-Mails von externen Absendern und das Kennzeichnen von Sendern und IP-Adressen mit einer Vorgeschichte in Bezug auf böswillige Absichten sehr nützliche Verteidigungstechniken gegen Social-Engineering-Angriffe. Da diese Angriffe jedoch Menschen zur Zielscheibe haben, sollten Sie auch mit den Menschen beginnen, wenn Sie Ihre Verteidigungsstrategie planen.

Was also können einzelne Nutzer tun, um das Risiko zu minimieren, einem derartigen Angriff zum Opfer zu fallen? Es gibt verschiedene Tipps, die Sie sowohl auf Ihre privaten als auch auf Ihre geschäftlichen E-Mail-Konten anwenden können. Wir haben diese für Sie unter dem Akrostichon GENIAL als Eselsbrücke zusammengefasst – dies steht für einen angemessenen (und unserer Meinung nach genialen) Umgang mit E-Mails und soll Ihnen helfen, sich die sechs Tipps zu merken:

• Gesundes Misstrauen – Seien Sie stets misstrauisch, wenn Sie E-Mails von Ihnen nicht bekannten Absendern erhalten, besonders dann, wenn diese die Markierung „externer Sender“ in einem Geschäftsumfeld anzeigen. Falls Mitarbeiter oder Bekannte Sie um Daten bitten, die sie möglicherweise gar nicht benötigen, sollten Sie in Erwägung ziehen, dass das Konto des Senders vielleicht gehackt wurde.
• E-Mail-Absender checken – Werfen Sie einen prüfenden Blick auf die E-Mail-Adresse, von der die Nachricht gesendet wurde. Stellen Sie sicher, dass Sie auf kleine Abweichungen in der Schreibweise achten, die man leicht übersehen könnte. Checken Sie jeden einzelnen Buchstaben.
• Nachweis einholen – In Bezug auf die Möglichkeit, dass das Konto eines Kollegen oder Bekannten kompromittiert sein könnte, sollten Sie die betroffene Person über einen anderen Kanal kontaktieren und klären, ob sie die E-Mail wirklich gesendet hat, die angeforderten Informationen tatsächlich benötigt werden und für welchen Zweck sie gedacht sind. Falls Sie die Telefonnummer der Person haben, wäre es optimal, sie anzurufen oder ihr eine SMS zu schreiben.
• Interne Richtlinien nachlesen – Die meisten Unternehmen verfügen über interne Richtlinien dazu, wie bestimmte Prozesse ablaufen sollten, und wenn Ihnen etwas merkwürdig vorkommt, kann es hilfreich sein, in diesen Dokumenten nachzulesen, was als Nächstes zu tun ist. Steht die E-Mail in Übereinstimmung mit den Firmenrichtlinien? Haben andere Mitarbeiter in der Vergangenheit bereits ähnliche Nachrichten erhalten? Dieser Schritt ist unerlässlich, wenn Sie eine bösartige Bedrohung festgestellt haben: Wem und wie Sie den Vorfall melden müssen und was Ihre nächsten Schritte sein sollten wird alles in den Firmenrichtlinien erläutert
• Anhänge nicht herunterladen – Anhänge stellen nicht nur ein Sicherheitsrisiko dar, wenn Sie sie versenden  – sie können auch eine Menge Schadsoftware enthalten, die anvisierte Geräte infizieren kann. Laden Sie niemals Anhänge von Ihnen nicht bekannten Absendern herunter.
• Links stets überprüfen – Sie sollten Links nicht blind vertrauen. Bewegen Sie den Cursor über sämtliche in der E-Mail enthaltene Links, ohne dabei auf diese zu klicken. Lassen Sie hier die gleiche Vorsicht walten wie beim Prüfen des Absenders. Falls die Nachricht von einem von Ihnen verwendeten Service zu stammen scheint (z. B. Microsoft, Google, LastPass), öffnen Sie die Webseite des Anbieters manuell, melden Sie sich dort in Ihrem Konto an und checken Sie, ob Sie irgendwelche Benachrichtigungen erhalten haben. Falls nicht, melden Sie die E-Mail.

Unternehmen müssen Mitarbeiter darüber aufklären, wie Social-Engineering-Angriffe erkannt werden können und auf diese zu reagieren ist. Aufklärung ist die beste Verteidigung gegen diese Form von Angriffen, selbst wenn automatisierte Tools vorhanden sind, um die Angriffe nachzuverfolgen und zu verhindern.

Sie sollten erwägen, die interne Kommunikation von E-Mails und anderen Kanälen, auf die Außenstehende Zugriff nehmen können, umzulagern. Sie können sich stattdessen auf Chat-Programme für den Arbeitsplatz, Clouds für Aufgabenmanagement und Intranetlösungen stützen, um den Informationsfluss zu regulieren. Eine einfache Reduzierung der Anzahl von E-Mails, die Ihre Mitarbeiter erhalten, und eine Aufklärung über die inhärenten Risiken der E-Mail-Kommunikation können bereits eine große Hilfe darstellen. Richtlinien, die die korrekte Kommunikationshandhabung für bestimmte Events und angemessene interne Verfahren umreißen, werden ebenfalls dazu beitragen, eine Unternehmenskultur zu schaffen, in der Mitarbeiter es hinterfragen, wenn etwas Ungewöhnliches passiert.

Und zu guter Letzt: Führen Sie Angriffssimulationen aus. Unsere internen Tests haben gezeigt, dass die Mitarbeiter-Performance in Phishing-Simulationen immer dann in einem Quartal zurückgeht, wenn im vorausgegangenen Quartal keine Tests stattgefunden haben. Infolgedessen sind diese Prozesse wesentlich, um Firmenkonten zu schützen. Bedenken Sie jedoch, dass IT- und Sicherheitsteams immer eine Partnerschaft mit den Mitarbeitern eingehen müssen, damit Aufklärungs- und Weiterbildungsaktivitäten effektiv sein können. Erfahren Sie in einem unserer früheren Blogbeiträge, wie wir bei Tresorit Phishing-Tests durchführen und zu welchen Ergebnissen diese gekommen sind.

Wie Verschlüsselung ins Spiel kommt

Es mag eine Überraschung für Sie sein, aber die Verwendung eines Ende-zu-Ende-verschlüsselten digitalen Arbeitsplatzes ist eine praktikable Verteidigungstechnik gegen diese Art von Angriffen. Zwar kann Tresorit keine Social-Engineering-Angriffe abblocken, aber unsere Lösung kann Ihnen dabei helfen, eine Unternehmenskultur zu schaffen, die Hackern das Leben schwer macht. Wenn z. B. die Unternehmenskultur und interne Regeln die Nutzung von sicheren Links für das Teilen von Inhalten während der Zusammenarbeit vorschreiben, können Mitarbeiter dahingehend positiv beeinflusst werden, dass sie E-Mail-Anhänge automatisch hinterfragen und gleichzeitig in der E-Mail enthaltenen unsicheren Links Misstrauen entgegenbringen.

Diese sicheren Links zum Teilen können Ihnen außerdem ermöglichen, den Zugriff auf irrtümlich gesendete Dateien zu entziehen. Nicht alle Phishing-Versuche zielen auf Anmeldedaten ab – manche nehmen wertvolle Firmendateien und -daten ins Visier. Wenn ein derartiger Angriff schnell erkannt wird, können geteilte Links ganz einfach gesperrt werden und die Dokumentanalytik (sofern aktiviert) kann eingesetzt werden, um nachzuvollziehen, wieviel des Dokuments bereits vom böswilligen Dritten angesehen wurde. Werden traditionelle Anhänge verwendet, befinden sich Ihre Daten jedoch außerhalb Ihrer Kontrolle, sobald die E-Mail gesendet wurde.

Vergessen Sie außerdem nicht, dass Dateien neu verschlüsselt werden, wenn sich die Zugriffsberechtigungen für einen geteilten Ordner ändern. Das bedeutet, dass Sie sich in der Sicherheit wiegen können, dass der Angreifer auf Ihre Dateien nicht länger zugreifen kann, sobald Sie den Zugriff für ein kompromittiertes Konto gesperrt haben. Erfahren Sie hier mehr über Tresorits sicheren digitalen Workspace.

Um Unternehmen und Privatpersonen gleichermaßen beim Schutz ihrer eigenen und der ihnen anvertrauten Daten zu helfen, haben wir im Zuge des Datenschutztags eine Reihe von Blogbeiträgen veröffentlicht, in denen wir die wichtigsten Cybersicherheits- und (im weiteren Sinne) Datensicherheitsbedrohungen im Jahr 2022 diskutieren möchten. Lesen Sie unseren bereits erschienenen Artikel und schauen Sie in den kommenden Wochen wieder vorbei, um zu erfahren, wie:

• Sicherheit, Privatsphäre, Informationssicherheit und Datenschutz im Jahr 2022 definiert werden („Zurück zu den Wurzeln“);
• Erpressersoftware ist auch im Jahr 2022 allgegenwärtig, aber ein Tunnelblick im Bereich Cybersicherheit kann ebenfalls zur Bedrohung werden
• Lieferkettenangriffe, Schwachstellen in der Software von Drittanbietern und Sideloading Unternehmen weltweit beeinträchtigen könnten;
• Man-in-the-Middle-Angriffe inzwischen TLS-Verschlüsselung in bestimmten Szenarien umgehen;
• und warum DDoS-Angriffe leicht ausführbar und extrem schädlich sind.

Wir werden die Technologien hinter den jeweiligen Bedrohungen und die Unternehmen und Privatpersonen zur Verfügung stehenden Schutzmaßnahmen gegen diese Gefahren untersuchen sowie erkunden, wie Ende-zu-Ende-Verschlüsselung helfen kann. Schauen Sie demnächst wieder vorbei!