In unserem letzten Blogartikel haben Sie erfahren, was Phishing ist und wie sie es erkennen können. Wie Sie sich sicher denken können, ist dies nicht die einzige Bedrohung, mit der Mitarbeiter in der heutigen Zeit konfrontiert sind. Das Thema dieses Blogartikels ist das sogenannte «Social Engineering». Um was es sich dabei handelt und was man dagegen tun kann, erfahren Sie im Folgenden.

Was ist Social Engineering?

In der heutigen Zeit ist vielen Unternehmen bewusst, dass ihre IT Infrastruktur eine gewisse Sicherheit haben muss. Es wird daher oft viel dafür getan, technische Sicherheitsmassnahmen zu evaluieren und zu implementieren. Schwachstellen, welche ans Licht kommen werden geschlossen und die technische Infrastruktur wird auf dem aktuellsten Stand gehalten. Ein Schwachpunkt wird dabei oft vergessen: der Mensch. Im Fall einer Firma also die Mitarbeiter, welche sich manchmal mit mehr oder weniger Benutzerrechten auf der IT Infrastruktur und in den Geschäftsräumen der Firma bewegen. Gewisse Mitarbeiter wie das Facility Management oder das Putzpersonal hat Zutritt zu vielen (auch sensitiven) Bereichen des Gebäudes. Die Mitarbeiter im Finanzwesen haben Zugriffe auf Konten der Firma und die IT Mitarbeiter haben oft Administratoren Rechte auf den Servern. Dies um nur einige Beispiele zu nennen. Beim Social Engineering wird versucht, genau diesen Umstand für Angriffe zu nutzen.

Stellen Sie sich folgendes Szenario vor:

Sie sind CEO eines Grossunternehmens, welches Marktführend bei der Herstellung von Radiergummis ist. Sie nutzen selbstverständlich einen Computer für Ihre Arbeit. Sie haben Zugriff auf sehr wichtige Daten der Firma wie beispielsweise Geschäftsgeheimnisse oder die Lohnlisten der Mitarbeiter. Ausserdem hat ihr Wort in der Firma sehr viel Gewicht und die Mitarbeiter hören darauf was Sie ihnen sagen.

Es ist Dienstagmorgen und Sie sind bei der Arbeit. Plötzlich klingelt ihr Telefon und Fred von der IT Abteilung ist zu hören. Er sagt Ihnen, dass Sie sich einen Virus eingefangen haben und er unbedingt Ihren Computer bereinigen muss. Dazu muss er auf Ihren Computer zugreifen. Damit er nicht Ihr Passwort weiss (das sollte ja wenn möglich immer geheim bleiben), bittet er Sie, es auf ein von Ihm vorgegebenes Passwort zu ändern. Da Sie sich bewusst sind, dass IT Sicherheit ein wichtiges Thema ist, folgen Sie den Anweisungen und lassen Fred auf Ihren Computer. Es dauert einige Zeit bis Fred Ihnen mitteilt, dass er den Virus bereinigen konnte und die Gefahr somit abgewendet ist. Sie können nun ihr Passwort wieder ändern und beruhigt weiterarbeiten. Nachdem Sie sich bei Fred bedankt haben, legen Sie auf und arbeiten weiter. Nach einer intensiven und erfolgreichen Woche, beschliessen Sie, am Montag frei zu nehmen, damit Sie ein verlängertes Wochenende geniessen können.

Am Montagmorgen klingelt Ihr Telefon und der Chef der Finanzabteilung ist am Apparat. Man hat festgestellt, dass über die letzte Woche hinweg mehrere hunderttausend Franken auf fremde Konten überwiesen wurden, ohne dass dafür eine Rechnung oder sonst ein entsprechender Beleg vorhanden wären. Bei der Befragung der Mitarbeiter hat man herausgefunden, dass Sie anscheinend die Mitarbeiter per Mail aufgefordert hätten, die entsprechenden Beträge zu überweisen. Ausserdem haben Sie die Mitarbeiter noch angerufen um ihnen die Dringlichkeit der Überweisungen klar zu machen. Da Sie aber wissen, dass Sie so etwas nicht getan haben, stehen Sie nun ziemlich ratlos da und überlegen, wie das passiert sein könnte.

Was ist passiert?

Ihre Firma wurde Opfer eines Social Engineering Angriffs. Erinnern Sie sich an den netten Fred aus der IT Abteilung, welcher letzte Woche angerufen hat? Sie schauen in Ihrem Firmen Adressbuch nach und stellen fest, dass dort wirklich ein Fred arbeitet. Auf Nachfrage erfahren Sie aber, dass dieser sich letzte Woche nicht bei Ihnen gemeldet hat und dass auch kein Virus auf Ihrem System erkannt wurde.

Die Person, welche Sie angerufen hat, war also nicht Fred sondern der Angreifer. Sie kennen Fred nicht so gut und haben daher auch nicht an der Stimme erkannt, dass es nicht er war. Der Angreifer hat also Informationen darüber gehabt, wer in Ihrer IT Abteilung arbeitet. Diese sind zum Beispiel auf Plattformen wie LinkedIn für jedermann zugänglich. Während dem Anruf haben Sie ihr Passwort geändert und dem vermeintlichen Fred Zugriff auf Ihren Computer gewährt. In dieser Zeit konnte er eine Malware installieren, mit dessen Hilfe der Angreifer sich in Ruhe ein Bild über Ihr Firmennetzwerk machen konnte. Ausserdem konnte er sich so Zugriff auf Ihren Mailaccount verschaffen, um die Mails zur Überweisung an die Mitarbeiter in der Finanzabteilung zu versenden. Aber was ist mit den Anrufen, von denen die Rede war? Als CEO sind Sie bekannt in der Firma und die Mitarbeiter sollten Ihre Stimme erkennen.
Seit einiger Zeit gibt es immer mehr Angriffe mit Tools, welche Künstliche Intelligenz nutzen, um Stimmen täuschend echt zu imitieren. Damit wurden die entsprechenden Mitarbeiter angerufen und so das vertrauen in die Nachricht, welche sie zuvor als Mail erhalten haben, verstärkt. Da die Mitarbeiter nun von der Echtheit überzeugt waren, haben Sie die Überweisungen getätigt.

Man spricht in solchen Fällen von «CEO-Fraud» und es handelt sich dabei um eine viel eingesetzte Angriffstechnik. Social Engineering hat aber noch unglaublich viele andere Gesichter und kann für jede Firma praktisch «massgeschneidert» werden, um sein Ziel zu erreichen.

Was kann man dagegen tun?

Wie bereits beim Artikel zum Thema Phishing ist ein gesundes Misstrauen wichtig. Man muss sich immer bewusst sein, dass heute sehr vieles, was einem auf elektronischem Wege erreicht, gefälscht werden kann. Das Einzige, was man gegen solche Angriffe im Unternehmen tun kann, ist die Mitarbeiter zu schulen und zu sensibilisieren. Falls dies nicht passiert, gibt es immer einen Weg für einen gewieften Angreifer, um in Ihr Unternehmensnetzwerk zu gelangen oder wie im Szenario beispielsweise Geld abzuzügeln.
Falls Sie wissen möchten, wie Sie Ihre Mitarbeiter sensibilisieren können oder sogar bereits eine Schulung der Mitarbeiter wünschen, können Sie sich gerne an uns wenden.