Prominente Angriffe mit Verschlüsselungstrojanern haben in der letzten Zeit Firmen wie Pilz aus Ostfildern bei Stuttgart, den Juwelier Wempe oder auch die Heise Gruppe getroffen und erhebliche Schäden verursacht. In der Presse ist im Zusammenhang mit diesen Attacken immer wieder von »Hackern« die Rede. So entsteht leicht der Eindruck, dass sich Angreifer über technische Schwachstellen in die IT-Systeme von Unternehmen »hacken« – doch dieser Eindruck trügt.
Oft wird übersehen, dass bei vielen Angriffen die Schadsoftware das Unternehmen nicht etwa über technische Schwachstellen, sondern über die eigenen Mitarbeitenden erreicht, z.B. indem diese auf Links in E-Mails klicken oder Dokumente öffnen, die aus dem Kollegium oder von Geschäftspartnern zu kommen scheinen. Nicht selten sind es also Mitarbeitende, die dazu verleitet werden, die Schadsoftware unabsichtlich selbst zu installieren oder auszuführen.
Emotionale Erpressung: der »Enkeltrick« im Unternehmenskontext
Eine andere Kategorie von Angriff ist der sogenannte CEO-Betrug. Hier erhalten Mitarbeitende – ähnlich wie im privaten Bereich beim berüchtigten »Enkeltrick« – Anrufe oder E-Mails von »ihrem CEO«, in denen sie aufgefordert werden, hohe Überweisungen ins Ausland zu tätigen. Oft wird dabei suggeriert, es ginge um hoch geheime Unternehmensübernahmen im Ausland, die der CEO gerade aushandele. Bei diesen Betrugsfällen wird die IT der Unternehmen gar nicht angegriffen, alles läuft über meistens nur eine ausgewählte Person aus dem Unternehmen, welche die Überweisung in den Unternehmenssystemen selbst auslöst. Auch hier gehen die Schäden in die Millionen.
Was haben Ransomwareangriffe, CEO-Betrug und der Enkeltrick gemeinsam? In erster Linie richten sich diese Angriffe auf den Menschen und nutzen dessen Verwundbarkeiten aus. In der Coronazeit, wo viele Mitarbeitende im Homeoffice arbeiten, sind diese Maschen oft noch leichter möglich geworden, da sich viele Mitarbeitende nur noch virtuell austauschen. Besonders problematisch ist dies bei neuen Mitarbeitenden, die viele ihrer Kolleginnen und Kollegen (noch) gar nicht persönlich kennenlernen konnten.
Psychotricks der Hacker
Am Fraunhofer IAO beschäftigen wir uns mit IT und Technik mit dem Menschen im Mittelpunkt. Da – leider – gerade bei diesen Angriffen zumindest im ersten Schritt der Mensch und nicht etwa die Technik im Mittelpunkt steht, möchten wir auf dieses Thema einmal näher eingehen.
Die gezielte Ausnutzung von menschlichen Schwächen, also z.B. jemanden zu Handlungen verleiten, die diese Person im Normalfall gar nicht ausführen würden, bezeichnet man als »Social Engineering«. Dabei werden menschliche Verhaltensweisen wie z.B. Hilfsbereitschaft ausgenutzt, um die Ziele des Angreifers zu erreichen.
Am Beispiel Hilfsbereitschaft zeigt sich auch schon die Komplexität des Themas. Hilfsbereitschaft ist fundamental für den Erfolg einer Gemeinschaft, ob es sich nun um ein Unternehmen, die Familie oder auch die Gesellschaft insgesamt handelt. Man kann und darf sich gegen solche Angriffe nicht schützen, indem man versucht die Hilfsbereitschaft zu unterbinden, sondern man muss die Ausnutzung von Hilfsbereitschaft unterbinden, und dies ist nicht so einfach. Menschen gibt es ein gutes Gefühl, anderen helfen zu können. Daher wird auch die Interaktion mit einem Angreifer, der sich der Mittel des Social Engineerings bedient, oftmals als angenehm wahrgenommen. Der eine freut sich, dass er einem Kollegen bei der Lösung eines Problems in einem Excelsheet helfen konnte (nur wurde dabei leider ein Verschlüsselungstrojaner aktiviert), oder die andere ist stolz, dem Chef bei dem »erfolgreichen« Abschluss einer schwierigen Unternehmensübernahme im Ausland mit einer großzügigen Unterstützungszahlung helfen zu können.
In der »angenehmen« Form des Social Engineerings geht es um Beeinflussung unter Vortäuschung falscher Tatsachen. Diese Formen der Beeinflussung gehen fließend in den Bereich der Manipulation über. Hier wird dann auch mit Mitteln gearbeitet, durch die Menschen gezielt unter Druck gesetzt oder die auf niedrigeren Instinkten – wie z.B. Gier – aufbauen. Bei vielen erfolgreichen Angriffen kommen beide Komponenten zum Einsatz: z.B. wird der Wunsch zu helfen mit entsprechenden Druckmitteln wie Zeitdruck verstärkt. Auf weitere psychologische Angriffstechniken und ihre Relevanz für Unternehmen werden wir in einem weiteren Beitrag noch näher eingehen.
Wie kann man sich vor solchen Angriffen schützen? Die etwas ernüchternde Antwort ist: ein vollständiger Schutz ist unmöglich. Die oben genannten Instinkte, die in Social-Engineering-Angriffen angesprochen werden, sind im Menschen so tief verankert, dass nahezu jeder in seinem Leben gelegentlich auf solche Methoden hereinfällt. Andererseits hilft es nachweislich, sich diese Methoden bewusst zu machen und auch solche Situationen in Simulationen selbst zu erleben und auch psychologisch zu verarbeiten. Am Ende ist es wichtig, dass Kopf- und Bauchgefühl rechtzeitig Alarm schlagen. Die Chancen dafür können durch gezielte Trainings signifikant erhöht werden. In Sicherheitsrichtlinien wie vom National Institute of Standards and Technology der USA (NIST SP 853 REF) werden daher entsprechende Mitarbeiterschulungen und -trainings explizit gefordert.
Was hilft sonst? Kevin D. Mitnick hat in seinem Buch »The Art of Deception« viele Hinweise zusammengestellt, die Unternehmen umsetzen sollten und müssen, um ihre Mitarbeitenden und sich selbst zu schützen. Dazu gehören u.a.
- stringente Datenklassifikation und Prozesse zum Datenmanagement
- klare Verfahren zur Informationsweitergabe sowie
- verständliche und umsetzbare Richtlinien für Mitarbeitende zur Computer-, E-Mail-, Telefon- und Social-Media-Nutzung, zum Thema »Bring your own device« (BYOD) und zum Verhalten im Homeoffice.
Ob ich in einem Unternehmen arbeite oder privat angefragt werde: um sich selbst zu schützen, sollte man sich immer eine zentrale Frage stellen: ist die Person, mit der ich es gerade zu tun habe, wirklich die Person, die sie vorgibt zu sein? Denn beim Ransomware-Angriff über E-Mails ist der vorgebliche »Kollege« kein Kollege, beim CEO-Betrug ist der »CEO« gar kein CEO, beim Enkeltrick der »Enkel« kein Enkel und beim Polizistentrick der »Polizist« kein Polizist. Wenn man seine Sinne schärft und geeignete Vorgehensweisen zur Verifikation entwickelt und nutzt, kann man fast immer relativ leicht die richtige Antwort finden: »NEIN, ICH MACHE DAS NICHT!«.
Das Team Identitätsmanagement am Fraunhofer IAO hilft mit seinen wissenschaftlich fundierten Methoden Unternehmen, innovative und auf das jeweilige Profil zugeschnittene Konzepte zum Umgang mit den Gefahren des Social Engineerings zu entwickeln und umzusetzen. Wenn Sie 15+ psychologische und technische Tricks der Angreifenden live erleben und Methoden zur Prävention lernen wollen, besuchen Sie unser Social Engineering Prevention Bootcamp – nähere Informationen sind in den Leselinks zu finden.
Leselinks:
- Dieser Beitrag ist Teil der Ausgabe 2/23 unseres Kundenmagazins »FORWARD zum Schwerpunktthema Wandel durch Datenökonomie
- Zum »Social Engineering Prevention Bootcamp«
- Team »Identity Management«
- Kevin D. Mitnick »The art of deception – Controlling the Human Element of Security« Wiley
- Zur zweiten Ausgabe der Magazins »FORWARD
Kategorien: Mensch-Technik-Interaktion
Tags: Cybersicherheit, HCI, IT-Sicherheitsmanagement, OT-Sicherheit