Als Social Engineering und Sicherheits-Spezialistin arbeitet Christina Lekati für die Cyber Risk GmbH. Dort entwickelt die Psychologin Trainings für die Mitarbeiter von Unternehmen und Organisationen im Bereich IT-Sicherheit. Außerdem tritt Christina Lekati als Speakerin auf verschiedenen Events auf – unter anderem auf den Internet Security Digital Days 2020.
Frau Lekati, warum ist Social Engineering oft eine so erfolgreiche Angriffsmethode?
Lekati: Bei Social Engineering handelt es sich oft um einen kostengünstigen, risikoarmen und lohnenden Ansatz für Hacker. Je mehr sich technische Sicherheitsmaßnahmen entwickeln und je schwieriger sie zu durchbrechen sind, desto mehr Angreifer nutzen Social Engineering.
Mitarbeiter, die Zugang zu kritischen Vermögenswerten einer Organisation haben, werden dabei zur Zielscheibe. Definitionsgemäß zielen Social Engineers direkt auf die Mitarbeiter ab und versuchen, mit ihnen in Kontakt zu treten. Die Angreifer wollen sie dazu bringen, ihnen Zugang zu Systemen, Vermögenswerten oder sensiblen Informationen zu gewähren. Mitarbeiter, die Zugang zu Systemen und Unternehmensressourcen haben, sind auch für den Schutz dieser Ressourcen und Informationen verantwortlich. Eine Organisation muss sich fragen: Sind unsere Mitarbeiter fit und geeignet, um mit dieser Verantwortung umzugehen? Verfügen sie über das Bewusstsein und die Fähigkeiten, um diesen Erwartungen gerecht zu werden und sich und das Unternehmen vor Social Engineering Angriffen zu schützen?
Eine große Herausforderung für die IT-Sicherheit ist der Mangel an Bewusstsein und Ausbildung. Viele Organisationen und Unternehmen des öffentlichen und privaten Sektors glauben nach wie vor, dass Cybersicherheit nur eine technische und keine strategische Disziplin ist. Sie denken, dass es nur um den Schutz von Systemen vor Bedrohungen wie unbefugtem Zugriff geht. Das Bewusstsein für IT-Sicherheit und die Schulung von Personen, die autorisierten Zugriff auf Systeme und Informationen haben, ist aber genauso wichtig.
Hacker bevorzugen es, Menschen anzugreifen, weil es einfacher ist. Während die Technologie immer weiter voranschreitet und Sicherheitssysteme immer stärker und komplizierter kompromittierbar werden, ist die menschliche Psychologie über Jahrhunderte gleichgeblieben – und lässt sich daher leichter ausnutzen.
Der stimulus-response-Effekt ist als menschliche Schwachstelle beständig und die Ausnutzung dieser Schwachstellen ist durchweg erfolgreich. Aus diesen Gründen kommt es auch in absehbarer Zukunft weiterhin zu Angriffen des Social Engineering.
Welche Social Engineering Strategien nutzen Angreifer?
Lekati: Phishing-E-Mails und Vishing-Anrufe, bei denen es sich um Telefon-basierte Angriffe handelt, sind die häufigsten Vektoren von Social Engineering-Angriffen. Sie bergen das geringste Risiko, dass der Angreifer identifiziert wird. Die Qualität und Ausgereiftheit der Angriffe ist jedoch sehr unterschiedlich. Einige Social Engineers führen eine sehr gründliche Hintergrundrecherche durch. So sind sie in der Lage, einen Ansatz zu wählen, der auf ihre Ziele zugeschnitten ist. Solche IT-Attacken sind viel schwieriger als Angriff zu erkennen und zu identifizieren.
Zudem verwenden Hacker alte Tricks und Tarnungen, die sich durchweg als erfolgreich erwiesen haben. Ein Beispiel ist der telefonische Phishing-Angriff, bei dem ein Angreifer einen Mitarbeiter anruft und vorgibt, vom IT-Support zu sein. Dabei erzählt der Hacker zum Beispiel, dass er einige System-Upgrades durchführt. Dafür benötige er den Benutzernamen und das Passwort des Mitarbeiters, um seine Konten zu aktualisieren. Eine andere Erzählung könnte sein, dass das Unternehmen eine neue Online-Kommunikationsplattform für Mitarbeiter entwickelt. Der Angreifer bittet den Mitarbeiter sich unter dem Link einer Phishing-E-Mail zu registrieren.
Nutzer können einen Angriff an bestimmten „roten Flaggen“ erkennen. Beispielsweise verwenden viele Social-Engineering-Angriffe in ihrer Strategie die Kombination aus Angst und Zeitdruck. Sie drängen einen Mitarbeiter so zu einer schnellen Aktion – das ist eine sofortige rote Flagge.
Wie können wir Mitarbeiter und Mitarbeiterinnen besser vor Social Engineering schützen?
Lekati: Wir können Mitarbeiter und Mitarbeiterinnen nicht vollständig vor Social-Engineering-Angriffen schützen. Aber wir können ihnen beibringen, wie sie sich selbst und ihre Organisationen schützen können. Unwissenheit ist der am meisten ausgenutzte Faktor beim Social Engineering. Eine Person, die die Taktiken und Methoden der Social Engineers nicht kennt, ist ihnen gegenüber schutzlos ausgeliefert.
Wenn Social Engineers die Mitarbeiter angreifen, sollten sie:
- Erkennen, dass es sich um den Versuch eines Social Engineering-Angriffs handelt
- Den Angreifer freundlich, aber bestimmt zurückweisen
- Den Angriff ihrer Organisation melden (Meldemechanismus sollte vorhanden sein)
Mitarbeiter müssen lernen, wie sie auf diese Anfragen in einer angemessenen Weise reagieren können. Dies geschieht durch intensive Schulung. Sie müssen verstehen, dass das Thema: Sicherheit geteilte Verantwortung bedeutet und, dass sie eben einen Teil dieser Verantwortung mittragen.
Vielen Dank für das Interview, Frau Lekati!
Hier können Sie sich für die ISD Digital 2020 anmelden. Sie finden die Veranstaltung online unter #ISDdigital. Frau Lekati hält am 16. September um 10 Uhr die Keynote: „Don’t open (back)doors to strangers: Defending against social engineering and removing attack verticals”