Dienstag, halb zehn, irgendwo in Deutschland. Sachbearbeiter Hr. H., Mitarbeiter in der Buchhaltung bei einem regionalen Energieversorger, trinkt einen Schluck Kaffee und öffnet währenddessen eine Mail eines Dienstleisters. Deren Text bezieht sich auf einen gerade abgeschlossenen Vorgang und verweist auf eine damit in Zusammenhang stehende Zahlung. Einzelheiten sind einem beigefügten Dokument zu entnehmen.
Hr. H. klickt auf den Anhang – und die Welt verlässt für ihn und sein Unternehmen die altbekannten Bahnen. Die gesamte IT-Infrastruktur ist verschlüsselt, alle Daten so unerreichbar, als wären sie auf dem Mond gelagert. Wenig später wird das Unternehmen vor die Wahl gestellt, Bitcoins im Gegenwert eines hohen fünfstelligen Betrags „zur Behebung der Computerprobleme“ bereitzustellen oder die Daten seien für immer verloren. Erst nachträglich stellt sich heraus, dass die Erpresser außerdem noch sensible Geschäftsinterna und personenbezogene Daten von Mitarbeitern und Kunden erbeutet haben. Bei den Kundendaten handelte es sich zum Teil auch um Adress- und Bankdaten.
Für das Unternehmen entstand ein hoher materieller Schaden. Daneben ging wegen der wiederholten Berichte in der Tagespresse die Auftragslage drastisch zurück. Der Imageschaden ist unbezahlbar.
Auch wenn dieses konkrete Beispiel rein fiktiv ist, finden sich immer wieder Unternehmen in dieser oder ähnlichen Situationen.
Auch im ersten Halbjahr diesen Jahres nahm laut „ESET Threat Report“ die Bedrohung durch Online-Betrug, sei es durch „Phishing“, „Spammails“, „Einbringen von Malware“ oder durch andere Mittel, weiter zu. Die Gründe hierfür sind vielfältig. Der Ukraine-Krieg und die zunehmende Digitalisierung sind zwei von mehreren Gründen.
Viele Unternehmen versuchen, auf diese Gefahren angemessen zu reagieren. Dies geschieht häufig durch Anpassen der technischen und organisatorischen Maßnahmen (TOM). Gerade dadurch, dass viel Wert auf die technischen Schutzmaßnahmen gelegt wird, und auch erhebliche Mittel für diesen Schutz eingesetzt werden, wähnen sich viele Unternehmen in einer, unter Umständen trügerischen, Sicherheit.
In Gesprächsrunden zum Thema „Awareness“ sind mitunter Aussagen zu hören, wie: „Mein Unternehmen nutzt die neueste Sicherheitstechnik“, „unsere IT-Infrastruktur ist auf dem neuesten Stand“ und „bei uns ist noch nie etwas passiert“.
Natürlich sind zeitgemäße und regelmäßig auf ihre Angemessenheit überprüfte IT-Sicherheitsmaßnahmen ein wesentlicher Bestandteil eines jeden Sicherheitskonzeptes. Da jedoch die in einem Unternehmen eingesetzte Informationstechnik überwiegend dem Ziel dient, Menschen bei der Erbringung ihrer Arbeitsleistung zu unterstützen, ist es der Mitarbeiter, der als Anwender wesentlich über das tatsächliche Maß an gelebter Informationssicherheit im Unternehmen entscheidet. Und genau dies ist der größte Risikofaktor.
Awareness – Mehr als „Bewusstsein“
Vor diesem Hintergrund ist es wichtig, diese in dem Begriff „Awareness“ zusammengefasste Kompetenz für jeden Mitarbeiter verständlich und nutzbar zu machen. Dabei geht die Bedeutung des englischen Begriffs als Fachterminus über die wörtliche Bedeutung des deutschen Wortes „Bewusstsein“ hinaus und impliziert eine besondere Einstellung zu und Sicht auf das Thema Informationssicherheit sowie den Transfer in die tägliche Arbeitspraxis.
Die Gefährdungen sind vielschichtig und die Arbeitsweisen der Angreifer werden immer ausgereifter. Hier ein paar Beispiele aus der Praxis:
Ein Rechenzentrum rüstet mit hohem technischen, wie auch finanziellen Aufwand seinen Eingangsbereich mit einem elektronischen Zutrittssystem auf Basis biometrischer Daten aus. Es werden Scanner und ein entsprechendes Schließsystem eingebaut, die Mitarbeiter in der Nutzung geschult. Alles scheint bereit.
Einige Zeit nach Einführung dieses Zutrittskontrollsystems wird im Rahmen eines Audits festgestellt, dass die Mitarbeiter für ihre Raucherpausen einen Notausgang nutzen, an dem keinerlei Kontrolle stattfindet, ein außenstehender Dritter also nur geringe Hürden zu überwinden hat, um in sensible Bereiche des Gebäudes zu gelangen.
Im Rahmen eines Audits bei einem anderen Unternehmen, in diesem Fall aus der Dienstleistungsbranche, wurden an verschiedenen Stellen in öffentlich zugänglichen Bereichen des Gebäudes USB-Sticks mit vermeintlicher Schadsoftware deponiert. Drei von fünf dieser USB-Sticks fanden ihren Weg in die Slots von Unternehmensrechnern, nur einer der Sticks wurde dem Informationssicherheitsbeauftragten ausgehändigt.
In wieder einem anderen Fall erhielt eine Assistentin der Geschäftsleitung eine E-Mail des Geschäftsführers, in dem dieser sie beauftragte, mehrere Amazon-Gutscheine zu bestellen, die dann als Geschenke dienen sollten. Die E-Mail enthielt einen Link über den die Bestellung direkt vorgenommen werden konnte. Die Assistentin bestellte die Gutscheine und meldete dem Geschäftsführer die Erledigung. Erst dann stellte sich heraus, dass die E-Mail nicht von dem Geschäftsführer stammte und die ausgelöste Zahlung nicht Amazon gutgeschrieben wurde, sondern dem Konto der Betrüger.
Exkurs: Corona Pandemie
Als wäre die Situation nicht ohnehin schon herausfordernd genug, bietet die Corona-Pandemie Social Engineers neue Gelegenheiten und Angriffsvektoren. Seit März 2020 war ein rasanter Anstieg von Seiten festzustellen, die sich mit dem Thema „Covid 19“ befassen. Eigentlich verwundert es nicht, dass sich hierunter auch zahlreiche Seiten befanden, die nicht der Bereitstellung von Informationen dienen, sondern dazu, Rechner mit Malware zu infizieren.
Um Vertrauenswürdigkeit zu suggerieren, werden beispielsweise Seiten der Weltgesundheitsorganisation (WHO) oder caritativer Dienste insgesamt imitiert oder auch einzelne Anwendungen, wie Grafiken dieser Institutionen im Sinne der Betrüger verändert. So soll eine Weltkarte über die Verbreitung von Covid 19 im Darknet erhältlich gewesen sein, die zwar in Echtzeit Daten der WHO darstellte, jedoch gleichzeitig auch Malware auf den Rechnern der Nutzer hinterließ.
In Berlin, und höchst wahrscheinlich auch in den anderen Bundesländern ist es zu Betrugsfällen in Zusammenhang mit der Corona-Soforthilfe für Unternehmen gekommen. Auch in diesen Fällen spielte Social Engineering eine zentrale Rolle. Denn häufig werden Methoden des Social Engineering genutzt, um Daten und Firmeninterna zu erfahren, die benötigt werden, um die entsprechenden Anträge ausfüllen zu können, unter falschem Namen Konten zu eröffnen und in eine glaubwürdige Kommunikation mit den bewilligenden Stellen zu treten.
Aus der Distanz erscheint es manchmal unverständlich, dass die vorgenannten Methoden, wie zum Beispiel der CEO-FRAUD oder auch das Pendant auf der Privatseite, der Enkel-Trick, trotz wiederkehrender Warnungen der Polizei nach wie vor funktionieren und noch immer ihre Opfer finden.
In dem oben dargestellten Fall das Gutscheinkaufs über das Internet, wie auch in dem fiktiven Beispiel eingangs des Artikels zeigen die Betrüger ein Insider-haftes Wissen der Abläufe und Vorgänge im Unternehmen. Eine der Schwachstellen im konkreten Fall war, dass die Assistentin in den sozialen Medien geschrieben hatte, dass das Unternehmen solche Gutscheine nutzt, um Mitarbeiter für besondere Leistungen zu belohnen.
Allein dieser Hinweis genügte, damit das Unternehmen in den Pool gelangte, bei dem der Trick angewendet wurde.
Erklärbar wird der Erfolg dieser Betrugsmethoden, berücksichtigt man, dass es Ziel von Social Engineering ist, die Situation inklusive aller Rahmenbedingungen komplett zu beherrschen, sodass das Opfer eben nicht mehr in der Lage ist, die Folgen des eigenen Tuns in Gänze zu überblicken.
Gerne nutzen Social Engineers Informationen aus den sozialen Medien, um ihre Coups vorzubereiten. So gelingt die Informationsbeschaffung kostengünstig, gefahrlos und ohne Aufmerksamkeit der zukünftigen Opfer zu erregen.
Awareness betrifft Beruf und Privatleben
Umgekehrt scheint also der beste Schutz vor Betrug im Allgemeinen und Social Engineering im Besonderen in einem wachen Blick und gelebter Aufmerksamkeit bezüglich potentiell kritischer Situationen zu liegen. Dies verdeutlicht noch einmal, dass Schulungen und Awareness-Trainings für alle Mitarbeitenden ebenso wichtig sind, wie die technischen und organisatorischen Maßnahmen regelmäßigen Praxistests zu unterziehen und insgesamt zu einer betrieblichen Selbstverständlichkeit werden zu lassen.
Doch auch der einzelne Mitarbeiter kann durch sein eigenes Verhalten, zum Beispiel durch überlegtes Nutzen der Sozialen Medien auch im privaten Kontext, zur eigenen Sicherheit und gleichzeitig zur Sicherheit des Arbeitgebers beitragen.
So haben wir uns angewöhnt, beispielsweise den Blick aus dem Hotelzimmer oder wie im oben beschriebenen Fall, ein „Mit einem Gutschein bedanken wir uns bei Frau XY für ihr außergewöhnliches Engagement“ in den Sozialen Media zu teilen. Im Normalfall wird dies positive Rückäußerungen aus dem Kollegen-, Freundes-, und Bekanntenkreis hervorrufen. Gelangt diese Information jedoch an einen Social Engineer, bekommt diese Information möglicherweise eine ganz andere Bedeutung.
Zum Autor:
Stephan Auge ist Teamleiter für den Bereich Managementsysteme. Bei der migosens GmbH liegt sein Schwerpunkt auf der Implementierung von Managementsystemen, vorrangig von Informationssicherheitsmanagementsystemen nach ISO27001 und ISO9001. Auch die Prozessoptimierung und Beratungen zum Risikomanagement zählen zu seinen Aufgaben. Darüber hinaus ist Stephan Auge als Lead Auditor für die ISO27001, den IT-Sicherheitskatalog und Kritis-Prüfungen beim TÜV Rheinland bestellt.
