Was ist Social Engineering?
Beim Social Engineering werden menschliche Eigenschaften wie beispielsweise Vertrauen, Angst oder Respekt vor Autoritäten ausgenutzt. Die Social Engineers versuchen Menschen für ihre Zwecke zu instrumentalisieren. Angreifer verleiten die Opfer dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln oder Schadsoftware zu installieren.
Aktuelle Social Engineering Angriffe
Twitter-Mitarbeiter wurden von Social Engineers manipuliert, um in das interne System von Twitter einzudringen. Dadurch hatten die Hacker Zugang zu Tools, die normalerweise nur für das interne Support-Team zugänglich sind. Insgesamt wurden 130 Twitter Konten angegriffen und Passwort-Resets von den Hackern durchgeführt. Die Hacker konnten dadurch persönliche Daten der Accounts einsehen. Unter anderem wurde auch der Twitter-Account des Tesla Chefs Elon Musk von Social Engineers übernommen. Angefangen hatte der Angriff mit einfachen Telefonanrufen. Einer der Hacker gab sich als Tesla-Mitarbeiter aus und brachte einen anderen Mitarbeiter dazu, Anrufe an eine fremde Nummer weiterzuleiten. Außerdem fügten die Hacker in das Domain-Administrationskonto von Tesla eine neue E-Mail-Adresse ein. Sie konnten so Passwörter zurücksetzen und erlangten Zugriff auf das Tesla-Network-Solutions Konto. Durch diesen Zugriff hatten die Hacker einige Stunden lang die Kontrolle über Elon Musks Twitter-Account.
Es gibt aber auch Gegenbeispiele, wie beispielsweise ein anderer Fall bei Tesla. Ein russischsprachiger Mitarbeiter mit Zugang zu den Computern in der Gigafactory in Nevada wurde erpresst. Ein Erpresser bot ihm eine Million Dollar, wenn er eine Schadsoftware installiere, die seinem Auftraggeber wiederum Zugriff auf die Daten Teslas gegeben hätte. Anschließend hätte der Hacker Tesla möglicherweise erpressen wollen. Der Mitarbeiter wandte sich aber sofort an das FBI – der Hacker wurde festgenommen.
Der Mitarbeiter hat in dieser Situation genau richtig reagiert und sich nicht von dem Hacker überführen lassen.
Menschen machen Fehler, deswegen werden Unternehmen Social-Engineering-Angriffe nie absolut verhindern können. Allerdings gibt es Maßnahmen zur Prävention solcher Angriffe.
Prävention von Social Engineering
Verwendung dualer Kontrollsysteme
Vertrauliche Plattformen sollten durch mehrfache Sicherheitsebenen verschlüsselt sein. Beispielsweise sollte ein Mitarbeiter nur dann Zugriff auf ein kritisches System erhalten, wenn er dafür von einem zweiten autorisierten Benutzer oder einer zusätzlichen Systemlogik, beispielsweise einem Ticket-Management-System, die Freigabe erhält.
Awareness-Aufbau
Mitarbeiter sollten regelmäßig im Umgang von vertraulichen Daten geschult werden. Die Sensibilisierung für Sicherheitsgefahren und Schulungen zur Cybersecurity sind unverzichtbar.
Nutzung von Privileged Access Management
Eine der besten proaktiven Möglichkeiten zur Risikominimierung bei privilegierten Zugriffen ist die Umsetzung des Least-Privilege-Prinzips im Rahmen eines Privileged-Access-Managements. Das heißt, die Zugriffsrechte von Benutzern sollten auf das für die jeweilige Rolle erforderliche Minimum beschränkt werden. Damit können seitliche Bewegungen eines Angreifers im Unternehmensnetz verhindert werden.
Einsatz von Multi-Faktor-Authentifizierung
Eine Ein-Faktor-Authentifizierung etwa mit einem Passwort ist immer ein Single-Point-of–Failure. Deshalb sollte für den Zugriff auf kritische Systeme zwingend eine Multi-Faktor-Authentifizierung erforderlich sein.
Die aktuellen Twitter-Attacken zeigen, dass Social Engineering nicht zu unterschätzen ist. Gelingt es den Angreifern in den Besitz privilegierter Daten zu kommen, so erhalten sie relativ problemlos Zugang zu den wichtigsten Systemen und Ressourcen eines Unternehmens – vom geistigen Eigentum bis bin zu vertraulichen Kundendaten. Deshalb sollten Mitarbeiter in Unternehmen für die Gefahren von Social Engineering sensibilisiert und geschult werden. Interne Seminare und Kurse helfen dabei, Personen mit Zugang zu wichtigen Daten aufzuklären.