Social Engineering FAQs

Die 8 meist gestellten Fragen

1) Was versteht man unter Social Engineering?

Mit den Methoden des Social Engineering zielen Angreifer darauf ab, bestimmte Personen dazu zu bringen, vertrauliche bzw. persönliche Informationen an sie weiterzugeben. Der Angreifer verschafft sich auf diesem Weg die für ihn relevanten Daten, um einen Cyberangriff durchzuführen. Die Zielperson ist damit für ihn das „Mittel zum Zweck“, um vertrauliche Informationen zu erhalten. Im Kontakt zum Arbeitnehmer macht sich der Angreifer elementare Grundregeln der Kommunikation zunutze, z.B. Autoritätszugehörigkeit oder die Interessen des Menschen, demjenigen Vertrauen zu schenken, der bereits über bestimmte Informationen verfügt.*: Durch unterschiedlichste Formen der Kontaktaufnahme – und durch Ausnutzung von Gutgläubigkeit, Hilfsbereitschaft oder auch Unsicherheit Ihrer Mitarbeiter – wird somit versucht, an vertrauliche Unternehmensinterna zu gelangen.

* Der Betrieb Nr. 2 vom 15.01.2016: Arbeitsrechtliche Aspekte von Social Engineering Audits

2) Welche Methoden des Social Engineering machen sich Angreifer typischerweise zunutze?

Im Rahmen seiner vorbereitenden Informationsgewinnung wird der Angreifer zunächst auf Basis öffentlich verfügbarer Datenquellen bzw. sozialer Netzwerke über Ihr Unternehmen und dessen Mitarbeiter recherchieren. Im Mittelpunkt steht hierbei die Identifikation von Mitarbeitern, die später zum Angriffsziel der Social Engineering Attacke werden. Auch die erste Kontaktaufnahme läuft oftmals über soziale Netzwerke und wird in der Folge intensiviert, um die Opfer zu unüberlegten Handlungen zu verleiten. Hierzu können das Öffnen einer infizierten E-Mail-Anlage zählen oder aber, eine infizierte Webseite aufzurufen. Dadurch gelingt es den Angreifern, Schadsoftware auf das Nutzersystem zu übertragen oder Zugang in ein Unternehmensnetz zu erlangen. Man spricht aus diesem Grund auch von der Methode des „Social Hacking“.

Zur Ansprache der Opfer geben sich die Angreifer als Mitarbeiter von Firmen oder Einrichtungen aus, die im Unternehmen bereits allgemein bekannt sind. Häufig weisen sie sich auch als im Unternehmen angestellte Personen aus. Dies senkt die Hemmschwelle der Empfänger, einen Link oder Dateianhang anzuklicken, denn der Absender ist ihnen vermeintlich bekannt oder sogar vertraut.

Im Zuge dieser Phishing-Angriffe werden fiktive Sicherheitsprobleme, gefälschte Rechnungen oder vorgetäuschte Statusmeldungen zu Aufträgen verwendet, um Nutzer dazu zu verleiten, unternehmensbezogene oder andere sensible Informationen an Unberechtigte weiterzugeben. Zwecks Ablenkung des Opfers von der eigentlichen Problematik werden dabei Fristen gesetzt oder geringe Bearbeitungsgebühren erhoben. Zudem werden die Nutzer auf gefälschte Unternehmens-Webseiten gelockt, um dort in einer scheinbar vertrauten Umgebung Zugangs-, Konto- oder Kundendaten einzugeben oder zu bestätigen.**

** BSI: Die Lage der IT-Sicherheit in Deutschland 2016

3) Welche rechtlichen Aspekte sind bei der Durchführung eines Social Engineering Audits zu berücksichtigen?

Der Arbeitgeber hat bei der Durchführung eines Social Engineering Audits grundsätzlich den arbeits- und datenschutzrechtlichen Rahmen einzuhalten.

Entscheidet sich die Geschäftsführung gemeinsam mit dem IT-Sicherheitsverantwortlichen für die Beauftragung eines Social Engineering Audits, sollten bei der Besprechung der Ausgestaltung des Audits der bzw. die Datenschutzbeauftragte, die Leitung der Personalabteilung sowie ggf. der Betriebsrat des Unternehmens involviert werden. Durch das Einbeziehen dieser Abteilungen werden Verzögerungen im Freigabeprozess eines Social Engineering Audits vermieden. Unsere IT-Sicherheitsexperten empfehlen außerdem, die Beauftragung des Audits ohne Kenntnisnahme durch die Einkaufsabteilung abzuwickeln, um sicherzustellen, dass keine Informationen vorab an Mitarbeiter durchsickern.

Generell ist die Durchführung von Social Engineering Maßnahmen nur unter Berücksichtigung gegenseitiger Rücksichtnahmepflichten (§ 841 Abs. 8 BGB) zulässig. Das aus Art. 8 Abs. 1 und Art. 1 Abs. 1 GG abgeleitete allgemeine Persönlichkeitsrecht des Arbeitnehmers ist hierbei insbesondere zu berücksichtigen. Dieses gilt jedoch nicht ohne Einschränkungen: Die Wahrnehmung überwiegend schutzwürdiger Interessen des Arbeitgebers kann einen Eingriff in dieses Gesetz rechtfertigen. So kann sich der Arbeitgeber auf sein Interesse an einem hohen Maß an Unternehmenssicherheit berufen. Rechtsgrundlage hierfür ist die Unternehmerfreiheit aus Art. 18 GG sowie die Eigentumsgarantie aus Art. 14 GG.

Unter Berücksichtigung dieser Interessensbereiche gilt, dass der Arbeitgeber bei der Entscheidung über die Ausgestaltung des Social Engineering Audits diejenigen Maßnahmen wählen sollte, die das Persönlichkeitsrecht des Arbeitnehmers am wenigsten tangieren.* Unsere IT-Sicherheitsexperten beraten Sie selbstverständlich ausführlich, um die für Ihr Unternehmen sinnvollste und effektivste Ausgestaltung des Social Engineering Audits zu erreichen.

4) Wie werden die Daten Ihrer Mitarbeiter im Rahmen eines Social Engineering Audits geschützt?

Die Durchführung eines secion Social Engineering Audits dient der Überprüfung der Security Awareness der Mitarbeiter Ihres Unternehmens. Unsere IT-Sicherheitsexperten erreicht in diesem Zusammenhang häufig die Frage nach  dem Schutz der Persönlichkeitsrechte sowie der persönlichen Daten der in das Audit involvierten Mitarbeiter.

Grundsätzlich ist die Durchführung des secion Social Engineering Audits an feste und klar definierte Regeln gebunden, die sowohl geltenden Gesetzen als auch ethischen Ansprüchen gerecht werden. Die oberste Prämisse unserer Experten ist es, die Persönlichkeitsrechte der Mitarbeiter zu schützen. Dies erreichen wir, indem die Auswertung der Audit-Ergebnisse auf statistischer Basis erfolgt - betroffene Mitarbeiter bleiben anonym. Namen von Mitarbeitern werden im Social Engineering Audit Report nicht erwähnt. Negative oder arbeitsrechtliche Folgen für betroffene Angestellte sind grundsätzlich auszuschließen.

5) Warum ist die Durchführung eines Social Engineering Audits so wichtig für die IT-Sicherheit Ihres Unternehmens?

Ein fahrlässiger Umgang mit vertraulichen Unternehmens- oder persönlichen Daten führt zu einem erhöhten Sicherheitsrisiko. Social Engineering Attacken zählen mittlerweile zu den gängigsten Angriffsformen auf Unternehmen.*** Für Angreifer ist es häufig einfacher, die Schwachstelle Mensch als oftmals schwächstes Glied der IT-Sicherheitskette zu überwinden, anstatt komplexe technische Sicherheitsmaßnahmen mit viel Aufwand zu umgehen. Wichtigste Maßnahme gegen erfolgreiches Social Engineering ist daher die Sensibilisierung und Aufklärung der Anwender. Unsere IT-Sicherheitsexperten empfehlen aus diesem Grunde, entsprechende Social Engineering Audits nicht nur einmalig, sondern als Teil eines Gesamtkonzepts zur IT-Sicherheit regelmäßig durchführen zu lassen. Hierzu gehört sinnvollerweise auch die Durchführung von Awareness-Schulungen für Ihre Mitarbeiter, um deren Sicherheitsbewusstsein zu sensibilisieren bzw. optimieren. Des Weiteren sollten bereits implementierte Security Awareness Maßnahmen regelmäßig überprüft und bei Bedarf an die bestehenden Sicherheitsrisiken angepasst werden.

*** Studienbericht „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz im digitalen Zeitalter, 2015, S.11

6) Welche sicherheitsrelevanten Fragen werden im Rahmen des secion Social Engineering Audits beantwortet?

Im Rahmen der bisher durchgeführten Social Engineering Audits untersuchten unsere IT-Sicherheitsexperten unter anderem folgende relevante Fragestellungen:

  • Werden die im Unternehmen festgelegten Regeln zu sicherheitsrelevanten Geschäftsprozessen und Verhaltensweisen von Ihren Mitarbeitern eingehalten bzw. sind diese noch vollständig im Gedächtnis verankert?
  • Wie gehen Mitarbeiter mit sensiblen Geschäftsinformationen um?
  • Werden die Zutrittsregeln für Ihr Unternehmen beachtet?
  • Wieviel Aufwand benötigt ein Angreifer, um per Telefon oder E-Mail sicherheitsrelevante Informationen von Ihren Mitarbeitern zu erhalten?
7) In welche Phasen untergliedert sich das Allgeier CORE Social Engineering Audit?

Das Allgeier CORE Social Engineering Audit wird in der Regel in 4 Phasen untergliedert, die von unseren IT-Security Consultants gemäß Ihren Auftragsanforderungen individuell gestaltet werden.

1. Vorbesprechung: Telefonisch oder vor Ort

Die Vorbesprechung steht am Anfang aller weiteren Handlungen unserer IT-Sicherheitsexperten. Neben der Übermittlung von Informationen zu vorhandenen internen Verhaltensrichtlinien der Mitarbeiter sowie der Unternehmensrichtlinien werden die Handlungsgrenzen im Rahmen dieses Audits definiert: Wie weit soll und darf nicht-sicherheitskonformes Verhalten von Mitarbeitern ausgenutzt werden? Wichtig ist an dieser Stelle, bereits alle verantwortlichen Abteilungen miteinzubeziehen. Dazu gehören neben der Geschäftsführung und dem IT-Sicherheitsbeauftragten auch der Betriebsrat, Datenschutzbeauftragte sowie die Personalführung Ihres Unternehmens. Abschließend werden Vor-Ort-Termine und weitere Überprüfungszeiten vereinbart.

2. Vorbereitende Informationsgewinnung

Die vorbereitende Informationsgewinnung wird von unseren IT-Security Consultants in die Online- und Vor-Ort-Recherche untergliedert. Zunächst erfolgt die Recherche auf Basis öffentlich verfügbarer Datenquellen bzw. Daten aus sozialen Netzwerken. Die Gebäude- und Lagesichtung Ihres Unternehmens sowie die Identifikation von Ziel-Mitarbeitern stehen hierbei im Mittelpunkt.

Die Vor-Ort-Recherche bezieht sich auf die Überprüfung der Sicherheit von physischen Zutrittsmöglichkeiten des Gebäudes während der Geschäftszeiten, praktische Überprüfung der Zugangskontrollen am Empfang und im Gebäude. Des Weiteren werden das Unternehmensgebäude und dessen Räumlichkeiten von innen, insbesondere häufig frequentierte Orte wie Seminar- und Besprechungsräume, erkundet. Auch Netzwerkzugänge werden ausgespäht sowie protokolliert.

3. Aktive Informationsgewinnung (vor Ort bzw. Phishing per E-Mail und telefonisch)

Auf Basis der Auswertung der in Phase 2 gesammelten Informationen erfolgt die Entwicklung spezifischer Angriffsszenarien durch unsere IT-Sicherheitsexperten.

Nun gilt es, konkrete Unternehmessinterna zu gewinnen, um auf dieser Basis einen späteren Social Engineering Angriff vorzubereiten.

Der Zutritt ins Firmengebäude erfolgt über die zuvor ausgespähten Zugangsmöglichkeiten. Um das Vertrauen der Mitarbeiter zu erreichen, geben sich unsere projektverantwortlichen Allgeier CORE Social Engineers beispielsweise als Dienstleister Ihrer firmeneigenen IT aus, mit dem Ziel, PC-Zugriffsmöglichkeiten der Zielpersonen zu erlangen. Keylogger oder Netzwerksniffer dienen dazu, weiterführende vertrauliche Benutzerdaten zu gewinnen. Auch die Platzierung von präparierten Datenträgern (sog. Candy Drop Methode) an stark frequentierten Orten ist bereits vorbereitende Maßnahme des später erfolgenden Cyberangriffs:

Beispielsweise geben sich unsere IT-Security Consultants im Rahmen einer Phishing Attacke als vertrauenswürdige Personen bzw. Institution oder Unternehmung aus und versuchen, durch gefälschte elektronische Nachrichten an sensible Daten wie Benutzernamen und Passwörter für Online-Banking oder Kreditkarteninformationen zu gelangen.

4. Ergebnispräsentation vor Ort

Elementarer Bestandteil unseres Social Engineering Audits ist stets eine persönliche Präsentation und Erörterung der Überprüfungsergebnisse sowie der hieraus resultierenden Handlungsempfehlungen in Ihrem Haus. Häufig werden von unseren Auftrag gebenden Unternehmen im Anschluss an ein Social Engineering Audit Awareness-Schulungen für ihre Mitarbeiter beauftragt, um deren Sicherheitsbewusstsein zu sensibilisieren bzw. optimieren. Bisherige Security Awareness Maßnahmen werden überprüft und bei Bedarf an die bestehenden Sicherheitsrisiken angepasst.

8) Beispiele nicht-sicherheitskonformer Verhaltensweisen von Mitarbeitern aus Allgeier CORE Social Engineering Audits

Telefonverhalten des Mitarbeiters

Um das Telefonverhalten Ihrer Mitarbeiter hinsichtlich Sicherheitskonformität zu testen, geben sich unsere IT-Sicherheitsexperten als Kunde oder Dienstleister Ihres Unternehmens aus. Durch Smalltalk über gemeinsame Kollegen werden zunächst Vertrautheit und Sympathie aufgebaut, um im Anschluss beispielsweise damit zu drohen, bei unterlassener Kooperation den Vorgesetzten des Opfers hinzuziehen zu müssen. Solche Angriffe können auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut wird, die in vorhergehenden Stufen von uns erworben wurden.

Die bisherige Erfahrung zeigt, dass Mitarbeiter durch Kenntnis der vermeintlich vertrauten Person mit hoher Wahrscheinlichkeit zu viele unternehmensvertrauliche Daten preisgeben. An dieser Stelle wird häufig eine Sicherheitsschwachstelle in Unternehmen durch unsere Social Engineers identifiziert.

Preisgabe von Daten bei PC-Problemen der Mitarbeiter

Eine weitere Methode, um an vertrauliche Daten des Mitarbeiters zu gelangen, ist das Fingieren eines vermeintlichen Supportfalls bei PC-Problemen. Unsere IT-Sicherheitsexperten simulieren einen solchen Vorfall im Unternehmen, der es notwendig macht, bestimmte Handlungen an PCs von Mitarbeitern vorzunehmen.

Auch unter Anwendung dieser Methode zeigt sich eine häufige Autoritätshörigkeit unter den Opfern, die eine Preisgabe von vertraulichen Daten an unsere Experten zur Folge hat.

Zutritt zum Unternehmensgebäude ist nicht ausreichend abgesichert

Bei Anwendung dieses Testmoduls geht es darum zu prüfen, ob und auf welche Weise die implementierten physischen Sicherheitsmaßnahmen von Unternehmen umgangen werden können. Die Erfahrung unserer Experten zeigt, dass der Zutritt zum Unternehmensgebäude häufig mit falscher Identität möglich ist – oder aber diese erst gar nicht überprüft wird. Mit dieser sogenannten Tailgating Methode gelingt es unseren Social Engineers in vielen Fällen, unter Ausübung von psychologischem Druck, mit Hilfe von Tricks oder durch einfaches Hineingehen, Zutritt zu einem physisch gesicherten Gebäude zu gelangen.