Lesezeit: 7 Minuten

Social Engineering und Cyber-Attacken

Social Engineering und Cyber-Attacken

Der Mensch als Sicherheitslücke

Dass ein Atomkraftwerk mal eben durch einen USB Stick lahmgelegt wird klingt unwahrscheinlich, oder? Und doch gab es derartige Fälle bereits mehrmals.

2016 wurde ein Atomkraftwerk in Gundremmingen in Deutschland infiziert. Da dieser Virus nur dem Diebstahl von Informationen diente und die betroffenen Systeme nicht an das Internet angebunden waren kam es glücklicherweise zu keinem Schaden. Dennoch musste das Kraftwerk aus Sicherheitsgründen vorrübergehend stillgelegt werden.

Laut Kaspersky wurde auch ein russisches Atomkraftwerk per USB Stick mit einem Virus (Stuxnet) infiziert.

Sogar die International Space Station (ISS) ist nicht sicher. 2008 fand ein Virus, dafür entwickelt Passwörter zu stehlen, seinen Weg auf Laptops in die Raumstation. So gelangte er über ein bereits infiziertes Gerät an Board. Und das war laut NASA nicht der erste Vorfall dieser Art.

Referenzen:
https://www.independent.co.uk/life-style/gadgets-and-tech/news/russian-nuclear-power-plant-infected-by-stuxnet-malware-says-cyber-security-expert-8935529.html
https://www.pc-magazin.de/news/virus-befaellt-internationale-raumstation-iss-1894704.html

Sicherheitsmaßnahmen umgehen

Datenträger wie USB-Sticks oder SD-Karten sind beliebt bei Angreifern, da Mitarbeiter sie an Geräten im Firmennetzwerk anschließen können. Damit werden sehr viele Sicherheitsmaßnahmen einfach umgangen.

Zum einen können bereits ungezielt infizierte Geräte die Schadsoftware auf die Datenträger überspielen, zum anderen kommen für gezielte Cyber-Angriffe auch andere Methoden zur Anwendung, die den Menschen selbst austricksen, sogenanntes „Social Engineering“.

Es gibt viele Möglichkeiten, wie man Opfer von Social Engineering werden kann.
Hier ein Überblick über klassische Methoden in praktischen Beispielen.

Beispiele zu Social Engineering

Die Falle der Unachtsamkeit

Ein Besucher lässt auf dem Firmengelände einen USB-Stick fallen, ein Mitarbeiter versucht anhand des Inhaltes den Besitzer zu ermitteln und steckt den Datenträgen an einen Computer an, der sich im Firmennetzwerk befindet. Unbemerkt wird Malware installiert und der Schaden ist passiert.

Fremde Datenträger

Auf einem Event werden Datenträger verschenkt. Niemand bemerkt, dass der Verteiler mit dem Organisator nichts zu tun hat. Tatsächlich befindet sich Malware auf den USB-Sticks. Der Angreifer hofft darauf, dass zumindest einer der Besucher den Datenträger im Büro einsetzt.

Identitäten überprüfen

Ein Mitarbeiter einer Wartungsfirma steht vor der Türe und zeigt seinen Ausweis. Er wird hereingelassen um seinen Auftrag auszuführen. Da er einen Ausweis gezeigt hat, wird nicht geprüft, ob die Wartungsfirma ihn wirklich geschickt hat. Sobald er kurz aus den Augen gelassen wird, stehen viele Möglichkeiten offen Schaden anzurichten oder Daten zu stehlen.
Dasselbe ist auch über das Telefon möglich: Scheinbar unbedenkliche Auskünfte können dem Hacker wichtige Informationen für weitere Angriffe liefern.

Wichtige Passwörter

„Sie haben Post“ – eine neue Email befindet sich im Posteingang. Ein Link zur Registration auf einer Website wird angeboten, die ein interessantes Service kostenfrei anbietet. Man registriert sich. So weit so gut: Bis jetzt ist nichts Schlimmes passiert, richtig? Sofern man ein Passwort verwendet hat, das man sonst nirgends benutzt, stimmt das auch. Allerdings verwenden viele Menschen dieselben Passwörter für die verschiedensten Anwendungen. Durch die Registration hat der Angreifer das Passwort für möglicherweise sensible Konten, und kann es an unterschiedlichen Stellen ausprobieren. Das gilt natürlich auch für Firmendaten. Aus diesem Grund sollten Sie Passwörter ständig variieren.

Mobile Working und Bildschirmsperre

Man liest sich bei einem Kaffee in der Büroküche schnell ein paar Emails durch. Plötzlich wird man abgelenkt. Das Notebook ist für kurze Zeit unbeobachtet und der Bildschirm wurde nicht gesperrt. Das kann für einen Angreifer bereits genug sein, Malware zu installieren, die dann im Firmennetzwerk verbreitet wird.
Noch einfacher macht man es Angreifern, wenn man sein Gerät nie sperrt, während man sich einen neuen Kaffee holt oder auf die Toilette geht. Deshalb ist es für Unternehmen ratsam, das Sperren der Arbeitsgeräte in den Arbeitsplatzrichtlinien zu verankern.

Werden Sie nicht zum Opfer: 5 Tipps, um sich vor Cyber-Attacken zu schützen

Welche Vorkehrungen können Sie nun treffen, um diese Risiken zu minimieren?

1. Private und berufliche Geräte trennen

Berufliche Geräte haben meist bessere Sicherheitsmaßnahmen, wodurch private Geräte ein beliebtes und einfacheres Ziel darstellen. Wenn private Geräte doch im Berufsalltag verwendet werden, sollte sichergestellt werden, dass sie sicherheitstechnisch entsprechend ausgerüstet sind.

Das umfasst unter anderem folgende Maßnahmen:

  • Verschlüsselte Festplatten:
    Ist die Festplatte unverschlüsselt, kann ein Dieb auf die Inhalte zugreifen und teilweise sogar gelöschte Inhalte wiederherstellen.
  • Geräte sperren:
    Geräte sollten mit einer kurzen Inaktivitätsdauer bis zur automatischen Sperrung versehen werden. Generell sollten Arbeitsgeräte immer versperrt werden, wenn man gerade nicht darauf achtet.
  • Blickschutzfolien:
    Auch nur kurze Blicke auf den Bildschirm könnten einem Angreifer bereits wichtige Details verraten. Blickschutzfolien bewirken, dass man von der Seite auf dem Bildschirm nichts mehr erkennen kann und schützen so vor unwillkommenen Blicken.

2. Passwörter nicht wiederverwenden

Nicht jede Website ist sicher! Wir müssen heutzutage davon ausgehen, dass es nur eine Frage der Zeit ist, bis der nächste Datendiebstahl passiert.

Die Lösung als User ist einfach:
Für jede Webseite ein eigenes Passwort verwenden!

Das klingt kompliziert, kann aber einfach gemacht werden:

  • Passwort-Management-Lösungen, wie beispielsweise Passwordstate:
    Mit diesem Tool behalten Sie einfach den Überblick über ihre verschiedenen Passwörter.
  • Komplexe, aber doch einfach merkbare Passwörter erzeugen:
    Ein Passwort sollte nie einfach nur ein Wort sein. Mehrere Wörter und Zahlen aneinandergehängt oder durcheinandergewürfelt sind bereits sehr sicher. Ein simples Beispiel wäre es einen Satz zu bilden, den man mit der Webseite, auf der man sich einloggt verbindet. Die ersten Buchstaben der Wörter im Satz können dann als Passwort verwendet werden.
    Zum Beispiel: „Hier gehe ich gerne einkaufen!“ wäre dann „Higeicgeei!“

Für weitere Informationen lesen Sie unseren Beitrag zu: „3 Schritte zum sicheren Passwort“.

3. Öffentliche WLANs vermeiden

Man weiß nie, wer gerade mitlesen könnte. Öffentliche WLANs haben oft nur unzureichende Sicherheit und geben Angreifern die Möglichkeit potentiell sensible Daten auszulesen.
Das WLAN selbst könnte von einem Angreifer zur Verfügung gestellt werden. Damit stehen ihm eine Vielzahl an Möglichkeiten offen, Daten abzufangen oder sogar Schadsoftware in Ihre Computer einzuschleusen.

4. Mehrfaktor-Authentifizierung verwenden

Nicht nur ein Passwort, sondern zusätzliche Mechanismen zu verwenden, bietet mehr Schutz für Ihre Daten. Verwenden Sie zum Beispiel Ihren Fingerabdruck.

Hier finden Sie weitere detailreiche Infos zur „Zwei- oder Mehr-Faktor-Authentifizierung für mehr Sicherheit“.

5. Behutsam mit Informationen umgehen

Wer schon mit kleinen Kindern zu tun hatte, weiß wohl nur zu gut, wie gerne sie private Geschichten ausplaudern. Unbeabsichtigt könnten so auch Firmengeheimnisse ausgeplaudert werden. Das betrifft aber nicht nur Kinder, auch Freunde und Familie können bewusst oder unbewusst kritische Informationen an Dritte weitergeben. Nicht jedem ist klar, dass trivial erscheinende Informationen wichtig sein könnten. Vorallem wenn man keine Erfahrungen in diesem Arbeitsbereich hat.

Bewusstsein schaffen und Cyber-Attacken zu vermeiden

Die Sicherheitstechnologie wird immer besser und schützt immer zuverlässiger vor Cyber-Angriffen. Dabei vergisst man gerne, dass man oft selbst als Mensch der Schwachpunkt ist. Das Bewusstsein hierfür muss im Unternehmen, aber auch bei privaten Daten, vorhanden sein, um einen guten Schutz gegen Cyber-Attacken und Datendiebstahl sicherstellen zu können.

Um sicher zu gehen bieten sich Security-Awareness Schulungen an. Dabei werden Mitarbeiter auf mögliche Gefahrenquellen geschult und das Risiko für das Unternehmen deutlich reduziert.

Sie wollen sich vor Cyber-Attacken schützen? Gerne beraten Sie unsere Experten von GEKKO, um das Risiko in Ihrem Unternehmen zu senken. Kontaktieren Sie uns einfach für nähere Informationen!

Wir lieben Sicherheit!

Wir unterstützten Sie gerne bei Fragen rund um IT-Security in Ihrem Unternehmen. Sprechen Sie einfach ganz unverbindlich mit uns! Wir freuen uns auf Ihre Kontaktaufnahme.

zum kostenlosen Beratungsgespräch