Schutz vor Social Engineering

Wie können Sie erkennen, wann ein Hacker versucht, sich in die Computersysteme Ihrer Non-Profit-Organisation einzuschleichen - und wie können Sie verhindern, dass er Erfolg hat?
Man könnte meinen, dass die meisten Hacker Computergenies sind, die ihr technisches Wissen nutzen, um in Computersysteme einzubrechen. Tatsächlich nutzen aber nur 3 % der Hacks einen technischen Softwarefehler aus, so die Sicherheitsfirma Kaspersky.
Die anderen 97 % nutzen „Social Engineering“, um wohlmeinende Mitarbeiter auszunutzen und sie zu überzeugen, vertrauliche Informationen wie Passwörter preiszugeben, eine Zahlung an den Hacker zu leisten oder einfach auf einen Anhang zu klicken, der Malware wie z.B. Ransomware enthält.
Wir werfen einen Blick auf Social Engineering und bieten einige Tipps, damit sich NPOs schützen können.

Was ist Social Engineering?

Wenn Hacker Social Engineering einsetzen, nutzen sie Gutmütigkeit, Höflichkeit, Neugierde oder die schlichte Naivität von Mitarbeitern aus, indem sie sich oft als jemand ausgeben, der sie nicht sind.
Social Engineering ermöglicht es Hackern, Menschen zu einer bestimmten Handlung zu bewegen, weil ihnen vorgegaukelt wird, dass dies wichtig, vorteilhaft für sie oder ihre Organisation sei oder hilfreich sein wird. In Wirklichkeit unterstützen sie aber nur den Hacker bei seinen kriminellen Aktivitäten.

Welche Arten von Social Engineering gibt es?

Pretexting

Ein Hacker, der diese Art von Social Engineering verwendet, nutzt einen falschen Vorwand, um einen Mitarbeiter zu einer Aktion wie der Preisgabe vertraulicher Informationen zu bewegen.
Zum Beispiel rufen sie den Mitarbeiter an und behaupten, dass sie von der IT-Abteilung sind. Sie sagen dann vielleicht, dass sie den E-Mail-Speicher des Mitarbeiters erweitern möchten und daher dessen E-Mail-Passwort benötigen.
Phishing ist eine weitere Art eines Pretexting-Angriffs, da Phishing-E-Mails einen Vorwand nutzen (z. B. die Notwendigkeit, Kontodaten zu aktualisieren), um Mitarbeiter dazu zu verleiten, Malware herunterzuladen oder ihr Kennwort oder eine andere Form vertraulicher Informationen in eine Webseite einzutippen.

Neugierde

Angriffe dieser Art nutzen die natürliche Neugierde der Menschen aus. So kann ein Hacker beispielsweise eine E-Mail an einen Mitarbeiter schicken, in der er sich als jemand anderes in der Organisation ausgibt und behauptet, dass ein Kunde eine Beschwerde gegen ihn eingereicht hat. In der E-Mail heißt es dann, der Beschwerdebrief sei angehängt.
Der Hacker rechnet damit, dass der Empfänger neugierig ist, wer sich über ihn beschwert hat und deshalb den Anhang öffnet, der Schadsoftware enthält.
Ein weiteres Beispiel für diese Art von Social Engineering ist es, jemandem einen USB-Stick mit Malware zu schicken, in der Hoffnung, dass der Empfänger neugierig auf den Inhalt ist und ihn an seinen Computer anschließt.

Dringlichkeit

Viele Social-Engineering-Angriffe versuchen, ein Gefühl der Dringlichkeit zu erzeugen. Mitarbeiter sollen dazu gedrängt werden, irgendeine Form von Maßnahmen zu ergreifen, ohne vorher überlegen zu können, ob etwas verdächtig ist.
Ein klassischer Weg ist das Versenden einer E-Mail, in der sich der Hacker als leitender Mitarbeiter ausgibt, der nicht im Büro ist, und jemanden bittet, eine dringende Zahlung zu tätigen, die innerhalb eines kurzen Zeitraums ausgeführt werden muss. Durch die Betonung der Wichtigkeit der Zahlung kann der Mitarbeiter dazu verleitet werden, die normalen Genehmigungsverfahren zu umgehen und die Zahlung vorzunehmen - auf ein vom Hacker kontrolliertes Konto.

Gutmütigkeit

Manche Hacker nutzen die Gutmütigkeit von Mitarbeitern aus, um sie zu manipulieren. So kann ein Hacker beispielsweise einen Mitarbeiter anrufen und sagen, dass er Zugang zu einem System benötigt, aber sein Passwort vergessen hat. Er bittet dann darum, das Passwort des Opfers als Gefallen zu verwenden, damit er selbst nicht in Schwierigkeiten gerät, weil er sein Passwort vergessen hat.
Obwohl die meisten Leute wissen, dass sie keine Passwörter weitergeben sollten, werden viele dies tun, wenn sie denken, dass sie damit nur einem Kollegen helfen.
Einige "gutmütige" Angriffe sind weniger direkt. Zum Beispiel könnte jemand einen Mitarbeiter anrufen, um etwas zu besprechen, das für die Wohltätigkeitsorganisation direkt relevant ist, und sich dann nach den Computersystemen oder Cloud-Diensten erkundigen, die die Non-Profit-Organisation nutzt. Diese Informationen, die der Mitarbeiter freiwillig preisgibt, können später bei der Planung eines anderen Hackangriffs nützlich sein.

Wie schützen Sie Ihre NPO vor Social Engineering?

Schulung

Um Social-Engineering-Angriffen vorzubeugen, sollten Sie Ihre Mitarbeiter schulen, wie sie diese vermeiden können. Das bedeutet, sie mit den verschiedenen Arten von Social-Engineering-Angriffen vertraut zu machen und ihnen die Schritte zu erläutern, die sie unternehmen sollten, um nicht zum Opfer zu werden.
Viele Organisationen empfehlen ihren Mitarbeitern beispielsweise, sich persönlich oder telefonisch mit einem ranghöheren Mitarbeiter zu beraten, bevor sie einer per E-Mail übermittelten Aufforderung zu einer Zahlung oder zur Weitergabe vertraulicher Informationen nachkommen, egal wie scheinbar dringend die Anfrage auch sein mag.

Schützen Sie, was Hacker wollen

NPOs machen häufig den Fehler, Dinge zu schützen, die sie als wertvoll erachten und Dinge zu vernachlässigen, die für Hacker wertvoll sind. Es könnte für einen Hacker beispielsweise von Interesse sein, welche Cloud-Dienste eine NPO nutzt, während ein Mitarbeiter vielleicht keinen Schaden darin sieht, diese Informationen preiszugeben.
Das bedeutet, dass NPOs verstehen müssen, welche Informationen für Hacker nützlich sein können, und dann sicherstellen müssen, dass sich die Mitarbeiter dessen bewusst sind.

Sicherheitsregeln einfach gestalten

Eine einfache Regel könnte etwa lauten: "Sie dürfen Ihr Passwort niemals an jemanden innerhalb oder außerhalb der Organisation weitergeben, aus welchem Grund auch immer."
Das ist leicht zu verstehen. Es ist besser, einem anderen Mitarbeiter Unannehmlichkeiten zu bereiten, der vielleicht ein Passwort verwenden möchte, weil er sein eigenes vergessen hat, als einem Hacker ein Passwort zu verraten, was unermesslichen Schaden anrichten könnte.

Sagen Sie Ihren Mitarbeitern, dass es in Ordnung ist, wenn sie zu ihren Überzeugungen stehen

Sie sollten Ihre Mitarbeiter darin bestärken, ihrem Instinkt zu folgen, egal wie sehr sie jemand vom Gegenteil überzeugen möchte. Bei vielen erfolgreichen Social-Engineering-Angriffen weigern sich die Mitarbeiter zunächst, der Aufforderung eines Hackers zu einer Handlung oder zur Beschaffung von Informationen nachzukommen, lassen sich aber schließlich doch überreden.
Es kann also hilfreich sein, den Mitarbeitern zu versichern, dass sie unter keinen Umständen für die Ablehnung einer Anfrage, die scheinbar von einem leitenden Mitarbeiter kommt, gemaßregelt werden.

Charity Digital, 27. Januar 2021
27 JAN 2021BY PAUL RUBENS

Charity Digital - Topics - Protecting your charity from social engineering
This work is published under a Creative Commons Attribution-NonCommercial-3.0 Unported.
Deutsche Übersetzung durch Haus des Stiftens.

Foto: MclittleStock, stock.adobe.com