Schätzungen zufolge handelt es sich bei 97% der Angriffe um „Social Engineering“, das meistgenutzte Einfallstor ist also mit großem Abstand menschlicher Natur. Dabei werden beispielsweise Nutzer dazu bewegt, einen Link anzuklicken oder einen Anhang in einer E-Mail zu öffnen. Die restlichen 3% verwenden aus der Ferne ausnutzbare Sicherheitslücken („Remote Exploit“), wofür keine menschliche Interaktion benötigt wird.

“…Many of the most damaging security penetrations are, and will continue to be, due to Social Engineering, not electronic hacking or cracking… Social Engineering is the single greatest security risk in the decade ahead.” — Gartner, 2010

In dieser Veröffentlichung des BSI werden Social Engineering und Phishing Angriffe unter den TOP 10 Bedrohungen für Industrial Control Systems genannt. Diese Art von Angriff wird dabei vor allem dafür genutzt, um in industriellen Anlagen und Unternehmen einzudringen. Die Angriffsmethoden auf das Anlagenpersonal unterscheiden sich meist in Ihrer Umsetzung gar nicht so sehr von Angriffen auf die Mitarbeiter von Office-Netzen. Gefälschte Emails, die unter dem Namen des Betriebsleiters, der Geschäftsführung oder von Kollegen aus dem Anlagenumfeld versendet werden, sehen vertrauenswürdig aus und führen dazu, dass infizierte Anhänge unbedacht geöffnet werden.

Vor allem im ICS/ SCADA Umfeld haben erfolgreiche Phishing Angriffe eine folgenreiche Konsequenz. Hier fällt insbesondere die Tatsache ins Gewicht, dass viele ICS Geräte unverschlüsselt kommunizieren und auf unsicheren ICS-Protokollen aufsetzen und so die Verbreitung von Malware begünstigen. Da viele Geräte nach wie vor alt und nicht update- und patchfähig sind, lassen sich technische Schutzmaßnahmen nur schwer implementieren. Ebenso nennenswert ist die verbreitete Verwendung von fixen Admin-Passwörter, die das Kompromittieren von Accounts deutlich vereinfacht.

Umso wichtiger sind dabei die nicht-technischen Schutzmaßnahmen, die bereits durch das Betriebspersonal umgesetzt werden sollten.

Unterschied zwischen gezielten und ungezielten Angriffen

IT-Sicherheit ist ein sehr umfangreiches und komplexes Thema, welches sich grob in gezielte und ungezielte Angriffe unterteilen lässt. Bei der weiteren Betrachtung von Schutzmaßnahmen gegen Social Engineering Angriffe, ist es wichtig, diesen Unterschied zu kennen:

Gezielte Angriffe: Akteure mit einem klaren Ziel z.B. Diebstahl von geistigem Eigentum oder sensiblen Informationen eines spezifischen Unternehmens. Hier gilt es möglichst lange unentdeckt zu bleiben, es wird daher auch von APT („Advanced Persistent Threats“) gesprochen.

Ungezielte Angriffe: Finden ununterbrochen statt und haben das Ziel möglichst viele Computer zu infizieren. Typische Beispiele sind Spam-, Erpressungs- und Banking-Trojaner Kampagnen.

Die generelle Debatte um Cyber-Sicherheit verirrt sich schnell in technischen Details sowie Akronymen und dreht sich oft ausschließlich um die fortgeschrittenen und komplexen Angriffsformen (APT). Dabei wird gerne außer Acht gelassen, dass man sich gegen diese Art von Cyberattacken als Endanwender schnell hilflos fühlt. Diese Verunsicherung kann wiederum leicht in Fatalismus münden. „Da kann man nichts machen“ oder „da wird sich schon jemand anders darum kümmern“, sind die schlimmsten Ausprägung und sind im wahrsten Sinne des Wortes fatal. Die Analogie des Eisbergs möchte verdeutlichen, dass sich die Diskussion um die 3% des sichtbaren Teils drehen, jedoch der größte Teil dabei unter Wasser und damit unbeachtet bleibt.

Maßnahmen gegen Social Engineering Angriffe

Die Abwehr erfolgt sowohl durch technische als auch nicht technische Maßnahmen. Technische Maßnahmen beinhalten beispielsweise Sicherheitsupdates, Firewalls, Malware-Schutz, Spam Filter, Trennung von Netzwerken, Backups, IDS („Intrusion Detection System“), IPS („Intrusion Prevention System“) usw. Die Liste an technischen Maßnahmen ist enorm und erhebt keinerlei Anspruch auf Vollständigkeit. Die Wahl der Mittel hängt dabei sehr stark vom jeweiligen Bedrohungsszenario ab.

Aus den vorher beschriebenen Gründen sollte das Hauptaugenmerk jedoch bei den nicht-technischen Maßnahmen liegen, da es sich um die mit Abstand häufigsten Einstiegspunkt handelt und hier mithilfe des Personals viel erreicht werden kann.

Oft reicht schon ein grundlegendes Verständnis dafür, nicht alles sorglos anzuklicken. Es ist ratsam vor dem Anklicken eines Links oder einer Datei nochmals kurz darüber nachzudenken. Wie Eingangs bereits erwähnt, ist ein unbedachter Klick eines Anwenders die häufigste Ursache von IT-Angriffen. Das gilt ganz besonders bei E-Mails dessen Absender einem unbekannt ist.

Schon viel thematisiert aber von immenser Bedeutung, ist die Notwendigkeit für jeden Dienst ein separates und zufällig generiertes Passwort zu verwenden. Passwortmanager gestalten den Umgang mit zahlreichen Logins sehr komfortabel und erhöhen die Sicherheit beachtlich. Es gibt heutzutage keine Ausrede mehr schlechte Kennwörter zu verwenden. Keinesfalls sollten Passwörter bei unterschiedlichen Diensten wiederverwendet oder gar weitergegeben werden.

Bei dem Erwerb eines Gerätes oder wenn ein Passwort im Klartext übergeben wird, ist es durchwegs sinnvoll diese beim ersten Login zu ändern. Auch hier ist der Passwortmanager ein hilfreiches Werkzeug.

Genaues Lesen, Überprüfen des Absenders und die Anzahl der Rechtschreibfehler können unter Anderem gute Indikatoren für gefährliche Inhalte sein.

Wenn etwas nicht ganz schlüssig scheint oder einen stutzig macht, ist ein kurzes Nachfragen vor dem Klicken angebracht. Eine entsprechende Unternehmenskultur sollte dieses Verhalten stets fördern und auch belohnen.

Zu verstehen, dass es nicht die Hauptaufgabe von Updates ist den Anwender zu frustrieren, sondern, dass diese sehr oft sicherheitsrelevant sind. Leider scheint es ein ungeschriebenes Gesetz zu sein, dass diese stets in den unpassendsten Momenten geschehen. Die wichtigsten Aktualisierungen betreffen Browser und Betriebssysteme sowie PDF Viewer und Office Produkte.

Jeder einzelne Mitarbeiter ist mitverantwortlich für die Sicherheit der IT in einem Unternehmen. Der Hauptangriffsvektor ist menschlicher Natur, da es sich hier meist um das schwächste Glied in der Kette handelt.

Insbesondere im Zuge der Digitalisierung und neuen Themen wie Predictive Maintenance, wird das Umfeld von heutigen Produktions- und Fertigungsnetzen stets weiter vernetzt. Hier findet aktuell eine Weiterentwicklung des Betriebspersonal statt, in dem sich in neue Lösungen eingearbeitet wird und neue Fähigkeiten und Wissen entstehen.

Hier muss verstanden werden, dass Personal, welches in der Vergangenheit sehr wenig mit „IT“ zu tun hatte, Zeit benötigt, um sich einen sensibilisierten Umgang mit dieser anzueignen. Damit ist es jedoch auch besonders gefährdet für Angriffe wie Social Engineering, da diese in der Vergangenheit in diesem Umfeld nicht gängig waren.

Durch den gezielten Einsatz von Schulungsmaßnahmen und einem offenen Austausch zwischen IT und OT lässt sich hier mit vergleichsweise geringem Aufwand bereits viel erreichen. Das Ziel ist ein sensibilisiertes Betriebspersonal, welches Inhalte kritisch hinterfragt. Denn was ist denn zuverlässiger als ein Mitarbeiter, der bei Unstimmigkeiten rechtzeitig Alarm schlägt und sich bei der IT meldet?

Wenn Sie sich weiterführend mit Angriffsszenarien und Schutzmaßnahmen rund um um Social Engineering befassen möchten, dann empfiehlt sich ein Blick in das Buch „Social Engineering“ von Christopher Hadnagy.