Grundlagen des Social Engineerings

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4 Social Engineering ist eine Kunst besser Technik, um Menschen zu manipulieren, zu beeinflussen oder zu täuschen. Das Ziel ist es, die Kontrolle über IT Systeme zu erlangen. Ein Angreifer kann das Telefon, die E-Mail, die Post oder die direkte Ansprache nutzen, um sich illegal Zugang zu

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Social Engineering ist eine Kunst besser Technik, um Menschen zu manipulieren, zu beeinflussen oder zu täuschen. Das Ziel ist es, die Kontrolle über IT Systeme zu erlangen. Ein Angreifer kann das Telefon, die E-Mail, die Post oder die direkte Ansprache nutzen, um sich illegal Zugang zu sensiblen Informationen zu verschaffen. Pretexting, Phishing, Smishing, Vishing, Spear Phishing und CEO Fraud sind nur einige gängige Vorgehensweisen, die dafür eingesetzt werden. Mit dem Einzug von generativer KI und größerer sowie vor allem günstigerer Rechenleistung beginnen Cyberkriminelle darüber hinaus mit Voice Cloning zu arbeiten und über Voice Fakes und Deepfakes auch mit gefälschten Audio- und Video-Aufnahmen zu arbeiten. Diese täuschend echten Beispiele sind für das bloße Auge und die technischen Sicherheitsmaßnahmen sehr schwierig zu erkennen.

Noch immer stellt Phishing die am weitesten verbreitete Social Engineering-Methode dar. Im Cybercrime Report des österreichischen Bundeskriminalamts aus dem Jahr 2022 wurde der stete Anstieg bestätigt. Laut dem Report wurden im Berichtsjahr 27.629 Delikte im Bereich des Internetbetrugs angezeigt. Was zu dem damaligen Zeitpunkt im Vergleich zum Vorjahr eine weitere Steigerung von 23,1 Prozent bedeutet hat. Zugleich war die Aufklärungsquote im gleichen Zeitraum um 1,7 Prozent gesunken. Beliebt bei den Cyberkriminellen waren damals Betreffzeilen mit angeblichen Steuerrückerstattungen, Paketzustellungen oder klassischer Bankdatenbetrug. Für Kampagnen mit der Zustell-Thematik wurde vermehrt auf das Transportmittel SMS, also Smishing gesetzt.

Inzwischen hat sich die Lage noch verschärft, weil viele Angreifer für die Erstellung von Phishing E-Mails die Möglichkeiten der generativen KI für sich entdeckt haben. Der Bericht des Cybersecurity-Anbieters Abnormal Security „AI Unleashed: 5 Real-World Email Attacks Likely Generated by AI in 2023″  zeigt da Dillema auf. Die Ergebnisse zeigen, dass die Wahrscheinlichkeit, dass E-Mails heute von AI geschrieben werden, sehr hoch ist. Die Forscher hatten sich eine Kodierung ausgedacht, die anzeigt, wie vorhersehbar das nächste Wort aufgrund seines Kontexts ist. Die eingefärbten Wörter bedeuten, dass sie zu den 10, 100 oder 1000 am häufigsten vorhergesagten Wörtern gehören, die von der KI stammen. Die Einfärbung war dann auch ziemlich deutlich. Es ist unwahrscheinlich, dass ein Mensch so vorhersehbar agiert, dass er mit LLM-basierten KI-Tools mithalten kann und die Phishing-Nachricht immer erkennt. Der Bericht weist auch auf das Fehlen von Tipp- und Grammatikfehlern hin, was bedeutet, dass diese E-Mails überzeugender und schwieriger als von einem Social-Engineer geschrieben zu identifizieren sind.

Die Analysen von KnowBe4 zeigen, funktionierende Betreffzeilen für Phishing Emails sind derzeit Aktualisierungen von Richtlinien oder Ankündigungen. LLMs können bei dieser Art von Phishing E-Mails helfen. Cyberkriminelle können aber auf diese Art von E-Mails aus kompromittierten Postfächern zugreifen. Die Fähigkeit automatisiert lange E-Mails zu schreiben, ist also nicht so neu und nützlich für sie. Darüber hinaus sind LLMs weniger nützlich für kürzere E-Mails, die spontane, informelle Unterhaltungen imitieren, die normalerweise mit schnellen, kurzen Fragen und Bitten beginnen, im Gegensatz zu mehrgliedrigen Abhandlungen. Letztlich verfügen Kriminelle bereits über eine große Sammlung dieser E-Mails. Denn sie haben diese Art des Social-Engineerings in den letzten Jahren perfektioniert. Eine Verwendung eines LLM für diese Art von Interaktionen wirkt oft zu förmlich und steif. Mini-Essays sind für diese Art von Kommunikation einfach zu viel des Guten. Obgleich stand heute der Einsatz von LLMs beim Social Engineering noch nicht ausgereift scheint, wird sich das Cybercrime dieser Werkzeuge weiterhin bedienen und deren Nutzung in absehbarer Zeit perfektionieren.

Awareness als Grundlage für sicheres Verhalten

Ein Schutz gegen Social Engineering und im speziellen Phishing kann und wird sich nicht durch Technologie allein erreichen lassen. Mitarbeitende müssen für die Gefahren, die von Social Engineering ausgehen, sensibilisiert werden. Ein Training für aller Mitarbeitenden ist für die Cybersicherheit deshalb notwendig. Schließlich gilt es das Herz und den Verstand der Mitarbeitenden von der Notwendigkeit der Maßnahme zu überzeugen. Ein Security Awareness Training muss die Teilnehmer erst einmal abholen und ihnen aufzeigen, wie sie Social Engineering erkennen und vereiteln können. Ein beliebter Ansatz wird sodann durch Gamification-Ansätze und Informationskampagnen vermittelt. Organisationen bieten ihren Mitarbeitenden die Möglichkeit das erlernte Verhalten in regelmäßige Phishing Simulationen zu vertiefen. Daraus leiten diese nach und nach eine Änderung ihres Verhaltes ab, dass mit positiver Verstärkung geleitet und verstärkt werden kann.

Sicherheitskultur braucht aktive Mitgestaltung

Aus dem Verständnis für Social Engineerung und einer Änderung des Verhaltens kann nach und nach eine besser Sicherheitskultur entstehen. Sie fördert dann die Entstehung von lokalen Champions, die die Werte, Normen und Gepflogenheiten einer Organisation vorleben und eine starke Motivation auf andere ausüben, ebenfalls ein sicheres Verhalten. Eine Sicherheitskultur haben Organisationen zunächst auch ganz ohne gezieltes Training. Gepflogenheiten im Umgang mit Technologie haben sich über Jahre herausgebildet und zu ungeschriebenen Normen entwickelt. Wenn sich Unternehmen dieser Sicherheitskultur nicht annehmen, haben sie keine Übersicht und keine Kontrolle darüber, ob die Verhaltensweisen von Mitarbeitern der Cybersicherheit schaden oder zuträglich sind. Mit den richtigen Trainingsmaßnahmen lässt sich dies jedoch ändern. Eine nachhaltig gestaltete Sicherheitskultur ist der beste Schutz für jede Organisation ganz gleich in welchem Land.

Security Awareness Maßnahmen wirken

KnowBe4 analysiert jedes Jahr die Wirksamkeit von Security Awareness Trainings in seinem Benchmarking Report. Der Datensatz von 2023 enthielt über 12,5 Millionen Benutzer in 35.681 Organisationen mit über 32,1 Millionen simulierten Phishing-Sicherheitstests in 19 verschiedenen Branchen. Das daraus resultierende Baseline-PPP (Phish Prone Percentage) misst den Prozentsatz der Mitarbeiter in Unternehmen, die keine KnowBe4-Sicherheitsschulung durchgeführt haben und während des Tests auf einen simulierten Phishing-E-Mail-Link geklickt oder einen infizierten Anhang geöffnet haben. Der Bericht zeigt, dass nach den durchgeführten Baseline-Tests ohne Sicherheitsschulung in allen Branchen in der DACH-Region 31 Prozent der Mitarbeiter wahrscheinlich auf einen verdächtigen Link klicken oder einer betrügerischen Anfrage nachkommen. Was die durchschnittlichen PPP-Raten betrifft, so schneidet die DACH-Region im Vergleich zu Großbritannien und Irland sowie zum übrigen Europa gleich oder leicht besser ab.

Nachdem die betroffenen Unternehmen nach ihrer ersten Messung eine Kombination aus Security Awareness-Schulungen und simulierten Phishing-Sicherheitstests durchführten, änderten sich die Ergebnisse drastisch. 90 Tage nach der Durchführung von monatlichen oder häufigeren Sicherheitsschulungen sank die durchschnittliche PPP auf 20 Prozent. Nach zwölf Monaten Sicherheitstraining und simulierten Phishing-Sicherheitstests sank der durchschnittliche PPP auf sechs Prozent. Dies lässt darauf hindeuten, dass neue Gewohnheiten zur Normalität werden und eine stärkere menschliche Firewall und eine verbesserte Sicherheitskultur fördern.

Die folgenden Tipps unterstützen Unternehmen dabei Social Engineering-Methoden ins Leere laufen zu lassen:

  1. Sichere und entsprechend konfigurierte E-Mail-Gateways, die URL-Filterung abdecken, helfen bei der Bedrohungsabwehr.
  2. Alle Endpunkte müssen regelmäßig gepatcht werden, sowohl das Betriebssystem als auch Anwendungen von Drittanbietern.
  3. Identifizierung der Benutzer, die mit sensiblen Daten umgehen, um für sie eine mehrstufige Authentifizierung durchzusetzen.
  4. Interne Sicherheitsrichtlinien und -verfahren überprüfen, insbesondere in Bezug auf Finanztransaktionen, um CEO-Betrug zu verhindern.
  5. Firewall-Konfiguration kontrollieren und sicherstellen, dass kein krimineller Netzwerkverkehr zu C&C-Servern zugelassen wird.
  6. Security Awareness-Schulungen wie beschrieben durchsetzen und darüber hinaus häufige Social-Engineering-Tests durchführen
  7. Backups einrichten, die verschlüsselt sind und selbst nicht kompromittierbar sind.

Fazit

Social Engineering ist eines der bekanntesten und am meisten genutzten Werkzeuge im Baukoffer der Cyberkriminellen. Die Mittel der generativen KI machen sie noch effektiver beim Versuch Mitarbeiter zu einem Fehlklick zu verleiten oder aber zu einer anderen Aktivität anzustiften. Security Awareness Training muss hier ansetzen und ebenfalls die Vorteile der KI in einer eigenen Plattform für das Abrufen und Ausspielen der Inhalte nutzen. Am Ende steht ein besseres Verhalten und dadurch die Chance die Sicherheitskultur der gesamten Organisation dauerhaft zu einem besseren zu verändern.