25. März 2025
Eine Frau betritt die Lobby eines Firmenbüros. Es ist das erste Mal, dass sie dieses Gebäude betritt. Niemand hier hat sie je zuvor gesehen. Sie ist keine Angestellte. Sie ist kein Gast. Sie hat keine Berechtigungsnachweise.
Aber das lässt sich nicht anhand der Art und Weise erkennen, wie die Leute auf sie reagieren. In Wirklichkeit reagieren sie überhaupt nicht. Sie ignorieren sie müde, wie eine besonders langweilige Büroeinrichtung. Nicht einmal ein Kickertisch im Pausenraum – eher wie eine Plastiktopfpflanze, die auf den Boden geschraubt ist: immer da und es lohnt sich nicht, stehen zu bleiben, um sie zu bewundern.
Unbehindert schreitet sie auf den Rezeptionstresen zu.
„Hallo“, sagt sie ein wenig verlegen.
Der Kopf der Rezeptionistin schnellt von ihrem Monitor hoch, mit einem Eifer, der darauf hindeutet, dass sie sich über die Ablenkung freut. (Jerry in der Buchhaltung antwortet wieder einmal auf E-Mails, die eigentlich privat sein sollten.)
Die Erleichterung weicht schnell einer gewissen Verwunderung, als sie die Fremde vor sich wahrnimmt. Ihr Gesichtsausdruck wird nachdenklich, als sie versucht, die Besucherin einzuordnen – und es gelingt ihr nicht.
„Ich will Sie nicht stören“, fährt die Frau fort, „aber ich habe ein Vorstellungsgespräch im Büro nebenan und ich habe Kaffee über meinen Lebenslauf verschüttet. Dürfte ich Sie eventuell bitten, ein neues Exemplar für mich auszudrucken? Ich habe die Datei hier.“
Die Frau holt einen Flash-Drive hervor. Ta-da! Die Rezeptionistin lächelt. Natürlich wird sie dieser armen, bedauernswerten Person helfen. Nach einigen der Schimpftiraden, die sie heute Morgen im Berufsverkehr von Los Angeles losgelassen hat, könnte sie ein wenig gutes Karma gebrauchen.
Die Rezeptionistin steckt den USB-Stick unbesorgt in ihren Computer. Die beiden unterhalten sich unterhalten, während sie zu der einzelnen Datei auf dem Laufwerk navigiert und einen Doppelklick macht. Dadurch wird eine komplexe Kette von Ereignissen in Gang gesetzt, die am Ende des Tages zur Gefährdung des gesamten Netzwerks führen werden.
Der Lebenslauf ist gar kein Lebenslauf, sondern ein geschickt getarntes Stück Malware, das sich jetzt heimlich auf dem Computer des Rezeptionisten installiert. Sie hat keinen Verdacht, und wer kann es ihr verdenken? Die Frau scheint nett zu sein, und ihre Eltern haben dazu erzogen, anderen zu helfen.
Verstärken Sie Ihre Sicherheitsintelligenz
Bleiben Sie Bedrohungen immer einen Schritt voraus mit Neuigkeiten und Erkenntnissen zu Sicherheit, KI und mehr, die Sie wöchentlich im Think Newsletter erhalten.
Was Sie gerade lesen, basiert auf einer wahren Begebenheit. Nämlich einer, in der ich der Besucher war, der eine wohlwollende Rezeptionistin dazu verleitet hat, ihre Firma zu gefährden. Keine gute Tat bleibt ungestraft, oder?
Allerdings muss ich betonen, dass ich nicht wirklich irgendjemanden mit Ransomware infiziert habe, und ich war mit Erlaubnis dort. Das Unternehmen beauftragte mich, eine Bewertung des Firmengeländes durchzuführen. (Das ist mein Job.) Wie Sie sehen können, habe ich einige Schwachstellen festgestellt.
Aber ich finde in der Regel immer Schwachstellen, wenn ich Bewertungen durchführe, sei es physisch oder digital. Insbesondere beim Social Engineering.
Trotz aller Schulungen, der Bulletins der Strafverfolgungsbehörden, der Geschichten über millionenschwere Raubüberfälle und der Warnungen von Experten (wie ich!) – Social-Engineering-Angriffe überraschen uns immer wieder aufs Neue.
Man könnte denken, es wäre einfach genug: „Nehmen Sie keine USB-Sticks von Fremden an.“ Social Engineering funktioniert jedoch gerade deshalb, weil es unsere menschlichen Instinkte ausnutzt, beispielsweise den Wunsch, hilfreich zu sein.
Und Betrüger nutzen auch andere Emotionen aus.
Die Angreifer machen sich die Neugier der Menschen zunutze, indem sie unwahrscheinliche Geschichten erzählen und sagenhafte Belohnungen versprechen, die Opfer dazu verleiten, herauszufinden, was als Nächstes passiert.
Wir sehen diese Taktik häufig bei den „Pig Butchering“-Betrügereien, bei denen sich Angreifer als vermögende Investoren ausgeben, deren „Chance“ dem Opfer mit Sicherheit Millionen einbringt. (Das wird es nicht.)
Angreifer rufen Angst hervor, oft indem sie sich als Chef, Polizist oder andere Autoritätsperson ausgeben und mit Arbeitsplatzverlust oder Gefängnis drohen, wenn das Opfer nicht tut, was ihnen gesagt wird. Dieser Deckmantel funktioniert viel zu gut, weil uns beigebracht wird, Autoritätspersonen praktisch von Geburt an zu gehorchen.
Die Angreifer nutzen die Bedrohung des Mangels, ähnlich wie die altbekannten Infomercials: „Schnell zugreifen! Nur solange der Vorrat reicht!“
In Bezug auf Einschreibungen oder Anmeldungen geben sich Betrüger beispielsweise oft als Personal- oder Versicherungsvetreter aus: „Die Frist für die Anmeldung für einen Tarif läuft ab, also geben Sie mir besser schnell Ihre Sozialversicherungsnummer!“
Angreifer zwingen ihre Opfer mit Social Proof. Die meisten von uns möchten sich von der Masse abheben. Wenn wir eine (zugegebenermaßen zweifelhafte) E-Mail erhalten, in der behauptet wird, dass wir die letzte Person in unserem Unternehmen sind, die noch nicht an der Mitarbeiterumfrage teilgenommen hat, springen wir sofort darauf an.
Es ist genau so, wie wenn man in der High School von Gleichaltrigen unter Druck gesetzt wird: Alle machen es! Nur bedeutet „es“ in diesem Fall „Ihr Passwort an einen Hacker weitergeben“ und nicht „im Hinterhof Zigaretten rauchen“.
Um diese Emotionen zu schüren, erfinden Betrüger Vorwände (gefälschte Geschichten) und Personas (Rollen, die sie spielen). Einige Beispiele:
„Ich bin Susan von der IT. Ich bin neu, deshalb haben Sie noch nichts von mir gehört. Aber Sie haben auch schon von der E-Mail-Migration gehört, oder? Ich muss Ihr neues Konto einrichten. Sie sind der Letzte in Ihrer Abteilung. Wenn ich dazu bitte Ihr Passwort haben könnte …“
Manchmal denke ich, dass man Theater gründen sollte, um die Zahl der Social-Engineering-Angriffe zu halbieren. Geben Sie ihnen ein gesundes Ventil für ihre Träume. Hey, ich verstehe es – ich trage gerne Perücken, wenn ich in die Gebäude meiner Kunden einbreche.
Wir wollen kein Pessimist sein, aber wir müssen den Tatsachen ins Auge sehen. Wir werden Social Engineering nie ganz überwinden. Wir werden niemals einen Spamfilter entwickeln, den Angreifer nicht durch eine raffinierte Tarnung überlisten können. Wir werden nie einen narrensicheren Test haben, um böswillige Fälschungen vom echten Artikel zu unterscheiden, sei es ein Text von Ihrer Bank oder eine tollpatschige Dame mit einem Lebenslauf voller Kaffeeflecken.
Solange Menschen Emotionen haben, werden Betrüger diese ausnutzen. (Vielleicht müssen sich unsere KI-Oberherren beeilen.)
Das sind gute Nachrichten für meine Jobaussichten als Chief People Hacker, nicht so sehr für den Rest von Ihnen.
Das Gute daran ist, dass ich in all den Jahren, in denen ich mich als Betrüger ausgegeben habe, Folgendes gelernt habe: Je mehr Hindernisse wir potenziellen Angreifern in den Weg legen, desto unwahrscheinlicher ist es, dass sie uns auf frischer Tat ertappen.
Zu diesem Zweck finden Sie hier einige der effektivsten Möglichkeiten, wie Ihr Unternehmen Social-Engineering-Angriffe in Schach halten kann.
Der Grund, warum Social-Engineering-Angriffe auf starken Emotionen wie Angst und sozialem Druck beruhen, besteht darin, dass Sie handeln, bevor Sie nachdenken.
Oh nein – mein Chef sagt, wir kämen in große Schwierigkeiten, wenn ich diese ungewöhnlich hohe Rechnung nicht sofort bezahle. Ich mache es also lieber schnell!
Mein Rat ist, wirklich langsamer zu werden und jede SMS, E-Mail, jeden Telefonanruf oder jede andere Nachricht zu bewerten. Das ist leichter gesagt als getan, aber es ist die effektivste Verteidigung gegen Social Engineering-Angriffe. Wenn die meisten Leute ihre E-Mails genau lesen und Fragen stellen würden, bevor sie reagieren, würden sie die roten Fahnen direkt vor ihren Augen sehen.
Augenblick mal. Unsere Lieferantenzahlungen sind normalerweise nicht so hoch. Und warum schickt mir mein Chef direkt eine E-Mail, anstatt es über das Buchhaltungssystem zu schicken? Ich sollte der Sache nachgehen.
Noch ein Ratschlag: Versuchen Sie, einen anderen Kommunikationskanal zu nutzen, wenn Sie verdächtigen Anfragen nachgehen. Wenn Ihr Chef eine seltsame E-Mail gesendet hat, rufen Sie ihn an, um dies zu bestätigen. Wenn es sich bei der ursprünglichen Nachricht um einen Social-Engineering-Angriff handelt, führt Sie eine direkte Reaktion darauf direkt zu den Betrügern.
Es scheint offensichtlich, aber zu viele Organisationen verlassen sich auf generische Cybersicherheitsschulungen, die nicht auf die tatsächlichen Angriffe eingehen, denen ihre Mitarbeiter ausgesetzt sind.
Ich kann Ihnen gar nicht sagen, wie oft ich die Schulung eines Kunden überprüft habe, und dann festgestellt habe, dass sie extrem veraltet ist und sich auf Dinge konzentriert, die Angreifer nicht einmal mehr tun. (Out: Nigerianische Prinzen. In: Investitionen in Kryptowährungen.)
Bewusstseinsschulungen sollten sich sowohl auf die Best Practices als auch auf den individuellen Kontext Ihres Unternehmens konzentrieren. Erhalten Sie bestimmte Arten von Telefonanrufen? Verwenden Betrüger bestimmte Vorwände und Personas, wenn sie es auf Ihre Mitarbeiter abgesehen haben? Beziehen Sie dies in Ihre Schulungen zum Sicherheitsbewusstsein ein.
Eine Trainingsart, die weniger Aufmerksamkeit erhält, als sie verdient, ist die Durchführung von Cyber-Range-Übungen.
Cyberbereiche sind physische oder virtuelle Umgebungen, die reale Netzwerke und Cyberangriffe simulieren. Wir verwenden sie, um Cyber-Krisensimulationen durchzuführen, bei denen wir Führungskräfte und andere Teammitglieder einem simulierten Angriff – z. B. einer Ransomware-Infektion – aussetzen und sehen, wie sie reagieren.
Damit Sie nicht glauben, dass ich nur auf Big Cyber Range abziele, möchte ich eines sagen: Vielleicht ist der größte Nutzen einer Cyber-Krisensimulation, dass sie Ihnen helfen kann, herauszufinden, was in Ihren Krisenreaktionsplänen noch fehlt.
Viele Unternehmen gehen mit einem Strategieplan in unsere Cyber-Ranges. Wenn es dann doch soweit ist, entdecken sie schnell große Lücken in diesen Plänen: Angriffstaktiken, die sie nicht in Betracht gezogen haben, Verantwortlichkeiten, die sie nie zugewiesen haben, Kommunikationspläne, die sie nie geklärt haben.
Indem Sie eine Cyber-Krisensimulation durchspielen, können Teams feststellen, wer für was verantwortlich ist und wer mit wem zusammenarbeitet, bevor die Hacker anklopfen. Auf diese Weise sitzt niemand herum und trinkt Kaffee im Pausenraum, während das Netzwerk brennt wie der „This is fine“-Hund.
Eine der einfachsten Möglichkeiten, Angreifer aufzuhalten, besteht darin, für jede wichtige oder ungewöhnliche Anfrage eine Verifizierung zu verlangen: das Bezahlen von Rechnungen, die Weitergabe vertraulicher Informationen oder die Unterstützung Ihres CEO beim Kauf von iTunes-Geschenkkarten für das Reinigungspersonal.
(Okay, letzteres ist definitiv ein Betrug.)
Das Problem ist, dass viele Unternehmen Verifizierungsfaktoren verwenden, die leicht zu erraten sind, wie z. B. Geburtstage oder Startdaten. Stattdessen empfehle ich Faktoren, die viel schwerer zu beeinflussen oder herauszufinden sind.
So vereitelte beispielsweise einManager im letzten Sommer einen versuchten Vishing-Betrug (Voice Phishing), indem er die Betrüger, die sich mit Tools zum Klonen von Stimmen als CEO ausgab, fragte, ob sie sich daran erinnerten, welches Buch der echte CEO kürzlich empfohlen hatte. Die nervösen Betrüger legten sofort auf.
Wenn Sie keine Bibliothek betreiben, können Sie wahrscheinlich nicht alle Überprüfungen auf Buchempfehlungen stützen. Sie können aber auch andere Dinge tun. Einer meiner Kunden verwendete rotierende Passwörter, die sich jeden Montag änderten. Leider war das der einzige Verifizierungsfaktor, den sie verwendeten, sodass ich immer noch in der Lage war, ihr System zu knacken, indem ich jemanden dazu brachte, mir das Passwort zu geben.
Das bringt mich zu meinem nächsten Punkt: Ebenen. Fragen Sie nicht nach einem Verifizierungsfaktor. Fragen Sie nach zwei oder drei. Je mehr auf dem Spiel steht, desto mehr Faktoren sollten Sie benötigen. Es ist viel schwieriger für Betrüger, jemanden zu täuschen, wenn sie mehrere Informationen sammeln müssen.
Sie können jeden auf dem neuesten Stand der Technik schulen und luftdichte Richtlinien entwickeln. Wenn die Leute nicht die Werkzeuge haben, die sie benötigen, um das, was Sie predigen, zu praktizieren, ist das alles praktisch nichts wert.
Gehen wir noch einmal zu der Geschichte zurück, die ich oben erzählt habe. Ich habe mir einige kreative Freiheiten genommen. Es stimmt nicht, dass mich niemand bemerkt hat. Eine Person tat es – die Frau, der ich in das Gebäude folgte.
Um hineinzukommen, mussten die Mitarbeiter einen Ausweis haben, damit sich die Tür öffnete. Ich hatte keine, also musste ich die uralte Kunst des Tailgating anwenden – das heißt, jemandem ganz dicht zu folgen, damit er dir die Tür aufhält, weil es unhöflich wäre, sie einer Person vor der Nase zuzuschlagen.
Als ich dieser Frau folgte, konnte ich sehen, dass sie wusste, dass etwas im Gange war. Der Blick, den sie mir zuwarf, sagte alles. Als ich dachte, dass meine Tarnung aufgeflogen war, bereitete ich mich auf einen stämmigen Sicherheitsmann vor, der mich aufhob und im Cartoon-Stil rauswarf.
Zu meiner großen Überraschung ist das nicht passiert. Ich konnte stundenlang wie die Malware-Fee herumflitzen und USBs platzieren, bevor es zum großen Showdown an der Rezeption kam.
Und während ich dort stand und zusah, wie die Empfangsdame meinen Lebenslauf ausdruckte, bekam ich einen Teil eines merkwürdigen Gesprächs mit, das direkt hinter mir stattfand. Jemand beschrieb jemanden, den er gesehen hatte, und das klang wirklich sehr nach mir. Mein Outfit. Meine Größe. Meine Haarfarbe.
Vorsichtig und schnell warf ich einen Blick über die Schulter. Da war sie. Die Frau an der Tür, die mich einem Wachdienst beschreibt, der die Kamera-Feeds auf seinem Laptop scannt. Ich suchte mich, obwohl ich nur ein paar Schritte von ihnen entfernt war.
Irgendwie konnte ich mich immer noch unbemerkt davonschleichen.
Als ich die Ergebnisse meiner Bewertung mit meinem Kunden besprach, war meine erste Frage: „Warum hat das so lange gedauert?“ Die Frau bemerkte mich, als ich das Gebäude betrat, meldete mich jedoch erst drei oder vier Stunden später.
Wir haben ein wenig recherchiert und es stellte sich heraus, dass sie mich schon viel früher melden wollte. Sie wusste nur nicht wie. Es dauerte ein paar Stunden, bis sie die richtige E-Mail-Adresse gefunden hatte, und ein paar weitere, bis sich die Sicherheitskräfte bei ihr meldeten.
So etwas sehe ich oft: Eine Person erwischt mich beim Tailgating. Ich sage: „Danke schön!“ in meiner quietschfidelen Stimme. Sie mustern mich von oben bis unten. Sie erkennen mich nicht. Aber was sollen sie tun?
Sie wissen nicht, was sie sagen sollen. Sie wissen nicht, wie man jemanden davon abhält, einem zu folgen, oder wie man die Bitte eines Fremden, einen Drucker zu benutzen, höflich ablehnt. Den Menschen wird nicht unbedingt beigebracht, andere in Frage zu stellen, wenn es in der menschlichen Natur liegt, helfen zu wollen – geschweige denn, einfach „Nein“ zu sagen.
Mein Punkt ist, dass es nicht ausreicht, Befehle wie „Lassen Sie keine Fremden in das Gebäude“ oder „Melden Sie verdächtige Personen dem Sicherheitsteam“ zu geben. Führen Sie die Mitarbeiter genau durch die Schritte dieses Prozesses und geben Sie ihnen die Möglichkeit, im Rahmen ihrer Schulung zu üben.
Wenn Sie jemanden ohne Ausweis herumlaufen sehen und ihm nicht bekannt vorkommen, halten Sie ihn an. Fragen Sie: „Kann ich Ihnen helfen? Ich begleite Sie zur Rezeption.“ Wenn jemand einen Drucker benutzen möchte, sagen Sie: „Ich muss Ihnen zuerst einen Ausweis besorgen – das ist nur eine Formalität! Lass uns ganz schnell zur Sicherheitskontrolle gehen.“
Und erwarten Sie nicht, dass die Leute diese Schritte auswendig lernen. Es kann leicht zu Verwirrung kommen, wenn Sie mit der Realität konfrontiert werden. Stellen Sie sicher, dass jede Workstation – jedes Gerät und jeder Schreibtisch – über einen Leitfaden für die Reaktion auf physische und digitale Social-Engineering-Angriffe verfügt. Fügen Sie wichtige Telefonnummern, E-Mail-Adressen und Schritt-für-Schritt-Anweisungen für die Berichterstellung hinzu.
Hätte diese Frau sofort handeln können, als sie mich sah, hätte ich die Empfangsdame niemals überlisten können.
Wenn Sie genauer darüber nachdenken, ist es ihre Schuld. Nicht meine.