Social Engineering bleibt gefährlichste Angriffsmethode

2304_MartinKraemer_0131

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Nach den Ergebnissen des Data Breach Investigations Report von Verizon sind 74 Prozent der Sicherheitsverletzungen auf erfolgreiche Social-Engineering-Angriffe, Fehler, Missbrauch und andere menschliche Schwächen zurückzuführen. Im Vergleich dazu, sind im Vorjahr 82 Prozent an Sicherheitsverletzungen verzeichnet worden. Dabei ist die erfolgreichste Angriffsmethode mit 50 Prozent Pretexting, also eine Social Engineering-Aktivität mit einem bestimmten Vorwand als Auslöser. Das ist eine Steigerung um das Doppelte im Vergleich zum letzten Jahr.

Pretexting ist eine Art „Evergreen“ dieser Berichte, was allerdings auch das Bedrohungspotential dieser Social Engineering-Variante verdeutlicht. Die am weitesten verbreitete Form ist Phishing, genauer gesagt, E-Mail Phishing. Im Betreff und in der Ansprache des vermeintlichen Opfers wird unter einem Vorwand Kontakt aufgenommen.

Der Gesprächsaufhänger ist je nach Art des Pretextings mal mehr, mal weniger spezifisch auf den Empfänger ausgerichtet. Klassische Strategien bei Opfern im Unternehmensumfeld sind der CEO-Fraud, der Business-E-Mail Compromise, die IT-Support-Anfrage oder aber ein angeblicher externer oder ehemaliger Mitarbeiter, der Unterstützung braucht.

Im privaten Umfeld ist es je nach Zielgruppe der Enkeltrick oder aber ein Liebesbetrüger oder eine Liebesbetrügerin. Die Grenzen zwischen beruflich und privater Ebene können je nach Empfänger bzw. dessen Social Media-Präsenz durchaus verschwimmen.

Die Ergebnisse des Berichts bestätigen nun einmal mehr, wie erfolgreich die im Grunde genommen einfachen Mittel der Cyberkriminellen sind. Dazu kommt, dass die meisten dieser Aktivitäten die Absicht verfolgen dem Opfer finanziellen Schaden zuzufügen. Das Problem besteht weiterhin darin, dass es trotz kontinuierlich verbesserten E-Mailfiltern und professionellem Endpunktschutz den Angreifern noch immer gelingt Schutzmechanismen zu umgehen und derartige E-Mails an ausgewählte Opfer zu versenden.

Die technologische Revolution rund um ChatGPT und anderen KI-Sprachmodellen beschleunigt diesen Trend, da die Inhalte schneller erstellt und zielgenauer auf den Empfänger verfasst werden können.

Gegen Pretexting hilft keine Technologie, da Cyberkriminelle immer neue Wege finden, um Sicherheitskontrollen zu umgehen. Aus diesem Grund sollten zumindest Unternehmen ihre Mitarbeiter auf diese Bedrohungen vorbereiten. Dies gelingt mit Security Awareness Trainings. Allerdings nur dann, wenn diese gut gemacht sind und den Alltag der Mitarbeiter reflektieren. Deshalb empfiehlt sich ein ganzes Programm mit abwechslungsreichen Inhalten zusammenzustellen, um mit spielerischen Ansätzen aber auch mit simulierten Phishing E-Mails kontinuierlich auf die neuesten Pretexting-Versuche zu schulen.