Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Die unterschätzte Gefahr

Social-Engineering-Angriffe

Die unterschätzte Gefahr

22. Mai 2019, 14:44 Uhr | Autor: David Wollmann / Redaktion: Diana Künstler
Fortsetzung des Artikels von Teil 1

Management Hack ermittelt Sicherheitsrisiko der Chefetage

Besonders im Fokus von sozialen Angriffen steht vor allem die Managementebene, also der gesamte C-Level eines Unternehmens. Dafür gibt es mehrere Gründe: Diese Personen verfügen aufgrund von Funktion und Verantwortungsbereich über mehr sensible Informationen als der „normale“ Mitarbeiter; dadurch ergibt sich eine hohe Attraktivität für Hacker. Unter Sicherheitsaspekten problematisch ist zudem, dass für die Management-Ebene oft „Sonderregeln“ mit Privilegien gelten. So werden von der IT Sicherheitsrichtlinien und -standards gelockert, um zum Beispiel das Login zu vereinfachen. Nicht zuletzt kommt erschwerend hinzu, dass Manager oft technisch weniger versiert sind und unter Zeitdruck eine Vielzahl von Informationen bearbeiten müssen – also auch nicht jede erhaltene E-Mail kritisch in Augenschein nehmen können.

Für die Ermittlung von möglichen Sicherheitsrisiken auf Führungsebene empfiehlt sich ein „Management Hack“. Nach entsprechender Abstimmung mit dem Auftraggeber – in der Regel mit dem CISO oder dem Leiter des IT-Betriebs – erfolgt die Analyse von potenziellen Sicherheitsrisiken durch gezielte Social-Engineering-Angriffe auf die Führungskräfte. Dabei wird untersucht, wie verantwortungsbewusst die Managementebene in Sachen Security Awareness und IT-Sicherheit ist. Im Anschluss werden konkrete Schwachstellen aufgezeigt und Maßnahmen wie etwa Security-Awareness-Schulungen empfohlen.

Der erste Schritt beim „Management Hack“ ist die internetbasierte Informationsgewinnung, wie es auch beim aktuellen Daten-Leak bei Politikern und Prominenten erfolgt ist, der überwiegend auf Doxing zurückzuführen ist. Auf dieser Basis werden in einem zweiten Schritt die potenziellen Schwachstellen und Angriffspunkte ermittelt, die sich zum Beispiel aus den Hobbys und Vorlieben der Zielperson ableiten lassen. In einen dritten Schritt erfolgt dann ein gezielter Social-Engineering-Angriff – unter anderem durch Nutzung von Social-Engineering-Techniken wie Phishing und personalisiertem Spear-Phishing in Kombination mit Malware- oder Brute-Force-Angriffen auf Passwörter.

Simulation eines Social-Engineering-Angriffs:

  • Aufbau einer Phishing-Webseite, die eine Kunden- oder eine dem Kunden bekannte Webseite simuliert
  • Gestaltung einer Phishing-Mail, die auf die Phishing-Webseite leitet
  • Versand der Phishing-Mails an das Management
  • Das Öffnen der Mail durch die Zielperson eröffnet Möglichkeit,         grundlegenden Systeminformationen wie     beispielsweise         Login-Daten abzufangen

Simulation einer Malware-Attacke:

  • Entwicklung einer „gutartigen“ Software (Test-Malware)
  • Gestaltung einer professionellen Business-E-Mail mit enthaltener
  • Test-Malware oder mit Link zur Test-Malware
  • Versand der Phishing-E-Mail an eine zuvor definierte Managementgruppe oder eine einzelne Zielperson
  • Bei Öffnung der Phishing-Mail durch die Zielperson erfolgt Installation von Test-Malware mit der Möglichkeit zur Durchführung schadhafter Aktionen

Die Ergebnisse solcher „Management Hack“-Projekte sind teilweise erschreckend. So war vielfach in nur wenigen Minuten ein Zugriff auf unternehmenskritische Systeme und Daten möglich, zum Beispiel auf Business-Pläne, M&A-Szenarien, Warenwirtschaftssysteme, Domain-Controller, User-Namen oder Passwörter. Auch administrative Zugangsdaten konnten ermittelt werden. Die damit verbundenen Gefahren für ein Unternehmen liegen auf der Hand: So kann sich ein Angreifer mit Administratorrechten frei im Netzwerk bewegen und oft für lange Zeit unbemerkt auf kritische Informationen zugreifen. Bei den von NTT Security bisher durchgeführten Management Hacks lag die „Erfolgsquote“ im Durchschnitt bei fast 70 Prozent.

Rahmenbedingungen schaffen
Simulierte Social-Engineering- und Malware-Attacken sind auf jeden Fall eine gute Basis, um das Sicherheitsbewusstsein auf Unternehmensseite zu erhöhen. In einem nächsten Schritt muss dann die Etablierung einer neuen Sicherheitsstrategie und -kultur im gesamten Unternehmen in Angriff genommen werden. Eines darf dabei allerdings auch nicht unterschlagen werden: Der Aufbau einer Security-Awareness-Kultur allein führt noch nicht zur Datensicherheit. Parallel dazu müssen auch entsprechende Budgets zur Implementierung der technischen IT-Sicherheit bereitgestellt werden – und auch an diesem Punkt liegt bei vielen Unternehmen noch einiges im Argen.

David Wollmann ist Executive Consultant bei NTT Security

Anbieter zum Thema

Rittal GmbH & Co. KG
Securepoint GmbH
Panduit
G DATA CyberDefense AG
Zyxel Networks A/S
Matchmaker+
zu Matchmaker+
  1. Die unterschätzte Gefahr
  2. Management Hack ermittelt Sicherheitsrisiko der Chefetage

Lesen Sie mehr zum Thema

NTT Com Security (Germany) GmbH connect professional Viren-/Malware-Schutz Sicherheit
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu NTT Com Security (Germany) GmbH

5G-Mobilfunknetz am Beispiel RWTH Aachen

„Ein Private-5G-Projekt ist immer Neuland“

Smart Office für New Work

Inklusives hybrides Arbeiten braucht passende Technologien

Modern Workplace

„Quantentechnologien per se sind kein Allheilmittel“

Personalie

Alexandra Hiendlmeier zur Geschäftsführerin von NTT Data ernannt

Geringerer Stromverbrauch

Energiefressern einen Riegel vorschieben

Weitere Artikel zu connect professional

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Hybride Arbeitswelt

Meetingraum-Systeme as a Service

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Matchmaker+
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
Plusnet GmbH

Plusnet GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
elektrofachkraft.de

elektrofachkraft.de
d.velop AG

d.velop AG
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH