Wenn Höflichkeit zur Falle wird

Social Engineering kennt immer neue Tricks!

Der Paketbote hinter mir balanciert mit seiner Fracht, ich halte ihm bereitwillig, mit anerzogener Höflichkeit die Tür. Was sich erst viel später (wenn überhaupt) herausstellt: Ich bin in eine Falle getappt; Opfer eines Social-Engineering-Angriffs geworden.

Social Engineering bleibt die am weitesten verbreitete Angriffstechnik, dies wird unmissverständlich im Lagebericht 2021 der Agentur der Europäischen Union für Cybersicherheit, ENISA, festgestellt. Und in seinem Jahresbericht zur IT-Sicherheit in Deutschland betont das Bundesamt für Sicherheit in der Informationstechnik (BSI), Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gelten „aktuell als größte Bedrohung im Cyber-Bereich.“ Dabei stellen, so das BSI, Technische Sicherheitslücken nur einen Teil der Risiken beim Internetsurfen dar. „Wo Cyber-Kriminelle dank aktueller Software und Systeme, Firewalls und Virenscannern nicht weiterkommen, versuchen sie Anwenderinnen und Anwender auf andere Weise zur Installation von Schadsoftware oder Herausgabe sensibler Daten zu bewegen“, so das Bundesamt. Zugleich muss das BSI konstatieren, dass im Jahr 2021 „über 20.000 Schwachstellen in Software-Produkten registriert“ wurden. Das entspreche einem Zuwachs von zehn Prozent gegenüber dem Vorjahr.

Die größten Bedrohungen weltweit

Diese Gefahr will ENISA mit einer Kampagne unter dem Motto „Think Before U Click“, #ThinkB4UClick, ins Bewusstsein rücken. Auch die Internationale Polizeibehörde Interpol richtet ihren Blick auf Verbrechen via Internet. Cyberattacken mit Ransomware und Phishing sowie Onlinebetrug sind nach Interpol-Erkenntnis in der ganzen Welt derzeit die größten Bedrohungen. Lediglich die Gefahr durch Geldwäsche wird von der im französischen Lyon ansässigen internationalen Polizeibehörde als noch höher eingestuft. Das ist das Ergebnis des ersten Berichts zu globalen Kriminalitätstrends (Global Crime Trend Report) der Polizeibehörde, die diese veröffentlicht hat.

Die Cyberangreifer erweisen sich als sehr flexibel und verstehen es, sich veränderten gesellschaftlichen Ereignissen schnell anzupassen und diese für ihre Ziele zu nutzen. COVID-19 habe, so ENISA, „Möglichkeiten für gezielte Ransomware-Angriffe“ geschaffen, „da die potenzielle Störung der Organisationen des Gesundheitswesens während der Pandemie vielfältige Auswirkungen“ hat. So verwundert es auch nicht, dass die Zahl der Ransomware-Angriffe auf das Gesundheitswesen weltweit um 94 Prozent angestiegen sind. Dies lässt sich der im Mai veröffentlichten Branchenanalyse „The State of Ransomware in Healthcare 2022“ des im britischen Abingdon ansässigen Softwareunternehmens Sophos entnehmen.

Vorfälle im Gesundheitswesen fast verdoppelt

War das Gesundheitswesen im Jahr 2020 noch zu 34 Prozent betroffen, lag der Wert 2021 bei 66 Prozent. Das Gesundheitswesen wird am ehesten das Lösegeld zahlen und rangiert mit 61 Prozent der Organisationen, die das Lösegeld zahlen, um verschlüsselte Daten zurückzubekommen, an erster Stelle, verglichen mit dem weltweiten Durchschnitt von 46 Prozent die das Lösegeld im Jahr 2020 gezahlt haben. Im Gesundheitswesen finden die Cybergangster eine ideale Angriffsfläche für ihr zweites „Standbein“, das Social Engineering.

Hier soll ein Beispiel herausgegriffen werden, bei der Höflichkeit missbraucht wird. Die Methode heißt Tailgating, manchmal auch als piggybacking (Huckepack) bezeichnet. Tailgating, das im amerikanischen englisch „zu dichtes Auffahren im Straßenverkehr“ beschreibt, gehört zu der Art der physischen Sicherheitsverletzungen, bei der eine unbefugte Person einer autorisierten Person „auf dem Fuße“ folgt, um gesicherte Räumlichkeiten zu betreten.

Tailgating gilt als eine der einfachen, wenngleich höchst effektiven Formen des Social-Engineering-Angriffs. Gemeint ist die Möglichkeit für einen Unbefugten, als sicher eingestufte, Sicherheitsmechanismen zu umgehen. Die Sicherheit wird durch eine Kombination aus menschlicher Nachlässigkeit – die in der falsch verstandenen Höflichkeit besteht – und der Raffinesse des Eindringlings ausgehebelt. Die Krux des Angriffs besteht darin, dass eine befugte Person beim Betreten eines sensiblen Bereichs einer ihr folgenden Person (aus Höflichkeit) die Tür aufhält. Dabei kann das Outfit des Angreifers eine Rolle spielen, egal ob er sich als Paketbote oder Klinikmitarbeiter verkleidet. Auf diese einfache Weise kann ein Angreifer auch ohne besondere und schwierige Kontaktaufnahme zu einem Beschäftigten an sein Ziel – zum Beispiel, das Erbeuten wichtiger Daten oder anderer Unternehmensunterlagen – gelangen. Im Gesundheitswesen können Patientendaten für Cyberkriminelle auch für einen größeren Angriff an ganz anderer Stelle von Interesse sein. 43 Prozent der Verstöße werden von Insidern verursacht, die ihre Befugnisse missbrauchen, um Geschäftsdaten in böswilliger Absicht zu stehlen.

Auch andere Szenarien, bei denen menschliche Notlagen und die Organisation von Hilfe als Angriffspunkt für Cyberattacken genutzt werden, sind bekannt. Beispielsweise können Naturkatastrophen die Bühne für Cyberangriffe bereiten, wie das Technologieberatungsunternehmen Amaxra mit Sitz in Redmond (US-Bundesstaat Washington) warnt. Die Vorsicht vor Tailgaiting sollte unbedingt zur Mitarbeiterschulung gehören.