Über Social Hacking versuchen Cyberkriminelle sich Zugang zu Bereichen zu verschaffen, die durch Technologien wie Firewalls gut geschützt sind. Dafür gehen sie den Weg über den Menschen. Wie das funktioniert und wie Sie Ihr Unternehmen dagegen schützen können, erfahren Sie in diesem Artikel.
Was ist Social Hacking?
Die Methode geht aus dem sogenannten Social Engineering hervor. Dabei versuchen Hacker jemanden so zu manipulieren, dass er etwas tut, das der Hacker von ihm will. Sie kennen das zum Beispiel in simpler Form von Spam-Mails, die sie dazu verleiten sollen, auf einen gefährlichen Link zu klicken.
Die erweiterte Form davon – das Hacking – zielt darauf ab, sich über diese Methode Zugang zu einem Netzwerk oder einem Computersystem zu verschaffen. Das funktioniert über unbedachte Mitarbeiter, die sich manipulieren lassen.
Das funktioniert in erster Linie über bestimmte Eigenschaften wie Vertrauen oder Neugierde. Gepaart ist das meistens mit ein wenig Fahrlässigkeit.
Ein Beispiel wäre, wenn ein Hacker sich über soziale Netzwerke Informationen zu einem Unternehmen verschafft und sich dann bei einem IT-Mitarbeiter als Administrator ausgibt. Die zuvor recherchierten Informationen nutzt der Hacker, um glaubwürdig zu sein und den Mitarbeiter zu überzeugen. Zum Beispiel erzählt er zuerst einmal von laufenden Projekten im Unternehmen und nennt vielleicht auch ein oder zwei Namen von Angestellten, die er auf der Unternehmenswebsite recherchiert hat. Nachdem der Hacker so das Vertrauen des Mitarbeiters gewonnen hat, fragt er nach Anmeldedaten für ein Netzwerk, die er angeblich braucht. Der fahrlässige IT-Mitarbeiter gibt die Anmeldedaten raus und dem Hacker steht der Zugang zum Netzwerk offen, wo er allerhand Schaden anrichten kann.
Hilfe durch Aufmerksamkeit der Angestellten
Gegen die Fahrlässigkeit von Menschen gibt es keine Technologie. Deshalb ist der einzige Schutz gegen Social Hacking das Bewusstsein der Mitarbeiter dafür zu schulen, vorsichtig mit den Daten umzugehen.
Die wichtigsten Tipps für Sie und Ihre Angestellten, um Social Engineering und somit auch Hacking zu verhindern, sind diese:
- Niemals einfach Informationen weitergeben: Anmeldedaten und andere wichtige Informationen sollten nur hierarchisch weitergegeben werden. Ein Administrator bekommt also niemals Informationen von einem einfachen Mitarbeiter, sondern müsste sich an höhere Stellen wenden.
- Nichts anklicken, wenn die Quelle nicht sicher ist: Der fragwürdige Link in einer E-Mail ist nicht umsonst fragwürdig. Auf gar keinen Fall sollte etwas angeklickt oder geöffnet werden, wenn nicht klar ist, dass es aus einer sicheren Quelle stammt.
- Stärkung der Security Awareness: Zum Bewusstsein, nicht auf Social Hacking hereinzufallen, gehört vor allem, sich nicht „bequatschen“ zu lassen. Hacker sind hartnäckig und geben nicht auf, bis sie die gewünschten Informationen haben. Mitarbeiter müssen aber ebenfalls hartnäckig sein und niemals Informationen herausgeben, egal, wie sehr Druck ausgeübt wird.
- Verständnis für Berechtigungen: Schulen Sie Ihre Angestellten darauf, dass sie wissen, wer welche Berechtigungen hat. So entsteht gar nicht erst die Gefahr, dass Informationen an jemanden weitergegeben werden, der sich als jemand ohne Berechtigungen ausgibt.
- Infos nur persönlich weitergeben: Die Kontaktaufnahme findet meistens über E-Mail oder Telefon statt. Deshalb sollten grundsätzlich über diese Wege keine Informationen weitergegeben werden.
Der einzige Schutz ist also das Wissen darüber, dass Social Hacking existiert und klare Regeln aufzustellen, um es zu verhindern. Wichtig ist dabei, dass alle die Gefahr ernst nehmen und sich an die Regeln halten. Dann haben es Hacker schwer, ins System einzudringen.
