An vielen anderen Stellen weist das Bundesamt für Sicherheit in der Informationssicherheit (BSI) zu Recht darauf hin, dass das Thema Cybersicherheit nicht allein Computersysteme, Netzwerke etc. betrifft. Eine immer größere Bedeutung nimmt der „Faktor Mensch“, also die Nutzerinnern und Nutzer der Technologien, ein. Insbesondere beim sogenannten Social Engineering nutzen Täter dieses vermeintlich schwächste Glied in der Verteidigungskette gezielt aus. In seinem aktuellen Lagebericht zur IT-Sicherheit in Deutschland 2022 weist das BSI explizit darauf hin, dass der Faktor „Mensch“ wie z.B. in den Fällen des Social Engineering immer bedeutsamer wird. Anwendungsfälle liegen insbesondere im Bereich der Betrugs-E-Mails. Hierbei nehmen Phishing-E-Mails laut Angaben des BSI mit rund 90 Prozent den größten Anteil ein. Social Engineering ist längst eine feste Begrifflichkeit im Bereich der Cybersicherheit aber auch des Datenschutzrechts. Im Datenschutzrecht bestehen insbesondere mit Blick auf die Sicherheit der Verarbeitung nach Art. 32 DS-GVO sowie hinsichtlich möglicher durch Social Engineering ausgelöster Datenschutzverletzungen bestehende Melde- und Benachrichtigungspflichten nach Art. 33 und Art. 34 DS-GVO entsprechende Anknüpfungspunkte. Doch was verstehen wir eigentlich unter Social Engineering und warum geht hiervon eine solche Gefahr aus? Diese und weitere Fragen soll der nachstehende Beitrag näher beleuchten.
Was verstehen wir unter Social Engineering?
Das BSI beschreibt in seinem Lagebericht Social Engineering wie folgt:
„Bei Cyber-Angriffen durch Social Engineering versuchen Kriminelle, ihre Opfer dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadprogramme auf ihren Systemen zu installieren. Sowohl im Bereich der Cyber-Kriminalität als auch bei der Spionage gehen die Angreifer geschickt vor, um vermeintliche menschliche Schwächen wie Neugier oder Angst auszunutzen und so Zugriff auf sensible Daten und Informationen zu erhalten.“
An anderer Stelle wird Social Engineering als „gezielte Nutzung psychologischer Manipulationstechniken aufgefasst, um jemanden zu Handlungen zu bewegen, die nicht seiner Einstellung entsprechen.“ Im bildlichen Vergleich gesprochen erscheint Social Engineering dem Schachspiel sehr ähnlich, mit dem Unterschied, dass beim Social Engineering die Figur selbst ihren Zug ausführt. Zusammenfassend lässt sich festhalten, dass Social Engineering Angriffsmethoden beschreibt, welche zusätzlich eine soziale Komponente nutzen, um die Opfer dazu zu verleiten, durch den Angreifer gewollte Handlungen durchzuführen. Ausgenutzt werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren.
Wie funktioniert Social Engineering?
Wie in dem Papier der Risworkers zutreffend aufgeworfen wird, stellt Social Engineering per se keine Neuheit dar, denn Manipulationen werden vorgenommen, seit es Geheimnisse gibt, die andere erfahren wollen. Neu in diesem Zusammenhang ist jedoch die Effizienz und Zielgenauigkeit des Vorgehens durch Nutzung elektronischer Kommunikationswege. Social Engineering kann in verschiedenen Konstellationen auftreten wie beispielsweise zum Erhalt gesicherter Informationen wie Passwörtern und Zugangskennungen, um Zugang zu gesicherten IT-Netzwerken zu erhalten oder bei wirtschaftskriminellen Handlungen wie „man-in-the-middle-Angriffen“, Bankdaten- & Überweisungsbetrug und bei Wirtschaftsspionage.
Die wohl bekannteste Variante des Social Engineerings sind die sogenannten Phishing-E-Mails. Phishing-E-Mails zielen darauf ab, das Opfer mittels Social-Engineering-Methoden zur Preisgabe von Identitäts- oder Authentifizierungsdaten zu bewegen. Der Begriff Phishing setzt sich aus den englischen Wortbestandteilen „Password“ und „Fishing“ zusammen, das heißt der Angreifer versucht zum Beispiel durch geschickte Formulierungen das Opfer zur Preisgabe von Nutzer- bzw. Zugangsdaten zu bewegen. Dem Nutzer wird regelmäßig suggeriert, dass der Inhalt der E-Mail oder deren Anhang bzw. Verlinkung eine hohe Relevanz habe und deshalb geöffnet werden müsse. Gängige Methode stellt das Verstecken von Schadprogrammen hinter Download-Links dar, welche mittels E-Mail, Social-Media oder Webseiten verbreitet werden. Eine weitere beliebte Methode ist das Verschicken von elektronischen Rechnungen. In diesen sollen die manipulierten Dateien aufgrund ihrer Aufmachung den Anschein erwecken von einem vertrauenswürdigen Absender zu stammen, bspw. einem Vertrags- oder Geschäftspartner, einem Dienstleister oder Lieferanten. Das Problem mit dem Phising haben wir bereits in einem unserer früheren Beiträge thematisiert.
Eine weitere Variante des Social Engineering stellt der sogenannte CEO-Fraud dar. Als CEO-Fraud werden gezielte Social Engineering-Angriffe auf Beschäftigte von Unternehmen bezeichnet. Der Angreifer nutzt hierbei zuvor erbeutete Identitätsdaten (z. B. Telefonnummern, Passwörter, E-Mail-Adressen etc.), um sich als Vorstandsvorsitzender (CEO), Geschäftsführung o. Ä. auszugeben und Beschäftigte zur Auszahlung hoher Geldsummen oder zur Weitergabe vertraulicher oder sensitiver Informationen zu veranlassen.
Weitere Beispiele liegen in bekannten Vorgehensweisen wie dem angeblichen Anrufen des externen IT-Verantwortlichen oder des Admins, welcher zur angeblichen Behebung eines Systemfehlers oder Sicherheitsproblems das Passwort des Benutzers oder der Benutzerin benötigt, oder es werden in dem Telefonat unverfängliche Fragen, zum Beispiel nach Art und Version des verwendeten Internet-Browsers, Flash-Players und ähnlicher Standardanwendungen für die Exploits verfügbar sind, gestellt. Für die Opfer erscheinen die Fragen zuweilen belanglos. Beliebt sind ebenfalls angebliche Anrufe von Studenten, welche Daten für eine bestimmte Studie erheben. Ebenso stellen der USB-Drop (das gezielte Platzieren eines infizierten Speichermediums), das Dumpster Diving (das Durchsuchen des Papiermülls nach relevanten aber achtlos weggeworfenen und nicht geschredderten Dokumenten bzw. Informationen) sowie das Shoulder Surfing (das Mitlesen und Ausspähen von Bildschirminhalten über die Schulter des Opfers) klassische Varianten des Social Engineerings dar. Das zentrale Merkmal bei Social Engineering-Angriffen liegt stets in der Täuschung des Opfers über die Identität und die Absicht des Täters. Hierbei sind vor allem auch personalisierte Angriffe auf bestimmte Opfer denkbar.
Welche Auswirkungen hat das Social Engineering auf den Datenschutz?
Für die datenschutzrechtliche Komponente soll hierfür insbesondere der Blick auf den Eintritt möglicher Melde- und Benachrichtigungspflichten gemäß Art. 33 bzw. Art. 34 DS-GVO gelegt werden. Beide Normen knüpfen an das Vorliegen einer Verletzung des Schutzes personenbezogener Daten (kurz Datenschutzverletzung) gemäß Art. 4 Nr. 12 DS-GVO an. Dies ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
In den Fällen eines erfolgreichen Social Engineering-Angriffs, zum Beispiel durch Reaktion auf eine Phishing-E-Mail, durch Klick auf einen manipulierten Link oder durch Informationsweitergabe bei einem CEO-Fraud, ist in der Regel vom Vorliegen einer Datenschutzverletzung auszugehen. Der Europäische Datenschutzausschuss geht in seiner Richtlinie 01/2021 „on Examples regarding Personal Data Breach Notification“ in Fall Nr. 17 ebenfalls auf die Thematik des Social Engineerings ein. Die Folge des Angriffs ist ein Identitätsdiebstahl. Der EDSA stellt in diesem Fall dar, dass unter dem Risikoaspekt ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, da in der konkreten Fallgestaltung die abgeflossenen Abrechnungsdaten Aufschluss über das Privatleben der betroffenen Person geben können (zum Beispiel Gewohnheiten, Kontakte) und zudem ein materieller Schaden entstehen könnte (zum Beispiel Stalking, Gefährdung der körperlichen Integrität). Folglich sind sowohl eine Meldung an die Aufsichtsbehörde gemäß Art. 33 DS-GVO als auch eine Benachrichtigung der betroffenen Person durch den Verantwortlichen gemäß Art. 34 DS-GVO erforderlich. Dieser Fall zeigt mithin welche datenschutzrechtlichen Auswirkungen möglich sein können. Wobei im Folgenden noch mögliche Schadenersatzansprüche von betroffenen Personen gemäß Art. 82 DS-GVO die Folge sein können.
Fazit
Die Gefahr vor Social Engineering-Angriffen ist groß und zudem allgegenwärtig. Die Risiken für Institutionen bestehen insbesondere im Datenabfluss, in der Preisgabe vertraulicher Informationen oder Organisations-Knowhow, Reputationsfolgeschäden sowie möglichen finanziellen bzw. wirtschaftlichen Schäden. Der effektivste Schutz vor Social Engineering-Angriffen ist die Sensibilisierung. Insbesondere persönlicher Kontakt via E-Mail oder Telefon kann durch kritische Nachfragen ausgehebelt werden. Bei personalisierten E-Mails kann eine Überprüfung der Absenderadresse oder des enthaltenen Links möglicherweise Aufschluss geben. Im Zweifel sollten externe Links oder Anhänge nie geöffnet werden oder es muss eine Verifizierung beim tatsächlichen Absender erfolgen.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
