Social Engineering

Was ist Social Engineering?

Der Begriff Social Engineering beschreibt als Oberbegriff mehrere soziale Betrugs- und Manipulationstechniken. Gemeinsam ist diesen Methoden, dass sie auf die Schwachstelle des gutglĂ€ubigen Menschen abzielen. Social Engineering stellt eine alte Technik dar, die schon lange vor dem Informationszeitalter im Zusammenhang mit sensiblen Informationen Anwendung fand. In der IT sind insbesondere Unternehmen aufgrund ihrer wertvollen Daten ein Angriffsziel fĂŒr Social-Engineering-Techniken. Hierzu stellen Methoden wie CEO-Fraud, Phishing oder Baiting nur einige bekannte Beispiele fĂŒr Angriffe dar, mit denen Cyber-Kriminelle versuchen sich Zugriff auf Informationen zu verschaffen. Aufgrund des Charakters der Angriffe stoßen Antiviren-Programme oder andere Softwarelösungen an ihre Grenzen. Ein Bewusstsein fĂŒr die Bedrohungslage sowie Mitarbeiter-Schulungen sind wichtige Voraussetzungen, um diese Form der KriminalitĂ€t abzuwehren.

Definition und Überblick zum Social Engineering

Als soziale Beeinflussungstechniken sind die Methoden des Social Engineerings auf den Faktor Mensch gerichtet. Die verschiedenen Formen des Betrugs finden sich sowohl im Online- als auch im Offline-Bereich. In der modernen Verwendung des Begriffs bezeichnet es verschiedene Formen der Cyber-KriminalitÀt. Sowohl Privatanwender als auch und insbesondere Unternehmen sehen sich mit immer durchdachteren Methoden des Trickbetrugs konfrontiert. Als gemeinsamen Nenner haben diese Methoden, dass sie auf menschliche WillensschwÀche beziehungsweise auf die GutglÀubigkeit ahnungsloser Mitarbeiter setzen. Bekanntes Beispiel sind etwa Phishing-Mails, mit denen nahezu jeder private Internetnutzer bereits Kontakt hatte.

Problematik des Social Engineerings in Unternehmen

Geht es Angreifern jedoch um die Gewinnung wertvoller Unternehmensdaten, so kommen ausgefeilte Betrugstechniken zum Einsatz. Bei Methoden wie dem CEO Fraud bauen Social Engineers in mehreren Schritten Vertrauen auf. Sie nutzen zwischenmenschliche GeschÀftsbeziehungen aus und verschaffen sich auf diese Weise Zugang an Informationen, die Mitarbeiter unter sonstigen UmstÀnden nicht herausgegeben hÀtten. Aufgrund der Angreifbarkeit des Faktors Mensch existieren keine effektiven Schutz-Softwarelösungen gegen Engineering-Techniken.

Betrugsziele des Social Engineering

In den Anfangstagen des Social Engineerings in der IT zielten Angreifer, beziehungsweise Hacker oftmals auf grĂ¶ĂŸere Telefonkonzerne oder UniversitĂ€ten. Dies ist vor dem Hintergrund zu verstehen, dass Internet-Verbindungen im Allgemeinen nur gering verbreitet oder sehr langsam waren. Ein Ziel der Hacker war es, an schnellere Verbindungen sowie eine grĂ¶ĂŸere Rechnerleistung zu gelangen. Zu diesem Zweck kamen Social Engineering Techniken zum Einsatz, um Mitarbeitern wichtige Daten zum Zugang zu diesen KapazitĂ€ten zu entlocken. Heute zielen Angreifer bevorzugt auf Daten und Informationen die sich verkaufen lassen. Dazu zĂ€hlen beispielsweise Kreditkartendaten, Zugangsdaten zu Accounts oder sensible Unternehmensinformationen wie etwa Patente.

GrundsĂ€tzlich sind sĂ€mtliche Daten fĂŒr Angreifer interessant, die sie auf dem Schwarzmarkt verĂ€ußern können. Menschliches Ziel sind in erster Linie Mitarbeiter, die hĂ€ufig Kontakt zu Anrufern haben und fĂŒr die es eine SelbstverstĂ€ndlichkeit ist, Fragen zu beantworten. Support-Mitarbeiter (insbesondere First-Level-Support) sind daher besonders beliebte Ziele. Sie haben meist gleichermaßen hinreichende Informationen und Befugnisse, um einem Hacker den Zugriff zu den gewĂŒnschten Daten zu gewĂ€hren. Bereits die Offenlegung bestimmter Adressen oder Rufnummern genĂŒgt. Auch Informationen ĂŒber die in der Firma zum Einsatz kommende Schutz-Software sind fĂŒr Social Engineers interessant.

Social-Engineering-Techniken und Beispiele

Eine bekannte aber sehr wandlungsfĂ€hige Form des Social Engineerings ist das Phishing. Eine verbreitete Form dieser noch immer erfolgreichen Technik sind Phishing-Mails. In diesen versuchen Cyber-Angreifer mit verschiedenen Methoden, Anwendern und Mitarbeitern Informationen zu entlocken. Als soziale Manipulationstechniken kommen hier hĂ€ufig Dringlichkeit und Angst zum Einsatz. Um etwa an Online-Banking-Informationen zu gelangen, behaupten Angreifer gerne, es bestehe dringender Handlungsbedarf. Gleichzeitig verlangen sie entsprechende Log-in-Daten. Auch andere Account-Daten können fĂŒr Angreifer interessant sein und aus diesem Grunde eingefordert werden. Hierbei schlĂŒpfen Angreifer gerne in die Rolle des Chefs oder eines Mitarbeiters, um an Hilfsbereitschaft oder Gehorsam der Opfer zu appellieren.

Köder (Baiting)

Die Baiting-Technik im Social Engineering setzt auf Köder. Hier zielen Angreifer auf die Neugier des Menschen ab. Diese wird ausgenutzt, um Zugang zu Daten zu erhalten oder Schadsoftware zu installieren. Eine typische Vorgehensweise des Baitings besteht darin, einen mit schadhafter Software infizierten DatentrĂ€ger offen und gut sichtbar zu platzieren. Angreifer können etwa Festplatten, USB-Sticks oder DVDs an öffentlichen Stellen in Firmen zurĂŒcklassen. Auch die Herausgabe solcher Medien als vermeintliche Werbegeschenke ist beliebt. Findet ein neugieriger Mitarbeiter einen solchen DatentrĂ€ger und schließt ihn an oder liest ihn aus, kann die Malware das verwendete GerĂ€t infizieren.

CEO-Fraud

Der CEO-Fraud erinnert an eine alte Social-Engineering-Technik außerhalb der IT, den sogenannten Enkel-Trick. Ein angeblicher Enkel oder anderer Verwandter wendet sich an gutglĂ€ubige Senioren, um sie beispielsweise durch das VortĂ€uschen einer Notlage zu einer GeldĂŒberweisung zu veranlassen. Ganz Ă€hnlich tĂ€uschen Cyber-Angreifer beim CEO-Fraud eine falsche IdentitĂ€t vor. Sie geben sich etwa als GeschĂ€ftsfĂŒhrer, Vorstand oder sonstiger Vorgesetzter aus, indem sie deren IdentitĂ€t annehmen (beispielsweise durch gefĂ€lschte E-Mail-Adressen oder in Telefonaten). Auf diese Weise entsteht ein VertrauensverhĂ€ltnis gegenĂŒber Mitarbeitern. Hat sich ein Angreifer in diese Rolle begeben, versucht er, Mitarbeiter zur Herausgabe sensibler Informationen zu veranlassen oder andere Handlungen auszufĂŒhren. Dies reicht bis zur TĂ€tigung von Überweisungen höherer Summen.

SchÀden durch Social Engineering

Die jĂ€hrlichen SchĂ€den, die durch Social Engineering entstehen, sind enorm. GemĂ€ĂŸ einer Erhebung des IT-Branchenverbands Bitkom aus dem Jahr 2017 entstehen alleine in Deutschland pro Jahr SchĂ€den in Höhe von 55 Milliarden Euro infolge von Datendiebstahl oder Spionage. Der Branchenverband rechnet mit weiter steigenden Schadenssummen, da die Angriffsart an Bedeutung gewinnt. Das FBI gibt fĂŒr die USA einen Schaden in Höhe von 2,3 Milliarden Euro im Jahr 2016 an, der alleine durch die Methode des CEO-Fraud entstanden ist. Dabei erfordert diese aufwendige Technik ein hohes Hintergrundwissen ĂŒber Unternehmen und Personalstruktur von den Angreifern. Diese mĂŒssen die richtigen Ansprechpartner finden. Geht es etwa darum, GeldĂŒberweisungen zu veranlassen, mĂŒssen sie wissen, welcher Mitarbeiter in der Abteilung fĂŒr Finanzen und Buchhaltung hierfĂŒr verantwortlich ist.

PrÀvention von Social Engineering

Der Bedrohungslage ist nur durch ein ausgeprĂ€gtes Gefahrenbewusstsein entgegenzuwirken. Haupt-Einfallstor ist der ahnungslose Mensch. Daher existiert keine Sicherheits-Software, die zuverlĂ€ssig vor Social Engineering schĂŒtzt. In Großunternehmen ist es eine Herausforderung, die Gratwanderung zwischen gesundem Misstrauen und Effizienz der ArbeitsablĂ€ufe zu meistern. Ab einer bestimmten UnternehmensgrĂ¶ĂŸe kennen nicht mehr sĂ€mtliche Mitarbeiter einander. Geht es um die Weitergabe sensibler Informationen, ist es daher wichtig, bei jedem Kontakt die exakte IdentitĂ€t des anderen zu erfragen. Im Falle von telefonischen Anfragen nach wertvollen Informationen ist es ratsam, stets RĂŒckrufe zu vereinbaren und die Anrufer zwischenzeitlich zu identifizieren. Auch bei Online-Kommunikationsmedien ist die IdentitĂ€t des Absenders genau zu prĂŒfen.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte