Social Engineering

Was ist Social Engineering?

Der Begriff Social Engineering beschreibt als Oberbegriff mehrere soziale Betrugs- und Manipulationstechniken. Gemeinsam ist diesen Methoden, dass sie auf die Schwachstelle des gutgl├Ąubigen Menschen abzielen. Social Engineering stellt eine alte Technik dar, die schon lange vor dem Informationszeitalter im Zusammenhang mit sensiblen Informationen Anwendung fand. In der IT sind insbesondere Unternehmen aufgrund ihrer wertvollen Daten ein Angriffsziel f├╝r Social-Engineering-Techniken. Hierzu stellen Methoden wie CEO-Fraud, Phishing oder Baiting nur einige bekannte Beispiele f├╝r Angriffe dar, mit denen Cyber-Kriminelle versuchen sich Zugriff auf Informationen zu verschaffen. Aufgrund des Charakters der Angriffe sto├čen Antiviren-Programme oder andere Softwarel├Âsungen an ihre Grenzen. Ein Bewusstsein f├╝r die Bedrohungslage sowie Mitarbeiter-Schulungen sind wichtige Voraussetzungen, um diese Form der Kriminalit├Ąt abzuwehren.

Definition und ├ťberblick zum Social Engineering

Als soziale Beeinflussungstechniken sind die Methoden des Social Engineerings auf den Faktor Mensch gerichtet. Die verschiedenen Formen des Betrugs finden sich sowohl im Online- als auch im Offline-Bereich. In der modernen Verwendung des Begriffs bezeichnet es verschiedene Formen der Cyber-Kriminalit├Ąt. Sowohl Privatanwender als auch und insbesondere Unternehmen sehen sich mit immer durchdachteren Methoden des Trickbetrugs konfrontiert. Als gemeinsamen Nenner haben diese Methoden, dass sie auf menschliche Willensschw├Ąche beziehungsweise auf die Gutgl├Ąubigkeit ahnungsloser Mitarbeiter setzen. Bekanntes Beispiel sind etwa Phishing-Mails, mit denen nahezu jeder private Internetnutzer bereits Kontakt hatte.

Problematik des Social Engineerings in Unternehmen

Geht es Angreifern jedoch um die Gewinnung wertvoller Unternehmensdaten, so kommen ausgefeilte Betrugstechniken zum Einsatz. Bei Methoden wie dem CEO Fraud bauen Social Engineers in mehreren Schritten Vertrauen auf. Sie nutzen zwischenmenschliche Gesch├Ąftsbeziehungen aus und verschaffen sich auf diese Weise Zugang an Informationen, die Mitarbeiter unter sonstigen Umst├Ąnden nicht herausgegeben h├Ątten. Aufgrund der Angreifbarkeit des Faktors Mensch existieren keine effektiven Schutz-Softwarel├Âsungen gegen Engineering-Techniken.

Betrugsziele des Social Engineering

In den Anfangstagen des Social Engineerings in der IT zielten Angreifer, beziehungsweise Hacker oftmals auf gr├Â├čere Telefonkonzerne oder Universit├Ąten. Dies ist vor dem Hintergrund zu verstehen, dass Internet-Verbindungen im Allgemeinen nur gering verbreitet oder sehr langsam waren. Ein Ziel der Hacker war es, an schnellere Verbindungen sowie eine gr├Â├čere Rechnerleistung zu gelangen. Zu diesem Zweck kamen Social Engineering Techniken zum Einsatz, um Mitarbeitern wichtige Daten zum Zugang zu diesen Kapazit├Ąten zu entlocken. Heute zielen Angreifer bevorzugt auf Daten und Informationen die sich verkaufen lassen. Dazu z├Ąhlen beispielsweise Kreditkartendaten, Zugangsdaten zu Accounts oder sensible Unternehmensinformationen wie etwa Patente.

Grunds├Ątzlich sind s├Ąmtliche Daten f├╝r Angreifer interessant, die sie auf dem Schwarzmarkt ver├Ąu├čern k├Ânnen. Menschliches Ziel sind in erster Linie Mitarbeiter, die h├Ąufig Kontakt zu Anrufern haben und f├╝r die es eine Selbstverst├Ąndlichkeit ist, Fragen zu beantworten. Support-Mitarbeiter (insbesondere First-Level-Support) sind daher besonders beliebte Ziele. Sie haben meist gleicherma├čen hinreichende Informationen und Befugnisse, um einem Hacker den Zugriff zu den gew├╝nschten Daten zu gew├Ąhren. Bereits die Offenlegung bestimmter Adressen oder Rufnummern gen├╝gt. Auch Informationen ├╝ber die in der Firma zum Einsatz kommende Schutz-Software sind f├╝r Social Engineers interessant.

Social-Engineering-Techniken und Beispiele

Eine bekannte aber sehr wandlungsf├Ąhige Form des Social Engineerings ist das Phishing. Eine verbreitete Form dieser noch immer erfolgreichen Technik sind Phishing-Mails. In diesen versuchen Cyber-Angreifer mit verschiedenen Methoden, Anwendern und Mitarbeitern Informationen zu entlocken. Als soziale Manipulationstechniken kommen hier h├Ąufig Dringlichkeit und Angst zum Einsatz. Um etwa an Online-Banking-Informationen zu gelangen, behaupten Angreifer gerne, es bestehe dringender Handlungsbedarf. Gleichzeitig verlangen sie entsprechende Log-in-Daten. Auch andere Account-Daten k├Ânnen f├╝r Angreifer interessant sein und aus diesem Grunde eingefordert werden. Hierbei schl├╝pfen Angreifer gerne in die Rolle des Chefs oder eines Mitarbeiters, um an Hilfsbereitschaft oder Gehorsam der Opfer zu appellieren.

K├Âder (Baiting)

Die Baiting-Technik im Social Engineering setzt auf K├Âder. Hier zielen Angreifer auf die Neugier des Menschen ab. Diese wird ausgenutzt, um Zugang zu Daten zu erhalten oder Schadsoftware zu installieren. Eine typische Vorgehensweise des Baitings besteht darin, einen mit schadhafter Software infizierten Datentr├Ąger offen und gut sichtbar zu platzieren. Angreifer k├Ânnen etwa Festplatten, USB-Sticks oder DVDs an ├Âffentlichen Stellen in Firmen zur├╝cklassen. Auch die Herausgabe solcher Medien als vermeintliche Werbegeschenke ist beliebt. Findet ein neugieriger Mitarbeiter einen solchen Datentr├Ąger und schlie├čt ihn an oder liest ihn aus, kann die Malware das verwendete Ger├Ąt infizieren.

CEO-Fraud

Der CEO-Fraud erinnert an eine alte Social-Engineering-Technik au├čerhalb der IT, den sogenannten Enkel-Trick. Ein angeblicher Enkel oder anderer Verwandter wendet sich an gutgl├Ąubige Senioren, um sie beispielsweise durch das Vort├Ąuschen einer Notlage zu einer Geld├╝berweisung zu veranlassen. Ganz ├Ąhnlich t├Ąuschen Cyber-Angreifer beim CEO-Fraud eine falsche Identit├Ąt vor. Sie geben sich etwa als Gesch├Ąftsf├╝hrer, Vorstand oder sonstiger Vorgesetzter aus, indem sie deren Identit├Ąt annehmen (beispielsweise durch gef├Ąlschte E-Mail-Adressen oder in Telefonaten). Auf diese Weise entsteht ein Vertrauensverh├Ąltnis gegen├╝ber Mitarbeitern. Hat sich ein Angreifer in diese Rolle begeben, versucht er, Mitarbeiter zur Herausgabe sensibler Informationen zu veranlassen oder andere Handlungen auszuf├╝hren. Dies reicht bis zur T├Ątigung von ├ťberweisungen h├Âherer Summen.

Sch├Ąden durch Social Engineering

Die j├Ąhrlichen Sch├Ąden, die durch Social Engineering entstehen, sind enorm. Gem├Ą├č einer Erhebung des IT-Branchenverbands Bitkom aus dem Jahr 2017 entstehen alleine in Deutschland pro Jahr Sch├Ąden in H├Âhe von 55 Milliarden Euro infolge von Datendiebstahl oder Spionage. Der Branchenverband rechnet mit weiter steigenden Schadenssummen, da die Angriffsart an Bedeutung gewinnt. Das FBI gibt f├╝r die USA einen Schaden in H├Âhe von 2,3 Milliarden Euro im Jahr 2016 an, der alleine durch die Methode des CEO-Fraud entstanden ist. Dabei erfordert diese aufwendige Technik ein hohes Hintergrundwissen ├╝ber Unternehmen und Personalstruktur von den Angreifern. Diese m├╝ssen die richtigen Ansprechpartner finden. Geht es etwa darum, Geld├╝berweisungen zu veranlassen, m├╝ssen sie wissen, welcher Mitarbeiter in der Abteilung f├╝r Finanzen und Buchhaltung hierf├╝r verantwortlich ist.

Pr├Ąvention von Social Engineering

Der Bedrohungslage ist nur durch ein ausgepr├Ągtes Gefahrenbewusstsein entgegenzuwirken. Haupt-Einfallstor ist der ahnungslose Mensch. Daher existiert keine Sicherheits-Software, die zuverl├Ąssig vor Social Engineering sch├╝tzt. In Gro├čunternehmen ist es eine Herausforderung, die Gratwanderung zwischen gesundem Misstrauen und Effizienz der Arbeitsabl├Ąufe zu meistern. Ab einer bestimmten Unternehmensgr├Â├če kennen nicht mehr s├Ąmtliche Mitarbeiter einander. Geht es um die Weitergabe sensibler Informationen, ist es daher wichtig, bei jedem Kontakt die exakte Identit├Ąt des anderen zu erfragen. Im Falle von telefonischen Anfragen nach wertvollen Informationen ist es ratsam, stets R├╝ckrufe zu vereinbaren und die Anrufer zwischenzeitlich zu identifizieren. Auch bei Online-Kommunikationsmedien ist die Identit├Ąt des Absenders genau zu pr├╝fen.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte