Was ist Social Engineering und wie kann man sich schützen?

by | Dez 30, 2022 | Lexikon

Was ist Social Engineering

Social Engineering ist eine Form der Cyberkriminalität, bei der Angreifer menschliche Schwächen ausnutzen, um sensible Informationen zu stehlen, Systeme zu kompromittieren oder illegale Handlungen durchzuführen. Anstatt sich auf technische Schwachstellen zu konzentrieren, manipulieren Social Engineers Menschen durch Täuschung, Vertrauen und psychologische Tricks. Wir zeigen Ihnen, wie Social Engineering funktioniert und abläuft. Außerdem geben wir Hinweise, wie Sie sich bzw.  Ihr Unternehmen schützen können.

 

Häufige Methoden des Social Engineering

Hier sind einige der häufigsten Methoden des Social Engineering kurz skizziert:

  1. Phishing:
    • E-Mails: Gefälschte E-Mails, die legitime Quellen nachahmen, um Benutzer zur Preisgabe sensibler Informationen zu verleiten. Das klassische Beispiel für Phishing-Angriffe ist das vorgebliche Absetzen einer email vom Chef oder einem IT-Mitarbeiter, die den Mitarbeiter (unter Zeitdruck) auffordert, eine Information herauszugeben.
    • Spear-Phishing: Zielgerichtete Angriffe auf spezifische Personen oder Organisationen, oft mit personalisierten Inhalten.
  2. Vishing:
    • Telefonbetrug: Anrufe, bei denen sich der Angreifer als vertrauenswürdige Person ausgibt, um sensible Informationen zu erlangen.
  3. Pretexting:
    • Vorwände: Der Angreifer erfindet eine fiktive Geschichte oder Identität, um Informationen zu erlangen oder Zugang zu erhalten.
  4. Baiting:
    • Köder: Verlockungen wie gefälschte Software oder infizierte USB-Sticks, die Nutzer dazu bringen, schädliche Dateien herunterzuladen oder zu verwenden.
  5. Tailgating/Piggybacking:
    • Physisches Eindringen: Der Angreifer folgt einem autorisierten Benutzer in gesicherte Bereiche, indem er beispielsweise eine Tür aufhält.

Beispiele für Social Engineering Angriffe

Die meisten Menschen haben Erfahrung mit Phishing-Emails. Falls Sie bisher noch nicht viele solche Phishing-Versuche erlebt haben, finden Sie hier drei Beispiele für Social Engineering Angriffe.

 

1. Phishing-Angriff per E-Mail

Ein klassisches Beispiel für einen Social Engineering Angriff ist eine Phishing-E-Mail, die darauf abzielt, Benutzer dazu zu bringen, sensible Informationen preiszugeben oder auf einen bösartigen Link zu klicken.

Beispiel einer Phishing-E-Mail:

Von: support@onlinebank.com Betreff: Dringende Sicherheitsbenachrichtigung

Sehr geehrter Kunde,

Wir haben verdächtige Aktivitäten auf Ihrem Konto festgestellt. Um Ihr Konto zu schützen, müssen Sie Ihre Identität bestätigen. Bitte klicken Sie auf den folgenden Link und melden Sie sich an, um Ihre Informationen zu überprüfen:

[Gefälschter Link]

Wenn Sie innerhalb der nächsten 24 Stunden keine Maßnahmen ergreifen, wird Ihr Konto aus Sicherheitsgründen gesperrt.

Mit freundlichen Grüßen, Ihr Online-Banking-Team

 

2. Vishing-Angriff (Voice Phishing)

Ein Vishing-Angriff nutzt das Telefon, um Benutzer zur Preisgabe sensibler Informationen zu verleiten. Ein Angreifer gibt sich zum Beispiel als Bankmitarbeiter aus und informiert das Opfer über ein angebliches Problem mit seinem Konto.

Beispiel:

Der Angreifer ruft das Opfer an und behauptet, er sei von der Sicherheitsabteilung der Bank. Er teilt dem Opfer mit, dass ungewöhnliche Aktivitäten auf dem Konto festgestellt wurden und bittet das Opfer, die Kontonummer und das Passwort zu bestätigen, um den Zugang zu sichern. Der Angreifer nutzt dabei eine gefälschte Telefonnummer, die der echten Nummer der Bank ähnlich sieht.

3. Pretexting-Angriff

Beim Pretexting erfindet der Angreifer eine fiktive Identität und Geschichte, um das Vertrauen des Opfers zu gewinnen und sensible Informationen zu erlangen. Dies kann sowohl per Telefon als auch per E-Mail oder persönlich geschehen.

Beispiel:

Ein Angreifer ruft ein Unternehmen an und gibt sich als IT-Support-Mitarbeiter aus. Er erklärt dem Mitarbeiter, dass es ein Problem mit dem Netzwerk gibt und er sofortigen Zugriff auf den Computer des Mitarbeiters benötigt, um das Problem zu beheben. Der Angreifer bittet den Mitarbeiter, ihm das Passwort für den Computer zu geben, damit er remote auf das System zugreifen kann.

Diese Beispiele zeigen, wie Social Engineering-Angriffe auf menschliche Schwächen und Vertrauen abzielen, um an sensible Informationen zu gelangen. Es ist wichtig, stets wachsam zu sein und verdächtige Anfragen zu überprüfen, um sich vor solchen Angriffen zu schützen.

 

Schutzmaßnahmen gegen Social Engineering

Um sich gegen Social Engineering zu schützen, sollten Unternehmen verschiedene Maßnahmen ergreifen. Sensibilisierung und Schulung sind dabei essenziell. Mitarbeiter sollten regelmäßig über die Gefahren des Social Engineering und die neuesten Methoden informiert werden. Phishing-Simulationen sind eine effektive Methode, um Mitarbeiter in einer sicheren Umgebung zu schulen, wie sie Phishing-Versuche erkennen und darauf reagieren können. Strikte Sicherheitsrichtlinien sind ebenfalls wichtig. Dazu gehören die Verwendung starker, einzigartiger Passwörter und deren regelmäßige Änderung sowie die Implementierung einer mehrstufigen Authentifizierung (MFA) als zusätzliche Sicherheitsebene bei der Anmeldung. Bei der Weitergabe von Informationen ist Vorsicht geboten. Unbekannte Anrufer oder E-Mail-Absender sollten stets überprüft werden, bevor Informationen preisgegeben werden. Zudem sollten sensible Informationen nur an autorisierte Personen und nur im erforderlichen Umfang weitergegeben werden.

Technologische Maßnahmen können ebenfalls helfen, Angriffe zu verhindern und die IT Sicherheit zu verbessern (Lesen Sie bei Interesse auch unseren Beitrag zum Thema: Wichtige Begriffe der IT Sicherheit). E-Mail-Sicherheitslösungen wie Spam-Filter und Anti-Phishing-Technologien können viele bösartige E-Mails abfangen. Regelmäßige Updates und Patches für Betriebssysteme und Software schließen Sicherheitslücken und verbessern den Schutz.

Der physische Zugang zu sensiblen Unternehmensbereichen sollte kontrolliert werden. Der Einsatz von Zugangskarten, biometrischen Scannern oder anderen Zugangskontrollsystemen verhindert unbefugten Zugang. Mitarbeiter sollten zudem sensibilisiert werden, verdächtiges Verhalten zu melden und sicherzustellen, dass niemand ohne Berechtigung Zugang erhält. Schließlich sind Reaktionspläne notwendig. Unternehmen sollten klare Protokolle und Notfallpläne haben, um schnell auf Social-Engineering-Angriffe reagieren zu können. Spezialisierte Incident Response Teams, die geschult sind, um auf Sicherheitsvorfälle zu reagieren und den Schaden zu minimieren, sind dabei von großem Vorteil.

 

Fazit

Social Engineering nutzt das Vertrauen und die Unachtsamkeit von Menschen aus, um Informationen zu stehlen oder Systeme zu kompromittieren. Durch umfassende Sensibilisierung, strikte Sicherheitsrichtlinien und den Einsatz moderner Technologien können Unternehmen und Einzelpersonen ihre Widerstandsfähigkeit gegenüber diesen Angriffen deutlich erhöhen und die IT Sicherheit verbessern. Regelmäßige Schulungen und eine Kultur der Wachsamkeit sind entscheidend, um die Bedrohung durch Social Engineering zu minimieren.

IT Sicherheit ist eine wichtige Aufgabe und sie steht und fällt mit der Qualifikation Ihrer Mitarbeiter. Sparen Sie dabei nicht am falschen Ende.

Jens

Jens

Dr. Jens Bölscher ist studierter Betriebswirt mit Schwerpunkt Wirtschaftsinformatik. Er promovierte im Jahr 2000 zum Thema Electronic Commerce in der Versicherungswirtschaft und hat zahlreiche Bücher und Fachbeiträge veröffentlicht. Er war langjährig in verschiedenen Positionen tätig, zuletzt 14 Jahre als Geschäftsführer. Seine besonderen Interessen sind Innovationen im IT Bereich.