Glossar

Social Engineering

Was ist Social Engineering?

Als Social Engineering wird die psychologische Manipulation von Menschen mit dem Ziel bezeichnet, Zugriff auf vertrauliche Daten oder Systeme zu erhalten. Es handelt sich um eine Form von Trickbetrug mit dem Ziel der Erschleichung von Informationen oder arglistigen Täuschung, um sich Zugriff auf ein System zu verschaffen. Angriffe mit Social-Engineering-Methoden werden zumeist telefonisch oder per E-Mail verübt und können dazu dienen, vertrauliche Informationen bzw. Daten von Mitarbeitern zu stehlen. In anderen Fällen von Social Engineering geben sich Kriminelle als Handwerker oder Techniker aus und verschaffen sich auf diese Weise physischen Zutritt zu den Räumlichkeiten eines Unternehmens.

Grundlagen des Social Engineering

Die gängigen Methoden, die bei Social-Engineering-Angriffen zum Einsatz kommen, sind keineswegs neu. Sie basieren auf verhaltenspsychologischen Grundprinzipien, die von den Angreifern ausgenutzt werden, um sich Zugang zu vertraulichen Daten zu verschaffen.

  • Reziprozität: Menschen neigen dazu, einen Gefallen zu erwidern. Wenn sich ein Angreifer beispielsweise in irgendeiner Weise großzügig oder rücksichtsvoll gibt, fühlt das Opfer sich möglicherweise genötigt, sich dafür erkenntlich zu zeigen, indem es ihm regelwidrigen Zugriff auf Daten gewährt oder andere Ausnahmen macht.
  • Verpflichtung: Die Bereitschaft, einer einmal eingegangenen Verpflichtung tatsächlich nachzukommen, ist bei vielen Menschen hoch, weil mit einer solchen Verpflichtung das Gefühl einhergeht, persönliche Verantwortung für ihre Erfüllung zu übernehmen. Daraus erklärt sich beispielsweise, warum Menschen bei Online-Auktionen oft Gebote abgeben, die weit über ihrem ursprünglichen Limit und über dem eigentlichen Wert des Artikels liegen.
  • Sozialer Einfluss: Menschen neigen dazu, das Verhalten anderer nachzuahmen. Deswegen steigert z. B. die Empfehlung einer prominenten Persönlichkeit den Wert eines Software-Produkts – unabhängig von seiner tatsächlichen Qualität – in der Wahrnehmung vieler Verbraucher.
  • Autorität: Menschen neigen dazu, Aufforderungen von Autoritätspersonen auch dann nachzukommen, wenn es ihrem sittlichen Empfinden eigentlich widerstrebt. Dieser Gehorsam wird bei Social-Engineering-Angriffen beispielsweise ausgenutzt, indem sich der Angreifer am Telefon als Kriminalbeamter ausgibt und das Opfer zur Preisgabe von Informationen auffordert.
  • Sympathie: Menschen lassen sich leicht von Personen beeinflussen, die ihnen sympathisch sind. Ein angenehmes Auftreten und ein paar freundliche Worte reichen oft schon, damit das Opfer bereit ist, für den Angreifer eine Ausnahme zu machen und ihm Zugriff auf vertrauliche Daten gewährt.

Social Engineering Methoden

Cyberkriminelle nutzen Social Engineering zur effektiven Umsetzung verschiedener Angriffsformen:

  • Phishing: Eine Technik zur Entwendung vertraulicher Daten durch Manipulation. Im typischen Fall sendet der Angreifer eine E-Mail, die angeblich von einem legitimen Unternehmen stammt. Darin wird das Opfer zur Authentifizierung vertraulicher Angaben aufgefordert, und es werden ihm Konsequenzen angedroht bei Nichtbefolgung der Aufforderung. Diese Drohung verleitet das Opfer zur Preisgabe vertraulicher Daten.
  • Watering-Hole-Angriffe: Als „Auflauern an der Wasserstelle“ wird eine gezielte Social-Engineering-Strategie bezeichnet, die das Vertrauen der Anwender in Websites ausnutzt, die sie regelmäßig besuchen. In einer vertrauten und als sicher empfundenen Umgebung rechnet das Opfer nicht mit Bedrohungen und lässt sich daher leicht in die Falle locken.
  • Quid pro quo: Ein Angreifer kontaktiert Mitarbeiter eines Unternehmens nach dem Zufallsprinzip und täuscht einen legitimen Grund für den Anruf vor. Früher oder später stößt er garantiert auf eine Person, die ein echtes Problem hat und die angebotene Hilfe dankbar annimmt. Der Angreifer versucht dann, das Opfer als Gegenleistung für die Unterstützung zur Preisgabe von vertraulichen Daten zu bewegen.

Tipps zur Abwehr von Social-Engineering-Angriffen

Unternehmen können sich durch eine Reihe von Maßnahmen vor schwerwiegenden Social-Engineering-Angriffen auf Mitarbeiter schützen:

  • Schaffung eines Standard-Vertrauensrahmens: Schaffung eines starken Vertrauensrahmens auf Mitarbeiter-/Personalebene durch Schulung des Personals im Umgang mit vertraulichen Daten.
  • Risikobewertung: Identifizierung vertraulicher Daten und Bewertung des Risikos durch Social-Engineering-Angriffe und Ausfälle in Sicherheitssystemen.
  • Sicherheitsprotokolle: Festlegen von Sicherheitsprotokollen, Richtlinien und Standardverfahren für den Umgang mit vertraulichen Daten. Mitarbeiterschulungen: Schulung der Mitarbeiter zur Anwendung der für ihre jeweilige Rolle relevanten Sicherheitsprotokolle.
  • Regelmäßige Tests: Genauso wichtig wie die Entwicklung eines Rahmenkonzepts ist die regelmäßige Überprüfung zur Gewährleistung seiner Wirksamkeit. Durch regelmäßige Tests im Rahmen kontrollierter Social-Engineering-Versuche lässt sich feststellen, inwieweit die Mitarbeiter die Lerninhalte verinnerlicht haben. Das Schulungsprogramm kann dann ggf. entsprechend angepasst werden.

Warum Social Engineering für Sie wichtig ist

Die menschlichen Systeme rund um die Technologie erweisen sich immer wieder als schwächstes Glied in der Sicherheitskette. Der sorgfältige Aufbau einer Schulungs- und Sicherheitsinfrastruktur kann einen wesentlichen Beitrag zum Schutz vor Cyberangriffen und den damit verbundenen Folgen leisten.

Social Engineering – weiterführende Ressourcen

Zugehörige Begriffe

Weiterführende Ressourcen

Wie Barracuda Sie unterstützen kann

Barracuda PhishLine ist das weltweit effektivste Tool für Schulungen und Simulationen zur Messung der Anfälligkeit für Phishing-E-Mails und Social-Engineering-Angriffe. Mit PhishLine schärfen Anwender ihre Kenntnisse und Kompetenzen in der Abwehr von Phishing-Angriffen durch Endanwender-Tests, Berichterstattung und umfassende Metriken. Aus einem potenziellen Sicherheitsrisiko – Ihren Mitarbeitern – wird so ein effektiver Schutzmechanismus.

Haben Sie weitere Fragen zum Social Engineering? Wir freuen uns auf Ihre Nachricht!