Was ist Social Engineering? Definition, Beispiele & Schutz

Social Engineering ist eine Betrugs- oder Manipulationsmethode, bei der Menschen durch gezielte Täuschung, Irreführung oder Überredung dazu gebracht werden, vertrauliche Informationen preiszugeben oder bestimmte Handlungen auszuführen, die für den Angreifer von Vorteil sind. Dabei wird häufig das Vertrauen der Zielpersonen und ihre natürliche Bereitschaft, anderen zu helfen oder Anweisungen zu befolgen, ausgenutzt.

Wie funktioniert Social Engineering?

Betrüger wenden eine Vielzahl von Taktiken an. Ein häufiges Beispiel ist das Phishing, bei dem Betrüger gefälschte E-Mails oder Nachrichten versenden, die vorgeben, von einer vertrauenswürdigen Quelle wie einer Bank oder einem Online-Shop zu stammen. In diesen Nachrichten wird der Empfänger meist aufgefordert, auf einen Link zu klicken oder einen Anhang zu öffnen, der Schadsoftware enthält. Oder er wird auf eine gefälschte Webseite weitergeleitet, auf der er seine Zugangsdaten eingeben soll.

Eine weitere Form des Social Engineering ist der so genannte „CEO-Betrug“, bei dem sich Betrüger als Geschäftsführer oder andere Führungskräfte ausgeben und Mitarbeiter dazu bringen, Geld zu überweisen oder vertrauliche Informationen preiszugeben. Häufig werden gefälschte E-Mails oder Telefonanrufe verwendet, um sich als legitime Person auszugeben und das Vertrauen der Mitarbeiter zu gewinnen.

Gezielte und ungezielte Angriffe

Social-Engineering-Angriffe können gezielt oder ungezielt sein.

Ungezielte Angriffe sind in der Regel breit angelegt und richten sich an eine große Gruppe von Personen. Ein Beispiel hierfür ist eine Phishing-E-Mail, die an eine große Anzahl von Empfängern gesendet wird, in der Hoffnung, dass einige von ihnen auf den Betrug hereinfallen und auf einen Link klicken oder einen Anhang öffnen. Ungezielte Angriffe zielen auf eine zufällige Auswahl von Opfern ab, z. B. durch eine allgemeine Anrede („Sehr geehrter Kunde“) oder einen allgemeinen Inhalt, der für viele Personen relevant sein könnte.

Gezielte Angriffe richten sich dagegen gegen bestimmte Personen oder Gruppen. Ein Beispiel hierfür ist Spear-Phishing, bei dem der Angreifer gezielt eine Person oder Personengruppe auswählt und eine speziell auf sie zugeschnittene Phishing-E-Mail erstellt, die auf ihre Interessen, Positionen oder persönlichen Informationen abzielt.

Gezielte Angriffe sind in der Regel erfolgreicher als ungezielte Angriffe, da sie spezifisch auf das Ziel ausgerichtet sind und daher personalisierte Informationen und Social-Engineering-Techniken einsetzen können, die auf die Interessen und Verhaltensweisen des Opfers abzielen. Allerdings sind gezielte Angriffe auch schwieriger zu planen und durchzuführen, da sie mehr Vorbereitung und Forschung erfordern.

Unabhängig davon, ob es sich um einen gezielten oder ungezielten Angriff handelt, ist es wichtig, dass Unternehmen und Nutzer sich der Risiken des Social Engineering bewusst sind und geeignete Schutzmaßnahmen ergreifen, um ihre Systeme und Informationen zu schützen.

Social Engineering Attacken: die häufigsten Methoden

Phishing

Beim Phishing verwendet der Angreifer gefälschte E-Mails, Nachrichten oder Websites, um an vertrauliche Informationen des Opfers zu gelangen. Der Begriff „Phishing“ leitet sich vom englischen Wort „fishing“ (Angeln) ab und spielt darauf an, dass der Angreifer wie ein Fischer Köder auswirft und auf ahnungslose Opfer wartet.

Spear-Phishing

Eine andere Form des Phishing ist das „Spear-Phishing“, bei dem der Angreifer gezielt E-Mails an eine bestimmte Person oder Gruppe sendet, die auf deren Interessen oder Position zugeschnitten sind. Ein Angreifer könnte beispielsweise eine E-Mail an einen Mitarbeiter der Finanzabteilung eines Unternehmens senden, die vorgibt, von einem Lieferanten zu stammen, und ihn auffordert, eine Rechnung zu bezahlen. Wenn der Mitarbeiter auf den Link klickt, wird er auf eine gefälschte Website weitergeleitet, auf der er seine Zugangsdaten eingeben soll.

Baiting

Der Begriff „Baiting“ leitet sich vom englischen Wort „bait“ für Köder ab. Beim Baiting verwendet der Angreifer eine verlockende „Köder“-Nachricht oder -Aktion, um ein Opfer zu einer unangemessenen Handlung zu bewegen.

Ein typisches Beispiel für Baiting ist das Angebot kostenloser Musik- und Filmdownloads über Filesharing-Sites oder Peer-to-Peer-Netzwerke. Diese Downloads sind häufig kompromittiert. Wenn das Opfer eine Datei herunterlädt und öffnet, wird Schadsoftware auf seinem Computer installiert.

Pretexting

Beim Pretexting gibt sich der Angreifer als eine andere Person aus und nutzt diesen Vorwand, um das Vertrauen des Opfers zu gewinnen und an vertrauliche Informationen zu gelangen.

Ein häufiges Beispiel für Pretexting ist, wenn sich ein Angreifer als Bankangestellter ausgibt und das Opfer auffordert, vertrauliche Informationen wie Kontonummern, Passwörter oder PIN-Codes preiszugeben.

Der Angreifer kann sich auch als Mitarbeiter eines IT-Support-Teams ausgeben und das Opfer auffordern, eine Malware-Infektion zu beheben, indem es eine Anwendung oder einen Link herunterlädt, die bzw. der dann tatsächlich die Malware installiert.

Watering Hole-Angriff

Ein „Watering Hole“-Angriff ist ein Cyberangriff, bei dem ein Angreifer eine von den Opfern häufig besuchte Website kompromittiert, um Malware auf deren Geräten zu installieren.

Der Angriff erfolgt in der Regel in mehreren Schritten. Zunächst identifiziert der Angreifer eine Website, die von den Opfern häufig besucht wird, beispielsweise eine Branchenwebsite oder eine beliebte Social-Media-Plattform. Anschließend infiziert er die Website mit Malware.

Wenn die Opfer die infizierte Website besuchen, wird die Malware unbemerkt auf ihren Geräten installiert. Die Malware kann dann verschiedene Aktionen ausführen, z. B. Daten sammeln, Passwörter stehlen oder den Fernzugriff auf das infizierte Gerät ermöglichen.

Tailgating

Ein typisches Beispiel für Tailgating: Ein Angreifer folgt einer Person, die ein gesichertes Gebäude betritt, und gibt sich als legitimer Mitarbeiter aus, um Zugang zu vertraulichen Informationen oder Systemen zu erhalten. Der Angreifer kann beispielsweise vorgeben, seinen Ausweis verloren zu haben oder dringend einen bestimmten Bereich des Gebäudes aufsuchen zu müssen, um ein Problem zu beheben.

Tailgating ist deshalb besonders gefährlich, weil es oft sehr einfach ist und keinen großen technischen Aufwand erfordert. Der Angreifer nutzt die Hilfsbereitschaft des Opfers aus, um sich Zugang zu verschaffen.

Maßnahmen zum Schutz vor Social Engineering

  • Starke Passwörter: Die Verwendung starker und komplexer Passwörter ist eine wirksame Methode, um sich vor Social-Engineering-Angriffen zu schützen. Ein sicheres Passwort sollte lang genug sein, zufällige Buchstaben, Zahlen und Sonderzeichen enthalten und keinen offensichtlichen Bezug zum Benutzer haben, wie z. B. Name oder Geburtsdatum.
  • Eine gesunde Portion Misstrauen gegenüber Unternehmensfremden: Angreifer nutzen häufig die Tatsache aus, dass viele Menschen dazu neigen, höflich und zuvorkommend mit anderen umzugehen, insbesondere mit Fremden. Es ist jedoch wichtig zu erkennen, dass Personen, die nicht zum Unternehmen gehören, möglicherweise nicht die besten Absichten haben und versuchen könnten, an vertrauliche Informationen zu gelangen.
  • Auskünfte per Telefon und E-Mail: Unternehmen sollten über sichere Verfahren für die telefonische Übermittlung vertraulicher Informationen verfügen. Dies kann die Verwendung von Passwörtern oder anderen Authentifizierungsmechanismen beinhalten, um sicherzustellen, dass der Anrufer tatsächlich berechtigt ist, diese Informationen zu erhalten. Das Gleiche gilt für die Übermittlung vertraulicher Informationen per E-Mail
  • Identitätsprüfung: Wichtig ist auch die Überprüfung der Identität von Personen, die um vertrauliche Informationen bitten, z. B. durch Überprüfung der Kontaktdaten oder durch einen Rückruf.
  • Sicherheitsupdates: Häufig nutzen Angreifer bekannte Schwachstellen in Software oder Betriebssystemen aus, um Schadsoftware zu verbreiten oder an vertrauliche Daten zu gelangen. Sicherheitsupdates dienen dazu, diese Schwachstellen zu schließen und die Sicherheit der Systeme zu erhöhen..
  • Schulung des Personals: In Schulungen zur Abwehr von Social Engineering sollten die Mitarbeiter über verschiedene Arten von Angriffen informiert werden, darunter Phishing, Spear-Phishing, Baiting, Pretexting, Tailgating und Watering Hole-Angriffe. Wichtig ist auch, dass die Schulungen regelmäßig wiederholt und aktualisiert werden, um sicherzustellen, dass die Mitarbeiter über die neuesten Entwicklungen und Trends im Bereich Social Engineering informiert sind. Die Unternehmen sollten auch Mechanismen einrichten, die es den Mitarbeitern ermöglichen, verdächtige Aktivitäten zu melden, damit geeignete Maßnahmen ergriffen werden können.

Beispiel einer Mitarbeiterrichtlinie, um Social Engineering zu verhindern

Einleitung

Die IT-Sicherheitsrichtlinie des Unternehmens soll sicherstellen, dass alle Mitarbeiterinnen und Mitarbeiter sicher und verantwortungsvoll mit Informationen umgehen und die Systeme und Daten des Unternehmens schützen. Einer der wichtigsten Aspekte dieser Richtlinie ist die Verhinderung von Social-Engineering-Angriffen.

Vertrauliche Informationen

Alle Mitarbeiterinnen und Mitarbeiter sind verpflichtet, vertrauliche Informationen des Unternehmens zu schützen und nicht unbefugt an Dritte weiterzugeben. Dies umfasst auch die Weitergabe von Informationen per E-Mail, Telefon oder andere elektronische Medien.

Passwortsicherheit

Mitarbeiterinnen und Mitarbeiter müssen sichere Passwörter verwenden, die mindestens zehn Zeichen lang sind und aus einer Kombination von Buchstaben, Zahlen und Symbolen bestehen. Passwörter dürfen nicht an Dritte weitergegeben werden.

Sensibilisierung der Beschäftigten

Das Unternehmen führt regelmäßig Schulungen durch, um die Mitarbeiterinnen und Mitarbeiter über die Risiken von Social-Engineering-Angriffen zu informieren und ihnen beizubringen, wie sie verdächtige Aktivitäten erkennen und darauf reagieren können. Die Teilnahme ist verbindlich.

Identitätsprüfung

Mitarbeiterinnen und Mitarbeiter sind verpflichtet, die Identität von Personen zu überprüfen, die vertrauliche Informationen anfordern. Wenn ein Mitarbeiter nicht sicher ist, ob er die Informationen weitergeben darf, muss er die Anfrage an eine autorisierte Person zur Überprüfung weiterleiten.

Sicherheitsupdates

Alle Mitarbeiterinnen und Mitarbeiter müssen sicherstellen, dass ihre Systeme und Software auf dem neuesten Stand sind und alle Sicherheitsupdates installiert wurden, um bekannte Schwachstellen zu schließen.

Verwendung von Netzwerken und Geräten

Mitarbeiterinnen und Mitarbeiter dürfen nur sichere Netzwerke und Geräte nutzen, um auf Unternehmensressourcen zuzugreifen. Die Nutzung von öffentlichen Computern oder WLAN-Netzwerken ist untersagt.

Meldung von Verdachtsfällen

Alle Mitarbeiterinnen und Mitarbeiter sind verpflichtet, verdächtige Aktivitäten oder mögliche Angriffe unverzüglich der IT-Sicherheitsabteilung zu melden, damit geeignete Maßnahmen ergriffen werden können.

Verhaltenskodex

Die IT-Sicherheitsrichtlinie ist Teil des allgemeinen Verhaltenskodex des Unternehmens, der von allen Mitarbeitern zu befolgen ist. Verstöße gegen diese Richtlinie können disziplinarische Maßnahmen nach sich ziehen.

Durch die Umsetzung dieser IT-Sicherheitsrichtlinie kann das Unternehmen das Risiko von Social-Engineering-Angriffen minimieren und sicherstellen, dass die Mitarbeiterinnen und Mitarbeiter sicher und verantwortungsvoll mit vertraulichen Informationen umgehen.

Zur Kenntnis genommen:

……………………………………………………

Ort, Datum, Unterschrift Mitarbeiter/in

René Hifinger
René Hifinger verfügt über umfassende Erfahrungen in den Bereichen IT-Sicherheit und Softwareentwicklung. Seit 15 Jahren berät er Firmen weltweit als IT-Sicherheitsexperte.

Nebenbei schreibt René Hifinger gerne über IT-Sicherheitsthemen. In den letzten Jahren veröffentlichte er zahlreiche Fachartikel in Online- sowie Printmedien - u. a. für die Fachmagazine Informatik Aktuell, Computerwelt und DIGITALE WELT. Einen kleinen Auszug seiner Referenzen finden Sie hier.

René Hifinger ist Mitbegründer der Initiative bleib-Virenfrei.