Zu Hauptinhalt springen
Our website is also available in English - would you like to switch to this version?Switch to the English version
MADE & HOSTED IN GERMANY
ISO 27001 ZERTIFIZIERT
LEITFADEN Vor diesen Herausforderungen stehen Unternehmen 2024
Jetzt PDF herunterladen
social_engineering

Social Engineering – Sicherheitslücke Mensch

3 Min. Lesedauer

„Die Organisationen stecken Millionen von Dollars in Firewalls und Sicherheitssysteme und verschwenden ihr Geld, da keine dieser Maßnahmen das schwächste Glied der Sicherheitskette berücksichtigt: die Anwender und Systemadministratoren.“ – Kevin Mitnick, ehemaliger Hacker und Experte im Bereich Social Engineering

Die am wenigsten geschützte Barriere für IT-Angreifer ist der Mensch selbst. Der Mitarbeiter öffnet sogenannten Social Engineers oft unwissentlich die Tore und kann den Ausgang von Cyberattacken maßgeblich beeinflussen.

Was bedeutet Social Engineering?

Social Engineering zielt also ganz konkret auf den Menschen ab, der sich – eben aufgrund seiner „menschlichen Schwäche“ – zu Fehlern verleiten lassen kann. Indem sie Mitarbeiter geschickt hinters Licht führen und manipulieren, umgehen Profis die massiven Sicherheitsvorkehrungen von Unternehmen zum Teil mühelos. So gelangen sie an sensible Informationen oder schleusen Schadsoftware in interne Systeme ein.

Wie gehen Social Engineers vor?

„Zeig mir, wer Du bist!“: Social Engineering-Attacken sind am erfolgreichsten, wenn sie sich gezielt an konkrete Personen richten. In diesem Fall hat sich der Angreifer sehr genau über Dich informiert und kann Dich so auch wesentlich einfacher überzeugen – beispielsweise mit den passenden Namen und Stichworten, um im Gespräch Vertrauen zu wecken.

Social Media – das Schlaraffenland der Social Engineers: In sozialen Netzwerken geben wir wesentlich mehr über uns preis, als wir denken. Aus diesem Grund sind sie das Schlaraffenland für Social Engineerings.

  • Sei sparsam mit jeglicher Art von Information.
  • Schränke den Zugriff auf Deine Profilinhalte ein.
  • Gebe nie Dein Geburtsdatum an, da diese Information oft zur Identifikation genutzt wird.
  • Sei vorsichtig bei unbekannten Kontaktanfragen.

Doch was könnte jemand schon mit Deiner Jobbezeichnung, dem Namen der Kollegin oder dem Facebook-Post über die letzte Firmenfeier anfangen? Das erfährst Du im nächsten Punkt.

„Vertrau mir!“: Persönliche und berufliche Informationen nutzen Angreifer gezielt, um dich von ihrer falschen Identität zu überzeugen. Der Anrufer hat also bereits mit Deiner Kollegin Frau Herbst über ein bestimmtes Projekt gesprochen? Oder erinnert er Dich daran, dass Du in Deiner Position mit sensiblen Daten zu tun hast, weshalb er Deinen Account absichern möchte? Er erklärt, dass er der beauftragte Fotograf der letzten Firmenfeier ist und Dir über einen Link die Aufnahmen zukommen lassen möchte? Die psychologischen Tricks der Angreifer sind vielfältig, um Dir Informationen zu entlocken.

„Ich möchte Dir helfen!“: Hat Dich der Angreifer mit seinem Wissen und freundlichen Auftreten überzeugt? Dann hat er womöglich die Lücke gefunden, nach der er gesucht hat. Der angebliche „Support-Mitarbeiter“ schaltet sich hilfsbereit auf Deinen Rechner zu oder er schickt Dir einen wichtigen Link per E-Mail. Du hast den fatalen Fehler begangen und auf Anfrage Deine Zugangsdaten mitgeteilt oder den Link in der E-Mail geöffnet? Dann hast Du nun vielleicht mit einer Spion- oder Schadsoftware zu kämpfen!

Die vielen Gesichter des Social Engineers

Du fragst dich, zu welchen Mitteln Social Engineers am häufigsten greifen? Social Engineering kann viele Gesichter haben und nicht immer erfolgt der Angriff direkt digital.

Pretexting: Social Engineers liefern schriftlich oder telefonisch zunächst einen Vorwand, um Dich für den eigentlichen Angriff weich zu klopfen. Mit einem guten Grund beseitigen sie so einige Zweifel.

Phishing: Die wohl häufigste Form des Social Engineerings. Es handelt sich um E-Mails, die einen vertrauenswürdigen Eindruck vermitteln und das Ziel haben, sensible Daten abzugreifen. Opfer installieren unwissentlich eine Schadsoftware oder geben die Informationen gutgläubig selbst preis. Weitere Informationen zum Phishing findest Du in unserer Phishing-Lektion.

Tailgating: Der „Kollege“, der noch mit Dir durch die Eingangstür schlüpft oder der „Passant“, der dringend Dein Handy ausleihen möchte. Angreifer nutzen Unachtsamkeit oder Hilfsbereitschaft für ihre kriminellen Ziele aus.

Platzierung schädlich Datenträger: Schließe niemals gefundene USB-Sticks oder andere Datenträger an Deinen Laptop oder PC an – egal, ob geschäftlich oder privat. Auch hier kann es sich um gezielt platzierte Schädlinge handeln!

Achte auf diese Anzeichen, um dubiose E-Mails oder Anrufe zu entlarven

Nun weißt Du, wie Social Engineers vorgehen und welche typischen Einfallstore sie nutzen. Doch auf welche Warnsignale solltest Du ganz konkret achten?

  • Werden Dir Konsequenzen angedroht (Gebühren, rechtliche Anordnungen)?
  • Wirst Du nach geheimen Daten gefragt (Zugangsdaten, Bankinformationen, Firmeninterna)?
  • Wirst Du unter (Zeit-)Druck gesetzt (Fristsetzungen und Dringlichkeitsvermerke)?
  • Handelt es sich um eine verdächtige URL und unverschlüsselte Websites (Kürzel https und Schlosssymbol fehlen)?

Wehre suspekte Anrufe ab und sei immer wachsam bei dubiosen E-Mails!

Diesen Artikel bewerten?
3 Bewertungen / 4.7 Sterne
LEITFADENVor diesen Herausforderungen stehen Unternehmen 2024
Jetzt PDF herunterladen
Fast fertig...Bitte klicke auf den Link in der E-Mail, um Deine E-Mail Adresse und die Anmeldung zum Newsletter zu bestätigen.
Verpasse keinen Beitrag mehr.
Anmelden
Cristian Mudure
Über den Autor:
Cristian Mudure ist der Gründer und CEO von Stackfield. Er liebt digitale Geschäftsmodelle und verbringt seine Freizeit gerne auf dem Tennisplatz.
Kommentarbereich anzeigen (powered by Disqus)