Social Engineering ist inzwischen eines der beliebtesten Werkzeuge von Hackern geworden, um Informationen von Unternehmen, Organisationen oder Privatpersonen zu entwenden. Das Tückische: Häufig rechnet man nicht mit digitalen Angriffen im realen Leben. Im folgenden Artikel erfahren Sie, was genau Social Engineering ist und wie Sie sich und Ihr Unternehmen vor Attacken dieser Art schützen können.
Was ist Social Engineering?
Im Bitkom-Report 2019 über Cyberangriffe in Deutschland machte analoges Social Engineering den zweithöchsten Anteil aller Angriffsarten aus, wobei jedes fünfte Unternehmen betroffen war. Beim Social Engineering wird der Mensch als Schwachstelle für Angriffe genutzt. Somit können selbst starke Sicherheitssysteme einfach umgangen werden. Dabei handelt es sich hierbei um keine neue Praktik: das Ausnutzen von Vertrauen oder die Einschüchterung über vermeintliche Autorität wurde seit jeher von Betrügern eingesetzt, um sich Geld von arglosen Opfern ergaunern.
Arten des Social Engineering
Statt dem Verkauf von Wertsachen für einen Spottpreis oder den Kauf eines wertlosen Gegenstandes für horrende Summen, versuchen Täter beim Social Engineering meist das Opfer zu überzeugen, Schadsoftware zu installieren, Informationen preiszugeben oder sogar Überweisungen zu tätigen. Dazu geben sie sich in der Regel als vertrauenswürdige Person aus – etwa als Systemadministrator – und verlangen unter einem Vorwand telefonisch die Freigabe von Informationen, z. B. Passwörtern. Eine besondere Form, welche häufig über das Telefon durchgeführt wird, ist der so genannte CEO-Betrug. Dabei imitieren Angreifer Mitglieder der Führungsriege und versuchen Befugte davon zu überzeugen, Zahlungsvorgänge freizugeben.
Eine andere bekannte Variante ist das Phishing. Dabei werden tausende E-Mails mehr oder weniger zufällig verschickt, in denen nach Informationen gefragt wird oder ein Link enthalten ist, der zu einer gefälschten Seite führt. Eine präzisere Form ist das Spear Phishing, dabei werden im Vorfeld Zielpersonen oder -gruppen ausgesucht, sodass die Mail genau auf die Empfängerin oder den Empfänger zugeschnitten werden kann.
So können Sie sich schützen
- Wie für alle Cyberangriffe gilt: MitarbeiterInnen aller Unternehmensbereiche sollten regelmäßig über die Gefahren und das richtige Vorgehen im Angriffsfall aufgeklärt werden.
- Grundsätzlich sollte mit der Preisgabe von privaten Informationen und auch Angaben über den Arbeitgeber in sozialen Netzwerken vorsichtig umgegangen werden. Diese werden häufig von Tätern missbraucht, um das Vertrauen des Opfers zu gewinnen.
- Niemals als Kunde Passwörter oder andere persönliche Informationen telefonisch oder per Mail weitergeben.
- Bei E-Mails von unbekannten Absendern ist immer Vorsicht geboten. Sollten Sie Zweifel über die Authentizität der Nachricht haben, ist es immer besser nicht zu antworten oder zunächst weitere Informationen über den Absender einzuholen.