Definition Social Engineering

Was ist Social Engineering?

| Autor / Redakteur: Blue Floyd / Peter Schmitz

Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren.
Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren. (Bild: Pixabay / CC0)

Social Engineering ist ein Verfahren, um sicherheitstechnisch relevante Daten durch Ausnutzung menschlicher Komponenten in Erfahrung zu bringen. Abhängig vom Autoritätslevel der betrogenen Person entstehen durch Social Engineering beträchtliche Schäden.

Der Ablauf eines Betrugsversuchs durch Social Engineering fällt im Kern immer identisch aus: Durch verschiedene Methoden wird versucht, das Vertrauen einer bestimmten Person zu erhalten, damit diese wichtige Daten (Login-Namen und Passwörter sind ein zentrales Beispiel) preisgibt. Gelegentlich handelt es sich auch um einfaches Belauschen der Zielpersonen.

Beim Social Engineering kommen nicht immer Methoden über das Internet zum Einsatz. Denkbar sind etwa Telefonate, die ein eiliges Vorgehen bei einem fiktiven Netzwerkproblem verlangen, sodass die angerufene Person Login-Daten preisgibt. Auch autoritätsbezogener Betrug ist ein Mittel: Einer kontaktierten Person wird gesagt, dass eine Anweisung "vom Chef" oder anderen Mitarbeitern in höherer Position kommt - also in diesem Fall etwa die Anweisung, wichtige Daten zu übermitteln.

Social Engineering im 21. Jahrhundert

Viele Exploits basieren heute auf Tätigkeiten, die über das Internet ausgeführt werden. Betrüger sammeln Daten über eine Zielperson über Mittel wie Facebook. Anschließend gibt sich jener Betrüger als Vertrauensperson der Zielperson in einer E-Mail aus. Durch das Spoofing von E-Mail-Adressen lassen sich diese effektiv verschleiern. Inhalte dieser E-Mail könnten darauf abzielen, die Zielperson zum Download eines Anhangs oder zum Klicken auf einen bestimmten Link zu verleiten. Darin warten Trojaner, Würmer, Keylogger oder ähnliche Tools, um Schaden anzurichten oder wichtige Daten zu erhalten (was wiederum ein schwerer Schaden für sich ist).

Zusätzlich kommt Social Engineering bei unbedarften Personen zum Einsatz, die sich um die Tragweite der ihnen anvertrauten Daten nicht bewusst sind. Diese tauschen wichtige Daten einfacher aus, speichern Passwörter im Klartext in gut sichtbaren Dateien auf dem Desktop und dergleichen mehr. Aufgrund der sich rasant entwickelnden Technologie, die permanent neue Software und Geräte hervorbringt, ist es für die meisten IT-fernen Personen schwer, diese Risiken richtig einzuschätzen. Aus diesem Grund sind sie ein hervorragendes Ziel für Social Engineering.

Bedeutung von Social Engineering weltweit

2016 haben 98 Prozent der Unternehmen weltweit berichtet, dass Schadsoftware der größte Verursacher von internen Schäden war. Direkt dahinter folgte jedoch bereits Social Engineering, dem 70 Prozent der Unternehmen zum Opfer gefallen sind (und die Infektion mit Schadsoftware kann ebenfalls eine Folge von Social Engineering sein). Dieser Wert bewegt sich noch vor Angriffsmethoden wie der Ausführung von schädlichem Code auf präparierten Webseiten, webbasierten Angriffen oder die Gefahr durch umfangreiche Botnets oder DDoS-Attacken.

Prävention von Social Engineering

Da die größte Schwäche bei dieser Art von Angriff der Mensch ist, kann Sicherheitssoftware allein keine Lösung sein. Auch die beste Software wehrt keinen Angreifer ab, der sich korrekt über die üblichen Wege mit einem gültigen Login und Passwort anmeldet. Es gilt daher, Mitarbeiter in Unternehmen für die Gefahren von Social Engineering zu sensibilisieren. Interne Seminare und Kurse helfen dabei, Personen mit Zugang zu wichtigen Daten aufzuklären. Diese Mittel sind auch dafür verantwortlich, ein Bewusstsein dafür zu schaffen, was passieren sollte, wenn eine Person davon ausgeht, Ziel eines Social-Engineering-Angriffs zu sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Buchrezension „Hacken für Dummies“

Lohnt der Kauf?

Buchrezension „Hacken für Dummies“

Das Fachbuch „Hacken für Dummies“ richtet sich an Neueinsteiger im IT-Sicherheitsbereich. Doch gerade die letzten Kapitel sind auch für Sicherheitsprofis interessant, schließlich geht es hier um die Dokumentation von Tests, das Einrichten von Prozessen und die Kommunikation mit der Geschäftsführung. lesen

Neue Gefahren durch RAT Malware

Remote Access Trojaner auf dem Vormarsch

Neue Gefahren durch RAT Malware

Cyberkriminelle setzen zunehmend wieder auf Remote Access Trojaner (RAT) als Angriffswerkzeug in ihren Phishing-Kampagnen. Die Security-Forscher von Zscaler und Palo Alto Networks haben ein neues RAT-Netzwerk mit Hintertür und eine neue Angriffswelle mit RAT-Payload enttarnt. lesen

Schaden durch Industriespionage steigt auf 55 Mrd. Euro pro Jahr

Bitkom-Studie

Schaden durch Industriespionage steigt auf 55 Mrd. Euro pro Jahr

Auch wenn die Zahl der von Industriespionage oder Sabotage betroffenen Unternehmen in den letzten zwei Jahren kaum gestiegen ist, hat der Schaden doch deutlich zugenommen. Geklaut wird aber nicht nur auf digitalem Weg. lesen

Der Zombie in meinem Netz

Botnetze und Gegenmaßnahmen

Der Zombie in meinem Netz

Im Lied „Re: Your Brains“ des amerikanischen Liedermachers Jonathan Coulton geht es um einen Zombie, der seinen Nachbar davon überzeugen möchte, sich den Untoten anzuschließen. Coulton singt „Thing have been okay for me except that I'm a zombie now”. Mit ähnlicher Leichtigkeit scheinen viele Privatpersonen und Unternehmen mit dem Risiko umzugehen, sich eine Schadsoftware einzufangen und dann mit Ihren „Zombie-Systemen“ Teil eines sogenannten Botnet zu werden. lesen

Mitarbeiter verursachen fast die Hälfte aller Cybersecurity-Vorfälle

Mitarbeiter verursachen fast die Hälfte aller Cybersecurity-Vorfälle

Ein herrenloser USB-Stick kann zur Gefahr für ein ganzes Unternehmen werden – nur wissen davon viele Mitarbeiter nichts. Eine Kaspersky-Studie enthüllt, dass Mitarbeiter das größte Risiko für Cybersecurity sind. Außerdem fatal: In zwei von fünf Unternehmen vertuschen Mitarbeiter die Vorfälle. lesen

Sechs Tipps gegen Spam

E-Mail-Sicherheit

Sechs Tipps gegen Spam

E-Mail ist für Unternehmen nach wie vor zu den beliebtesten Kommunikationskanälen. Das gilt auch für Cyberkriminelle. Im letzten Jahr lag der Spam-Anteil aller im Posteingang befindlichen Mails bei 60 Prozent, 35 Prozent dieser Spam-Mails enthielten Malware. Das belegen Zahlen aus dem aktuellen Sicherheitsreport von Trustwave. lesen

Geldautomaten mit Malware ausrauben

Bankbetrug

Geldautomaten mit Malware ausrauben

Erfinderische Bankbetrüger stellen Banken vor neue Sicherheitsherausforderungen. Eine neue Angriffsmethode infiziert Geldautomaten mit Malware und lässt sie das Bargeld auf Kommando ausspucken. Die Angriffe durch Malware ersetzen zunehmend klassischen Geldautomatenbetrug (Skimming), da so ein fast gefahrloser Bankraub möglich wird. lesen

55 Milliarden Euro Schaden durch Spionage, Sabotage und Datendiebstahl

Studie zu Wirtschaftsschutz vom Bitkom

55 Milliarden Euro Schaden durch Spionage, Sabotage und Datendiebstahl

Der deutschen Wirtschaft entsteht jährlich ein Schaden von 55 Milliarden Euro durch Spionage, Sabotage und Datendiebstahl. Jedes zweite Unternehmen wurde in den vergangenen beiden Jahren angegriffen, und nur jedes dritte Unternehmen meldet solche Attacken den Behörden, aus Sorge vor Imageschäden. Das zeigt eine vom Digitalverband Bitkom beauftragte Studie zum Thema Wirtschaftsschutz. lesen

Malware, Menschen, Phishing

Sicherheitsrisiken für Unternehmen

Malware, Menschen, Phishing

Passwörter auf der Schreibtischunterlage notieren, Viren-verseuchte Anhänge öffnen oder einfach mal die Tastatur mit Kaffee fluten – Mitarbeiter können einem Unternehmen ganz schön zusetzen. Die drei größten Sicherheitsrisiken im Unternehmen bleiben Malware, unbeabsichtigtes Fehlverhalten von Anwendern und Phishing-Attacken. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44834920 / Definitionen)