Definition Social Engineering

Was ist Social Engineering?

| Autor / Redakteur: Blue Floyd / Peter Schmitz

Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren.
Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren. (Bild: Pixabay / CC0)

Social Engineering ist ein Verfahren, um sicherheitstechnisch relevante Daten durch Ausnutzung menschlicher Komponenten in Erfahrung zu bringen. Abhängig vom Autoritätslevel der betrogenen Person entstehen durch Social Engineering beträchtliche Schäden.

Der Ablauf eines Betrugsversuchs durch Social Engineering fällt im Kern immer identisch aus: Durch verschiedene Methoden wird versucht, das Vertrauen einer bestimmten Person zu erhalten, damit diese wichtige Daten (Login-Namen und Passwörter sind ein zentrales Beispiel) preisgibt. Gelegentlich handelt es sich auch um einfaches Belauschen der Zielpersonen.

Beim Social Engineering kommen nicht immer Methoden über das Internet zum Einsatz. Denkbar sind etwa Telefonate, die ein eiliges Vorgehen bei einem fiktiven Netzwerkproblem verlangen, sodass die angerufene Person Login-Daten preisgibt. Auch autoritätsbezogener Betrug ist ein Mittel: Einer kontaktierten Person wird gesagt, dass eine Anweisung "vom Chef" oder anderen Mitarbeitern in höherer Position kommt - also in diesem Fall etwa die Anweisung, wichtige Daten zu übermitteln.

Social Engineering im 21. Jahrhundert

Viele Exploits basieren heute auf Tätigkeiten, die über das Internet ausgeführt werden. Betrüger sammeln Daten über eine Zielperson über Mittel wie Facebook. Anschließend gibt sich jener Betrüger als Vertrauensperson der Zielperson in einer E-Mail aus. Durch das Spoofing von E-Mail-Adressen lassen sich diese effektiv verschleiern. Inhalte dieser E-Mail könnten darauf abzielen, die Zielperson zum Download eines Anhangs oder zum Klicken auf einen bestimmten Link zu verleiten. Darin warten Trojaner, Würmer, Keylogger oder ähnliche Tools, um Schaden anzurichten oder wichtige Daten zu erhalten (was wiederum ein schwerer Schaden für sich ist).

Zusätzlich kommt Social Engineering bei unbedarften Personen zum Einsatz, die sich um die Tragweite der ihnen anvertrauten Daten nicht bewusst sind. Diese tauschen wichtige Daten einfacher aus, speichern Passwörter im Klartext in gut sichtbaren Dateien auf dem Desktop und dergleichen mehr. Aufgrund der sich rasant entwickelnden Technologie, die permanent neue Software und Geräte hervorbringt, ist es für die meisten IT-fernen Personen schwer, diese Risiken richtig einzuschätzen. Aus diesem Grund sind sie ein hervorragendes Ziel für Social Engineering.

Bedeutung von Social Engineering weltweit

2016 haben 98 Prozent der Unternehmen weltweit berichtet, dass Schadsoftware der größte Verursacher von internen Schäden war. Direkt dahinter folgte jedoch bereits Social Engineering, dem 70 Prozent der Unternehmen zum Opfer gefallen sind (und die Infektion mit Schadsoftware kann ebenfalls eine Folge von Social Engineering sein). Dieser Wert bewegt sich noch vor Angriffsmethoden wie der Ausführung von schädlichem Code auf präparierten Webseiten, webbasierten Angriffen oder die Gefahr durch umfangreiche Botnets oder DDoS-Attacken.

Prävention von Social Engineering

Da die größte Schwäche bei dieser Art von Angriff der Mensch ist, kann Sicherheitssoftware allein keine Lösung sein. Auch die beste Software wehrt keinen Angreifer ab, der sich korrekt über die üblichen Wege mit einem gültigen Login und Passwort anmeldet. Es gilt daher, Mitarbeiter in Unternehmen für die Gefahren von Social Engineering zu sensibilisieren. Interne Seminare und Kurse helfen dabei, Personen mit Zugang zu wichtigen Daten aufzuklären. Diese Mittel sind auch dafür verantwortlich, ein Bewusstsein dafür zu schaffen, was passieren sollte, wenn eine Person davon ausgeht, Ziel eines Social-Engineering-Angriffs zu sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Die Vorzüge und Hürden von Cloud Computing

IT-Sicherheit in der Cloud

Die Vorzüge und Hürden von Cloud Computing

Cloud Computing verspricht gesteigerte Effizienz und Produktivität sowie Kostenreduzierung. Eine hervorragende Grundlage für Unternehmen, sich für die digitale Transformation zu rüsten, um auch in Zukunft wettbewerbsfähig zu bleiben. Doch hinter den Chancen verbergen sich auch einschlägige Risiken, die Unternehmen nicht aus den Augen verlieren dürfen. lesen

Risiken der Cybersicherheit im Jahr 2020

Ordnung gegen Chaos

Risiken der Cybersicherheit im Jahr 2020

Der Kampf zwischen Ordnung und Chaos tobt im gesamten Cyber-Universum. Wirtschaft und Regierungen bestehen natürlich darauf, dass sie die Kräfte der Stabilität und der Organisation darstellen, und Cyberkriminelle die Kräfte des Chaos seien. Aber die Ironie besteht darin, dass in vielerlei Hinsicht die Wirtschaft und die Regierungen derzeit im Chaos versinken, während die Cyberkriminalität immer organisierter vorgeht. lesen

So schützen sich Unternehmen vor Social Engineering

Zielscheibe „Mensch“

So schützen sich Unternehmen vor Social Engineering

Unternehmen sind aufgrund ihrer wertvollen Daten schon lange profitable Ziele für Cyber­kriminelle. Ein Großteil plant deswegen, ihr Budget für Cyber-Sicherheit im nächsten Jahr aufzustocken. Doch geraten auch die eigenen Mitarbeiter in den Fokus der Kriminellen. Durch Social Engineering wird der Mitarbeiter zu einem Sicherheitsrisiko, das man nicht unterschätzen sollte. lesen

Coronavirus macht Homeoffice zum Hacker-Ziel

COVID-19 und die Security-Folgen

Coronavirus macht Homeoffice zum Hacker-Ziel

Das Coronavirus hat Europa und viele andere Länder der Welt fest im Griff. Um die Ansteckungsfälle soweit wie möglich zu reduzieren bleiben Restaurants und Geschäfte geschlossen und Homeoffice wird für viele Angestellte immer mehr zum Alltag. Dadurch steigt allerdings die Gefahr, dass Mitarbeiter eines Unternehmens Opfer von Social Engineering- oder Phishing-Versuchen werden. lesen

Cyberkriminelle nutzen Krise um Coronavirus aus

COVID-19 und die Security-Folgen

Cyberkriminelle nutzen Krise um Coronavirus aus

Kriminelle nutzen die aktuelle Unsicherheit rund um das Corona-Virus SARS-CoV-2 und die Pandemie COVID-19 für umfangreiche Cyberangriffe. Die Cybersicherheits­forscher des Cybersecurity-Unternehmens Proofpoint berichten von einer der größten E-Mail-Kampagnen durch Cyberkriminelle, die jemals unter einem einzigen Thema durchgeführt wurde. lesen

Psychisches Hacking der „Schwachstelle Mensch“

Social Engineering und der Hauptmann von Köpenick

Psychisches Hacking der „Schwachstelle Mensch“

Der Kampf gegen Social Engineering wird häufig auf das Aussortieren der lästigen Phishing-Mails reduziert. Dabei nutzen Angreifer noch ganz andere Taktiken für ihr Ziel: den Menschen. Mit Kniffen, tief aus der psychologischen Trickkiste, triggern sie diverse Verhaltensmuster. Das Vorgehen ähnelt stark dem der Figur des Hauptmanns von Köpenick. lesen

Weltweiter Kampf gegen Hacker-Angriffe

Cyberkriminelle vs. Unternehmen

Weltweiter Kampf gegen Hacker-Angriffe

Weltweit nehmen die Angriffe auf Unternehmen und Institutionen in Form von Sabotage, Datendiebstahl oder Spionage zu. Ein Grund dafür sind die immer besser werdenden Hacking-Tools, die zur Verfügung stehen und Angriffe erfolgreicher und lukrativer machen. lesen

5 Tipps für Security-Awareness-Trainings

Security Awareness schaffen

5 Tipps für Security-Awareness-Trainings

Ziel von Security-Awareness-Maßnahmen ist es, Mitarbeiter von Unternehmen bei der Abwehr von Cyber-Attacken zu unterstützen. Dies beinhaltet verschiedene Trainings- und Schulungsmaßnahmen, die darauf abzielen, die Anwender zu Themen rund um die Sicherheit der IT-Systeme zu sensibilisieren und Grundlagenwissen zu vermitteln. lesen

Der Nutzen von Penetrationstests

Erkenntnisse eines Angriffs auf ein Versorgungsunternehmen

Der Nutzen von Penetrationstests

Cyberangriffe betreffen alle Branchen - und Versorgungsunternehmen sind genauso stark von Angriffen bedroht wie jede Branche. Technische Schwachstellen und menschliches Versagen sind Risiken für die IT-Sicherheit, die sich durch den Einsatz eines Pentesting-Teams überprüfen lassen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44834920 / Definitionen)