Definition Social Engineering

Was ist Social Engineering?

| Autor / Redakteur: Blue Floyd / Peter Schmitz

Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren.
Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren. (Bild: Pixabay / CC0)

Social Engineering ist ein Verfahren, um sicherheitstechnisch relevante Daten durch Ausnutzung menschlicher Komponenten in Erfahrung zu bringen. Abhängig vom Autoritätslevel der betrogenen Person entstehen durch Social Engineering beträchtliche Schäden.

Der Ablauf eines Betrugsversuchs durch Social Engineering fällt im Kern immer identisch aus: Durch verschiedene Methoden wird versucht, das Vertrauen einer bestimmten Person zu erhalten, damit diese wichtige Daten (Login-Namen und Passwörter sind ein zentrales Beispiel) preisgibt. Gelegentlich handelt es sich auch um einfaches Belauschen der Zielpersonen.

Beim Social Engineering kommen nicht immer Methoden über das Internet zum Einsatz. Denkbar sind etwa Telefonate, die ein eiliges Vorgehen bei einem fiktiven Netzwerkproblem verlangen, sodass die angerufene Person Login-Daten preisgibt. Auch autoritätsbezogener Betrug ist ein Mittel: Einer kontaktierten Person wird gesagt, dass eine Anweisung "vom Chef" oder anderen Mitarbeitern in höherer Position kommt - also in diesem Fall etwa die Anweisung, wichtige Daten zu übermitteln.

Social Engineering im 21. Jahrhundert

Viele Exploits basieren heute auf Tätigkeiten, die über das Internet ausgeführt werden. Betrüger sammeln Daten über eine Zielperson über Mittel wie Facebook. Anschließend gibt sich jener Betrüger als Vertrauensperson der Zielperson in einer E-Mail aus. Durch das Spoofing von E-Mail-Adressen lassen sich diese effektiv verschleiern. Inhalte dieser E-Mail könnten darauf abzielen, die Zielperson zum Download eines Anhangs oder zum Klicken auf einen bestimmten Link zu verleiten. Darin warten Trojaner, Würmer, Keylogger oder ähnliche Tools, um Schaden anzurichten oder wichtige Daten zu erhalten (was wiederum ein schwerer Schaden für sich ist).

Zusätzlich kommt Social Engineering bei unbedarften Personen zum Einsatz, die sich um die Tragweite der ihnen anvertrauten Daten nicht bewusst sind. Diese tauschen wichtige Daten einfacher aus, speichern Passwörter im Klartext in gut sichtbaren Dateien auf dem Desktop und dergleichen mehr. Aufgrund der sich rasant entwickelnden Technologie, die permanent neue Software und Geräte hervorbringt, ist es für die meisten IT-fernen Personen schwer, diese Risiken richtig einzuschätzen. Aus diesem Grund sind sie ein hervorragendes Ziel für Social Engineering.

Bedeutung von Social Engineering weltweit

2016 haben 98 Prozent der Unternehmen weltweit berichtet, dass Schadsoftware der größte Verursacher von internen Schäden war. Direkt dahinter folgte jedoch bereits Social Engineering, dem 70 Prozent der Unternehmen zum Opfer gefallen sind (und die Infektion mit Schadsoftware kann ebenfalls eine Folge von Social Engineering sein). Dieser Wert bewegt sich noch vor Angriffsmethoden wie der Ausführung von schädlichem Code auf präparierten Webseiten, webbasierten Angriffen oder die Gefahr durch umfangreiche Botnets oder DDoS-Attacken.

Prävention von Social Engineering

Da die größte Schwäche bei dieser Art von Angriff der Mensch ist, kann Sicherheitssoftware allein keine Lösung sein. Auch die beste Software wehrt keinen Angreifer ab, der sich korrekt über die üblichen Wege mit einem gültigen Login und Passwort anmeldet. Es gilt daher, Mitarbeiter in Unternehmen für die Gefahren von Social Engineering zu sensibilisieren. Interne Seminare und Kurse helfen dabei, Personen mit Zugang zu wichtigen Daten aufzuklären. Diese Mittel sind auch dafür verantwortlich, ein Bewusstsein dafür zu schaffen, was passieren sollte, wenn eine Person davon ausgeht, Ziel eines Social-Engineering-Angriffs zu sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Die Sorge um E-Mail-Sicherheit wächst stetig

Business E-Mail Compromise, Ransomware, Trojaner, Phishing, und vieles mehr

Die Sorge um E-Mail-Sicherheit wächst stetig

Da die elektronische Post aus dem Geschäftsleben nicht mehr wegzudenken ist, ist sie ein bevorzugtes Einfallstor von Cyberkriminellen. Dennoch verzichten eine Vielzahl von Unternehmen darauf, ihre Mitarbeiter auf diese Gefahren hin zu schulen. Eine Befragung von Barracuda zeigt die häufigsten Probleme auf. lesen

Malware schürft immer öfter Krypto­währungen

Fortinet Threat Landscape Report

Malware schürft immer öfter Krypto­währungen

Cyber-Kriminelle entwickeln ihre Angriffs­me­thoden rasant weiter, um Infektionen schneller und weiter verbreiten zu können. Wäh­rend Ransomware Unternehmen weiter zu schaffen macht, nutzen einige Cyber­kriminelle jetzt bevorzugt gekaperte Systeme für das Krypto-Mining anstatt Lösegeld zu erpressen. Das zeigen die Ergebnisse des aktuellen Fortinet Global Threat Landscape Reports. lesen

Was ist Security Awareness?

Definition Security-Awareness-Training

Was ist Security Awareness?

Security Awarenes, bzw. das Security-Awareness-Training umfasst verschiedene Schulungsmaßnahmen, um Mitarbeiter eines Unternehmens oder einer Organisation für Themen rund um die Sicherheit der IT-Systeme zu sensibilisieren. Ziel ist es, die durch Mitarbeiter verursachten Gefahren für die IT-Sicherheit zu minimieren. lesen

Die Rückkehr des Festi-Rootkit

Malware-Analyse

Die Rückkehr des Festi-Rootkit

Veraltete Software wird nicht unendlich verkauft, sondern irgendwann vom Markt genommen. Es macht auch keinen Sinn, sie später wieder auf den Markt zu bringen. Gleiches gilt eigentlich auch für Malware. Ist ein Angriffsvektor bekannt, sollten Unternehmen ihn schließen und der Schädling hätte keine Chance mehr. Leider passiert das nicht, dies zeigt die Geschichte von Festi, eines ehemals beliebten Rootkits. lesen

Moderne Sicherheit am Endpoint

Kaspersky Endpoint Security for Business

Moderne Sicherheit am Endpoint

Unternehmen stehen heute Cyberkriminellen gegenüber, Ransomware-Massenangriffe mit fortschrittlichen Exploits, kreative Spam- und Phishing-Kampagnen, sowie gezielte Social-Engineering-Attacken gegen sie einsetzen. Die neue Version von Kaspersky Endpoint Security for Business will hier moderne Erkennungstechniken und mehrschichtigen Schutz entgegensetzen. lesen

Ransomware führt Hitlisten noch immer an

Data Breach Investigations Report 2018

Ransomware führt Hitlisten noch immer an

Ransomware ist noch immer eine zentrale Cybersecurity-Bedrohung für Unternehmen, zeigen die Ergebnisse des Verizon Data Breach Investigations Report (DBIR) 2018. Ransomware war 2017 bei 39 Prozent der mit Malware in Verbindung stehenden Fälle im Spiel. Aber auch der Faktor Mensch ist und bleibt eine Schwachstelle, Phishing-Angriffe nehmen beispielsweise inzwischen gezielt Personalabteilungen ins Visier. lesen

Sichere Netzwerke für die Smart Factory

Sicherheitskonzepte für Industrie 4.0

Sichere Netzwerke für die Smart Factory

Das Vernetzen von Anlagen automatisiert und individualisiert die Produktion, sorgt für mehr Effizienzund höhere Rentabilität – und macht die Systeme für Hacker angreifbar. Denn Cyberkriminelle könnten ausnutzen, dass die gängigen IT-Sicherheitsstandards im Industrie-4.0-Umfeld häufig nicht so greifen, wie IT-Experten das erwarten. lesen

Moderne Endpoint-Sicherheit ist mehr als Anti-Virus

IT-Security Management & Technology Conference 2018

Moderne Endpoint-Sicherheit ist mehr als Anti-Virus

Die Digitalisierung fordert die IT-Sicherheit heraus. Mehr Geräte im Netzwerk, neue Arten zu Arbeiten und Mitarbeiter, die sich nicht mehr so einfach Dinge verbieten lassen. Abhilfe schaffen Endpoint-Lösungen die nicht mehr nur nach Viren suchen. Mehr Intelligenz muss Einzug halten. lesen

72-Stunden-Frist für ordnungsgemäße Meldungen

Meldepflicht im IT-Sicherheitsgesetz und in der DSGVO

72-Stunden-Frist für ordnungsgemäße Meldungen

Dass IT-Sicherheitsgesetz und die EU-Datenschutz-Grundverordnung bringen Meldepflichten mit sich, die gar nicht so einfach zu erfüllen sind. Vor allem bei Datenschutzpannen haben die Unternehmen nur 72 Stunden Zeit zu reagieren. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44834920 / Definitionen)