Definition Social Engineering

Was ist Social Engineering?

| Autor / Redakteur: Blue Floyd / Peter Schmitz

Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren.
Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren. (Bild: Pixabay / CC0)

Social Engineering ist ein Verfahren, um sicherheitstechnisch relevante Daten durch Ausnutzung menschlicher Komponenten in Erfahrung zu bringen. Abhängig vom Autoritätslevel der betrogenen Person entstehen durch Social Engineering beträchtliche Schäden.

Der Ablauf eines Betrugsversuchs durch Social Engineering fällt im Kern immer identisch aus: Durch verschiedene Methoden wird versucht, das Vertrauen einer bestimmten Person zu erhalten, damit diese wichtige Daten (Login-Namen und Passwörter sind ein zentrales Beispiel) preisgibt. Gelegentlich handelt es sich auch um einfaches Belauschen der Zielpersonen.

Beim Social Engineering kommen nicht immer Methoden über das Internet zum Einsatz. Denkbar sind etwa Telefonate, die ein eiliges Vorgehen bei einem fiktiven Netzwerkproblem verlangen, sodass die angerufene Person Login-Daten preisgibt. Auch autoritätsbezogener Betrug ist ein Mittel: Einer kontaktierten Person wird gesagt, dass eine Anweisung "vom Chef" oder anderen Mitarbeitern in höherer Position kommt - also in diesem Fall etwa die Anweisung, wichtige Daten zu übermitteln.

Social Engineering im 21. Jahrhundert

Viele Exploits basieren heute auf Tätigkeiten, die über das Internet ausgeführt werden. Betrüger sammeln Daten über eine Zielperson über Mittel wie Facebook. Anschließend gibt sich jener Betrüger als Vertrauensperson der Zielperson in einer E-Mail aus. Durch das Spoofing von E-Mail-Adressen lassen sich diese effektiv verschleiern. Inhalte dieser E-Mail könnten darauf abzielen, die Zielperson zum Download eines Anhangs oder zum Klicken auf einen bestimmten Link zu verleiten. Darin warten Trojaner, Würmer, Keylogger oder ähnliche Tools, um Schaden anzurichten oder wichtige Daten zu erhalten (was wiederum ein schwerer Schaden für sich ist).

Zusätzlich kommt Social Engineering bei unbedarften Personen zum Einsatz, die sich um die Tragweite der ihnen anvertrauten Daten nicht bewusst sind. Diese tauschen wichtige Daten einfacher aus, speichern Passwörter im Klartext in gut sichtbaren Dateien auf dem Desktop und dergleichen mehr. Aufgrund der sich rasant entwickelnden Technologie, die permanent neue Software und Geräte hervorbringt, ist es für die meisten IT-fernen Personen schwer, diese Risiken richtig einzuschätzen. Aus diesem Grund sind sie ein hervorragendes Ziel für Social Engineering.

Bedeutung von Social Engineering weltweit

2016 haben 98 Prozent der Unternehmen weltweit berichtet, dass Schadsoftware der größte Verursacher von internen Schäden war. Direkt dahinter folgte jedoch bereits Social Engineering, dem 70 Prozent der Unternehmen zum Opfer gefallen sind (und die Infektion mit Schadsoftware kann ebenfalls eine Folge von Social Engineering sein). Dieser Wert bewegt sich noch vor Angriffsmethoden wie der Ausführung von schädlichem Code auf präparierten Webseiten, webbasierten Angriffen oder die Gefahr durch umfangreiche Botnets oder DDoS-Attacken.

Prävention von Social Engineering

Da die größte Schwäche bei dieser Art von Angriff der Mensch ist, kann Sicherheitssoftware allein keine Lösung sein. Auch die beste Software wehrt keinen Angreifer ab, der sich korrekt über die üblichen Wege mit einem gültigen Login und Passwort anmeldet. Es gilt daher, Mitarbeiter in Unternehmen für die Gefahren von Social Engineering zu sensibilisieren. Interne Seminare und Kurse helfen dabei, Personen mit Zugang zu wichtigen Daten aufzuklären. Diese Mittel sind auch dafür verantwortlich, ein Bewusstsein dafür zu schaffen, was passieren sollte, wenn eine Person davon ausgeht, Ziel eines Social-Engineering-Angriffs zu sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Die beliebtesten SIEM-Systeme 2018

IT-Awards 2018

Die beliebtesten SIEM-Systeme 2018

Eine moderne Unternehmens-IT ist kompliziert und vielschichtig. Umso wichtiger ist es, stets einen aktuellen Überblick über sicherheits­relevante Vorgänge zu haben. Security-Information-and-Event-Management-Systeme (SIEM) stellen ein zentrales Überwachungs­system bereit und halten Administratoren in Echtzeit über ungewöhnliche Ereignisse auf dem Laufenden. lesen

Absicherung gegen Cyberkriminelle

Virtueller Raum – realer Schaden

Absicherung gegen Cyberkriminelle

Cyberkriminalität nimmt weiter zu, die Methoden werden raffinierter und die technische Entwick­lung bietet Ansatzpunkte für immer neue, kreativ-kriminelle Initiativen. Unternehmen und Privatpersonen sehen sich zunehmend größeren finanziellen Risiken gegenüber. Es steht durchaus zu erwarten, dass eine Cyber-Versicherung schon bald so normal ist wie heute eine Privathaftpflicht. lesen

43 Mrd. Euro Schaden für die deutsche Industrie

Sabotage, Datendiebstahl und Spionage

43 Mrd. Euro Schaden für die deutsche Industrie

Kriminelle Attacken treffen Industrieunterneh­men besonders hart: Durch Sabotage, Daten­diebstahl oder Spionage ist der deutschen Industrie in den vergangenen beiden Jahren ein Gesamtschaden von insgesamt 43,4 Milliarden Euro entstanden. Fast 70 Prozent der deutschen Industrieunternehmen wurden in den vergangenen zwei Jahren Opfer von Sabotage, Datendiebstahl oder Spionage. lesen

Warum es Cyber-Experten auf die „dunkle“ Seite zieht

White Hat oder Black Hat

Warum es Cyber-Experten auf die „dunkle“ Seite zieht

Bei Hackern sind White Hats sind „die Guten“. Sie sind Experten im Umgang mit Computer­systemen und schützen diese vor Attacken von Außen. Doch manche IT-Experten wechseln zu den Black Hats, den Cyberkriminellen. Warum, verrät dieser Beitrag. lesen

Social Engineering als Waffe

Methoden gegen die gläserne Firma

Social Engineering als Waffe

Rein technische Angriffe auf eine Unternehmens-IT sind bei weitem nicht mehr so erfolgversprechend, wie es noch vor ein paar Jahren der Fall war. Die Täter verschaffen sich daher durch Social Engineering Informationen sozusagen über die Hintertür. Die Betroffenen unterschätzen die daraus entstehenden Risiken, gegen die es keine formalen Abwehrmaßnahmen gibt. lesen

Der Trick des Social Engineerings

Mensch als schwächstes Glied der Security-Kette

Der Trick des Social Engineerings

Um an sensible Unternehmensinformationen zu kommen, nutzen Cyber-Kriminelle das „Social Engineering“. Sie nehmen den Fachjargon und Kommunikationseigenheiten der Mitarbeiter an, um sich als „einer von ihnen“ zu tarnen. So gewinnen sie das Vertrauen und können Anweisungen erteilen. lesen

Cybercrime Risiko richtig absichern

Cyberschutz-Versicherungen

Cybercrime Risiko richtig absichern

Eine Cyberschutz-Versicherung kann die finanziellen Risiken eines Hacker-Angriffs und gezielter Wirtschaftskriminalität abmildern. Doch nur rund fünf Prozent der Unternehmen haben eine solche Versicherung für den Fall eines Cyber-Angriffs abgeschlossen. Das zeigt die aktuelle Studie „IT-Sicherheit 2018“ des eco – Verbands der Internetwirtschaft e.V. lesen

Mit PKI zur Cyber­sicher­heit durch Daten­ver­schlüs­se­lung

Verschlüsselung für Unternehmen

Mit PKI zur Cyber­sicher­heit durch Daten­ver­schlüs­se­lung

Die wachsende Zahl erfolgreicher Cyber­angriffe auf deutsche Unternehmen zeigt, dass auch im Mittelstand präventive Maßnahmen auf Netz­werk­ebene nicht mehr ausreichen. Um Angriffsfläche und potenziellen Schaden zu minimieren, braucht es verschlüsselte Sicherheitsbereiche auf Datenebene. Doch was ist zu beachten, damit die Datenhoheit des Unternehmens gewahrt bleibt? lesen

Was ist Bedrohungsanalyse?

Definition Bedrohungsanalyse

Was ist Bedrohungsanalyse?

Die Bedrohungsanalyse ist ein Teilbereich des Risikomanagements und der Risikoanalyse. Mithilfe der Bedrohungsanalyse lassen sich die verschiedenen Bedrohungen für IT-Systeme und IT-Prozesse systematisch erfassen, strukturieren und bewerten. Es handelt sich dabei nicht um einen einmaligen, sondern einen sich wiederholenden Prozess. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44834920 / Definitionen)