Definition Social Engineering

Was ist Social Engineering?

| Autor / Redakteur: Blue Floyd / Peter Schmitz

Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren.
Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren. (Bild: Pixabay / CC0)

Social Engineering ist ein Verfahren, um sicherheitstechnisch relevante Daten durch Ausnutzung menschlicher Komponenten in Erfahrung zu bringen. Abhängig vom Autoritätslevel der betrogenen Person entstehen durch Social Engineering beträchtliche Schäden.

Der Ablauf eines Betrugsversuchs durch Social Engineering fällt im Kern immer identisch aus: Durch verschiedene Methoden wird versucht, das Vertrauen einer bestimmten Person zu erhalten, damit diese wichtige Daten (Login-Namen und Passwörter sind ein zentrales Beispiel) preisgibt. Gelegentlich handelt es sich auch um einfaches Belauschen der Zielpersonen.

Beim Social Engineering kommen nicht immer Methoden über das Internet zum Einsatz. Denkbar sind etwa Telefonate, die ein eiliges Vorgehen bei einem fiktiven Netzwerkproblem verlangen, sodass die angerufene Person Login-Daten preisgibt. Auch autoritätsbezogener Betrug ist ein Mittel: Einer kontaktierten Person wird gesagt, dass eine Anweisung "vom Chef" oder anderen Mitarbeitern in höherer Position kommt - also in diesem Fall etwa die Anweisung, wichtige Daten zu übermitteln.

Social Engineering im 21. Jahrhundert

Viele Exploits basieren heute auf Tätigkeiten, die über das Internet ausgeführt werden. Betrüger sammeln Daten über eine Zielperson über Mittel wie Facebook. Anschließend gibt sich jener Betrüger als Vertrauensperson der Zielperson in einer E-Mail aus. Durch das Spoofing von E-Mail-Adressen lassen sich diese effektiv verschleiern. Inhalte dieser E-Mail könnten darauf abzielen, die Zielperson zum Download eines Anhangs oder zum Klicken auf einen bestimmten Link zu verleiten. Darin warten Trojaner, Würmer, Keylogger oder ähnliche Tools, um Schaden anzurichten oder wichtige Daten zu erhalten (was wiederum ein schwerer Schaden für sich ist).

Zusätzlich kommt Social Engineering bei unbedarften Personen zum Einsatz, die sich um die Tragweite der ihnen anvertrauten Daten nicht bewusst sind. Diese tauschen wichtige Daten einfacher aus, speichern Passwörter im Klartext in gut sichtbaren Dateien auf dem Desktop und dergleichen mehr. Aufgrund der sich rasant entwickelnden Technologie, die permanent neue Software und Geräte hervorbringt, ist es für die meisten IT-fernen Personen schwer, diese Risiken richtig einzuschätzen. Aus diesem Grund sind sie ein hervorragendes Ziel für Social Engineering.

Bedeutung von Social Engineering weltweit

2016 haben 98 Prozent der Unternehmen weltweit berichtet, dass Schadsoftware der größte Verursacher von internen Schäden war. Direkt dahinter folgte jedoch bereits Social Engineering, dem 70 Prozent der Unternehmen zum Opfer gefallen sind (und die Infektion mit Schadsoftware kann ebenfalls eine Folge von Social Engineering sein). Dieser Wert bewegt sich noch vor Angriffsmethoden wie der Ausführung von schädlichem Code auf präparierten Webseiten, webbasierten Angriffen oder die Gefahr durch umfangreiche Botnets oder DDoS-Attacken.

Prävention von Social Engineering

Da die größte Schwäche bei dieser Art von Angriff der Mensch ist, kann Sicherheitssoftware allein keine Lösung sein. Auch die beste Software wehrt keinen Angreifer ab, der sich korrekt über die üblichen Wege mit einem gültigen Login und Passwort anmeldet. Es gilt daher, Mitarbeiter in Unternehmen für die Gefahren von Social Engineering zu sensibilisieren. Interne Seminare und Kurse helfen dabei, Personen mit Zugang zu wichtigen Daten aufzuklären. Diese Mittel sind auch dafür verantwortlich, ein Bewusstsein dafür zu schaffen, was passieren sollte, wenn eine Person davon ausgeht, Ziel eines Social-Engineering-Angriffs zu sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

DSGVO konforme Elektronikentwicklungen

Whitepaper für Entwickler, Produktmanager und Einkäufer

DSGVO konforme Elektronikentwicklungen

Die DSGVO regelt die Verarbeitung personenbezogener Daten neu. Sie wird am 25. Mai 2018 rechtsverbindlich. Rutronik beschreibt jetzt in einem Whitepaper wesentliche Bereiche, die für Hardware- und Software-Entwickler, Produktmanager und Einkäufer bei der Umsetzung der DSGVO entscheidend sind. lesen

Schattenseiten von Bitcoin, Ether & Co.

Cybercrime und Kryptowährungen

Schattenseiten von Bitcoin, Ether & Co.

Das Jahr 2017 war für Kryptowährungen turbulent: Bitcoin, Ether und Co. erlebten einen Boom wie noch nie zuvor. Doch mit dem steigenden Wert wuchs auch die Gier von Cyberkriminellen: Sie erbeuteten virtuellen Währungen im Wert von Millionen. Der europäische Security-Hersteller ESET zeigt, welche Taktiken die Hacker für die spektakulärsten Kryptowährungs-Diebstähle 2017 nutzten. lesen

Das passiert (wahrscheinlich) 2018 bei Datenschutz und Datensicherheit!

Security-Prognosen 2018

Das passiert (wahrscheinlich) 2018 bei Datenschutz und Datensicherheit!

2017 war das Jahr der großen Ransomware-Angriffswellen, von Datendiebstählen und national betriebener Cyberspionage. Welche Systeme geraten 2018 ins Visier von Hackern und wo muss Bewegung in die Security-Technologien und Datenschutzdebatten kommen? Eine Prognose zehn möglicher Angriffsszenarien und Handlungsfelder. lesen

Das gekaperte Office 365-Konto

Account-Sicherheit

Das gekaperte Office 365-Konto

Office 365 ist nicht nur bei Unternehmen beliebt, sondern zunehmend auch bei Cyberkriminellen. Immer häufiger werden Office 365-Konten durch gezielte Phishing-Attacken gekapert. Die Angreifer nutzen dann die gestohlene Identität um weitere Angriffe innerhalb des Unternehmens auszuführen. lesen

IT-Abteilungen sind das größte Sicherheitsrisiko

Balabit-Studie unter IT-Experten

IT-Abteilungen sind das größte Sicherheitsrisiko

35 Prozent von mehr als 200 befragten IT-Fachleuten sehen sich selbst als größtes internes Sicherheitsrisiko für Daten und Applikationen im Unternehmen, zeigt eine aktuelle Umfrage von Balabit. Demnach wissen die Experten zwar, welche Informationen, Anwendungen und Systeme im Unternehmensnetz in besonderem Maße schützenswert sind, aber dennoch haben die IT-Abteilungen Probleme, sie wirkungsvoll vor der Unberechenbarkeit des Menschen selbst zu bewahren. lesen

Sicherheitsrisiko Abwesenheitsnotiz

Social Engineering und Phishing

Sicherheitsrisiko Abwesenheitsnotiz

Cyberangriffe auf Unternehmen richten sich vor allem auf deren Server-Infrastruktur, dicht gefolgt von den Endpunkten, also den Nutzern. Dabei werden die Angriffsszenarien auf letztere immer raffinierter – oder denken Sie bei einer einfachen Abwesenheitsnotiz im E-Mail-Programm an ein Einfallstor für Cyberkriminelle? Nein? Sollten Sie aber! lesen

Microsoft schließt im Dezember 34 Sicherheitslücken

Microsoft Patchday Dezember 2017

Microsoft schließt im Dezember 34 Sicherheitslücken

Der Dezember Patch Day ist da und er bringt IT-Admins einiges an Arbeit. 34 Schwachstellen werden geschlossen, fast alle wichtigen Microsoft-Produkte sind betroffen. Die Patches sollten schnellstmöglich eingespielt werden, schließlich betreffen sie unter anderem Lücken im integrierten Malware-Schutz. lesen

IT-Security funktioniert nur als Gesamtpaket

Datensicherheit

IT-Security funktioniert nur als Gesamtpaket

Fast kein Tag vergeht ohne Meldungen über Cyber-Attacken auf Unternehmen. Wer jetzt meint, dass dieses Firmen und ihre Mitarbeiter angesichts dieses Nachrichten-Dauerfeuers perfekte Schutzmechanismen entwickelt hätten, täuscht sich. Eine aktuelle Umfrage sieht hier noch „Luft nach oben“. Auch im Fokus: Fahrlässiges Verhalten von Mitarbeitern. lesen

Was ist ein Penetrationstest?

Definition Pentest

Was ist ein Penetrationstest?

Bei einem Penetrationstest werden IT-Systeme oder Netzwerke einer umfassenden Prüfung unterzogen, die die Empfindlichkeit gegenüber Angriffen feststellen soll. Bei einem Pentest kommen Methoden und Techniken zum Einsatz, die von echten Angreifern oder Hackern verwendet werden. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44834920 / Definitionen)