Definition Social Engineering

Was ist Social Engineering?

| Autor / Redakteur: Blue Floyd / Peter Schmitz

Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren.
Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren. (Bild: Pixabay / CC0)

Social Engineering ist ein Verfahren, um sicherheitstechnisch relevante Daten durch Ausnutzung menschlicher Komponenten in Erfahrung zu bringen. Abhängig vom Autoritätslevel der betrogenen Person entstehen durch Social Engineering beträchtliche Schäden.

Der Ablauf eines Betrugsversuchs durch Social Engineering fällt im Kern immer identisch aus: Durch verschiedene Methoden wird versucht, das Vertrauen einer bestimmten Person zu erhalten, damit diese wichtige Daten (Login-Namen und Passwörter sind ein zentrales Beispiel) preisgibt. Gelegentlich handelt es sich auch um einfaches Belauschen der Zielpersonen.

Beim Social Engineering kommen nicht immer Methoden über das Internet zum Einsatz. Denkbar sind etwa Telefonate, die ein eiliges Vorgehen bei einem fiktiven Netzwerkproblem verlangen, sodass die angerufene Person Login-Daten preisgibt. Auch autoritätsbezogener Betrug ist ein Mittel: Einer kontaktierten Person wird gesagt, dass eine Anweisung "vom Chef" oder anderen Mitarbeitern in höherer Position kommt - also in diesem Fall etwa die Anweisung, wichtige Daten zu übermitteln.

Social Engineering im 21. Jahrhundert

Viele Exploits basieren heute auf Tätigkeiten, die über das Internet ausgeführt werden. Betrüger sammeln Daten über eine Zielperson über Mittel wie Facebook. Anschließend gibt sich jener Betrüger als Vertrauensperson der Zielperson in einer E-Mail aus. Durch das Spoofing von E-Mail-Adressen lassen sich diese effektiv verschleiern. Inhalte dieser E-Mail könnten darauf abzielen, die Zielperson zum Download eines Anhangs oder zum Klicken auf einen bestimmten Link zu verleiten. Darin warten Trojaner, Würmer, Keylogger oder ähnliche Tools, um Schaden anzurichten oder wichtige Daten zu erhalten (was wiederum ein schwerer Schaden für sich ist).

Zusätzlich kommt Social Engineering bei unbedarften Personen zum Einsatz, die sich um die Tragweite der ihnen anvertrauten Daten nicht bewusst sind. Diese tauschen wichtige Daten einfacher aus, speichern Passwörter im Klartext in gut sichtbaren Dateien auf dem Desktop und dergleichen mehr. Aufgrund der sich rasant entwickelnden Technologie, die permanent neue Software und Geräte hervorbringt, ist es für die meisten IT-fernen Personen schwer, diese Risiken richtig einzuschätzen. Aus diesem Grund sind sie ein hervorragendes Ziel für Social Engineering.

Bedeutung von Social Engineering weltweit

2016 haben 98 Prozent der Unternehmen weltweit berichtet, dass Schadsoftware der größte Verursacher von internen Schäden war. Direkt dahinter folgte jedoch bereits Social Engineering, dem 70 Prozent der Unternehmen zum Opfer gefallen sind (und die Infektion mit Schadsoftware kann ebenfalls eine Folge von Social Engineering sein). Dieser Wert bewegt sich noch vor Angriffsmethoden wie der Ausführung von schädlichem Code auf präparierten Webseiten, webbasierten Angriffen oder die Gefahr durch umfangreiche Botnets oder DDoS-Attacken.

Prävention von Social Engineering

Da die größte Schwäche bei dieser Art von Angriff der Mensch ist, kann Sicherheitssoftware allein keine Lösung sein. Auch die beste Software wehrt keinen Angreifer ab, der sich korrekt über die üblichen Wege mit einem gültigen Login und Passwort anmeldet. Es gilt daher, Mitarbeiter in Unternehmen für die Gefahren von Social Engineering zu sensibilisieren. Interne Seminare und Kurse helfen dabei, Personen mit Zugang zu wichtigen Daten aufzuklären. Diese Mittel sind auch dafür verantwortlich, ein Bewusstsein dafür zu schaffen, was passieren sollte, wenn eine Person davon ausgeht, Ziel eines Social-Engineering-Angriffs zu sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Mehr und gefährlichere Cloud-Angriffe

Sicherheitsprognosen 2020

Mehr und gefährlichere Cloud-Angriffe

Das neue Jahr 2020 bringt Unternehmen Cloud-Angriffe in Maschinengeschwindigkeit. Das ist eine der Vorhersagen, die Security-Experten von Splunk für das Jahr 2020 formuliert haben. lesen

Cyberkriminelle im Jahr 2019 und 2020

Sicherheitsprognosen 2020

Cyberkriminelle im Jahr 2019 und 2020

2020 stehen Cyberattacken zunehmend unter dem Einfluss externer Faktoren und könnten somit immer spezifischer zum Einsatz kommen. Die zunehmende Verbreitung maschinellen Lernens, Deep Fake-Technologien oder mögliche Spannungen im Zusammenhang mit Handelsrouten zwischen Asien und Europa könnten hier die Cyber-Bedrohungen in diesem Jahr bestimmen. lesen

Online-Banking sicher wie nie zuvor

Auswertung von BKA-Bericht

Online-Banking sicher wie nie zuvor

Die Sicherheit beim Online-Banking steigt, dennoch fühlen sich die Nutzer nicht sicherer. Im Jahresvergleich sank die Anzahl der Phishing-Fälle um rund 50 Prozent, wie aus einer Statistik des Bundeskriminalamtes (BKA) hervorgeht. lesen

Die wichtigsten Trends in der Cybersecurity

Sicherheitsprognosen 2020

Die wichtigsten Trends in der Cybersecurity

Der Mensch bleibt auch 2020 das größte Cyber-Risiko für Unternehmen. Social Engineering und nicht gepatchte Software werden die Hauptursachen für erfolgreiche Cyberangriffe bleiben, aber neue Risiken wie Deepfakes stehen am Horizont. Vier Security-Experten von KnowBe4 werfen einen Blick auf neue Security-Trends und Cyber-Gefahren. lesen

Top 5 der Cyberbedrohungen 2020

Sophos Threat Report

Top 5 der Cyberbedrohungen 2020

Die Bedrohungslandschaft in der IT entwickelt sich rasant weiter. Welche Art von Cyberattacken Unternehmen künftig bedrohen werden, kann nicht genau vorhergesagt werden. Der Sophos Threat Report gibt einen Ausblick auf potenzielle Gefahren in 2020. lesen

Zwei-Faktor-Authentifizierung auf dem Prüfstand

Doppelt hält (nicht immer) besser

Zwei-Faktor-Authentifizierung auf dem Prüfstand

Zwei-Faktor-Authentifizierung (2FA) hat sich als die Lösung für Online-Banking, E-Commerce-Seiten und Social-Media-Plattformen etabliert. Absolute Sicherheit ist damit jedoch nicht garantiert. SMS-Tokens können abgefangen werden, Hardware-TOTP-Token verloren gehen. lesen

Über 100 Milliarden Euro Schaden pro Jahr

Angriffsziel deutsche Wirtschaft

Über 100 Milliarden Euro Schaden pro Jahr

Kriminelle Attacken auf Unternehmen verursachen in Deutschland Rekordschäden. Durch Sabotage, Datendiebstahl oder Spionage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 102,9 Milliarden Euro – analoge und digitale Angriffe zusammen­genommen. Der Schaden ist damit fast doppelt so hoch wie noch vor zwei Jahren (2016/2017: 55 Milliarden Euro p.a.). lesen

Was ist Wirtschaftsspionage?

Definition Wirtschaftsspionage

Was ist Wirtschaftsspionage?

Wirtschaftsspionage ist staatlich gelenkt und von Nachrichtendiensten gestützt. Ziel ist es, Unternehmen oder wissenschaftliche Einrichtungen auszuforschen und sich widerrechtlich deren Know-how anzueignen. Es besteht eine deutliche Abgrenzung zur nicht staatlich gelenkten Industrie- oder Konkurrenzspionage. Durch die Digitalisierung ergeben sich zahlreiche Möglichkeiten zur digitalen Ausspähung von Informationen. lesen

G Data trainiert Security-Awareness

E-Learning-Portal

G Data trainiert Security-Awareness

Mit der neuen E-Learning-Plattform will G Data Mitarbeiter in Unternehmen für Cybergefahren sensibilisieren. Die Onlinekurse der Awareness Trainings auf dem E-Learning-Portal wurden übersichtlicher gestaltet. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44834920 / Definitionen)