Definition Social Engineering

Was ist Social Engineering?

| Autor / Redakteur: Blue Floyd / Peter Schmitz

Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren.
Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren. (Bild: Pixabay / CC0)

Social Engineering ist ein Verfahren, um sicherheitstechnisch relevante Daten durch Ausnutzung menschlicher Komponenten in Erfahrung zu bringen. Abhängig vom Autoritätslevel der betrogenen Person entstehen durch Social Engineering beträchtliche Schäden.

Der Ablauf eines Betrugsversuchs durch Social Engineering fällt im Kern immer identisch aus: Durch verschiedene Methoden wird versucht, das Vertrauen einer bestimmten Person zu erhalten, damit diese wichtige Daten (Login-Namen und Passwörter sind ein zentrales Beispiel) preisgibt. Gelegentlich handelt es sich auch um einfaches Belauschen der Zielpersonen.

Beim Social Engineering kommen nicht immer Methoden über das Internet zum Einsatz. Denkbar sind etwa Telefonate, die ein eiliges Vorgehen bei einem fiktiven Netzwerkproblem verlangen, sodass die angerufene Person Login-Daten preisgibt. Auch autoritätsbezogener Betrug ist ein Mittel: Einer kontaktierten Person wird gesagt, dass eine Anweisung "vom Chef" oder anderen Mitarbeitern in höherer Position kommt - also in diesem Fall etwa die Anweisung, wichtige Daten zu übermitteln.

Social Engineering im 21. Jahrhundert

Viele Exploits basieren heute auf Tätigkeiten, die über das Internet ausgeführt werden. Betrüger sammeln Daten über eine Zielperson über Mittel wie Facebook. Anschließend gibt sich jener Betrüger als Vertrauensperson der Zielperson in einer E-Mail aus. Durch das Spoofing von E-Mail-Adressen lassen sich diese effektiv verschleiern. Inhalte dieser E-Mail könnten darauf abzielen, die Zielperson zum Download eines Anhangs oder zum Klicken auf einen bestimmten Link zu verleiten. Darin warten Trojaner, Würmer, Keylogger oder ähnliche Tools, um Schaden anzurichten oder wichtige Daten zu erhalten (was wiederum ein schwerer Schaden für sich ist).

Zusätzlich kommt Social Engineering bei unbedarften Personen zum Einsatz, die sich um die Tragweite der ihnen anvertrauten Daten nicht bewusst sind. Diese tauschen wichtige Daten einfacher aus, speichern Passwörter im Klartext in gut sichtbaren Dateien auf dem Desktop und dergleichen mehr. Aufgrund der sich rasant entwickelnden Technologie, die permanent neue Software und Geräte hervorbringt, ist es für die meisten IT-fernen Personen schwer, diese Risiken richtig einzuschätzen. Aus diesem Grund sind sie ein hervorragendes Ziel für Social Engineering.

Bedeutung von Social Engineering weltweit

2016 haben 98 Prozent der Unternehmen weltweit berichtet, dass Schadsoftware der größte Verursacher von internen Schäden war. Direkt dahinter folgte jedoch bereits Social Engineering, dem 70 Prozent der Unternehmen zum Opfer gefallen sind (und die Infektion mit Schadsoftware kann ebenfalls eine Folge von Social Engineering sein). Dieser Wert bewegt sich noch vor Angriffsmethoden wie der Ausführung von schädlichem Code auf präparierten Webseiten, webbasierten Angriffen oder die Gefahr durch umfangreiche Botnets oder DDoS-Attacken.

Prävention von Social Engineering

Da die größte Schwäche bei dieser Art von Angriff der Mensch ist, kann Sicherheitssoftware allein keine Lösung sein. Auch die beste Software wehrt keinen Angreifer ab, der sich korrekt über die üblichen Wege mit einem gültigen Login und Passwort anmeldet. Es gilt daher, Mitarbeiter in Unternehmen für die Gefahren von Social Engineering zu sensibilisieren. Interne Seminare und Kurse helfen dabei, Personen mit Zugang zu wichtigen Daten aufzuklären. Diese Mittel sind auch dafür verantwortlich, ein Bewusstsein dafür zu schaffen, was passieren sollte, wenn eine Person davon ausgeht, Ziel eines Social-Engineering-Angriffs zu sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Mobile Phishing – Gefahr für Nutzer und Unternehmen

Smartphones als Gefahrenquelle Nummer eins

Mobile Phishing – Gefahr für Nutzer und Unternehmen

In Zeiten allgegenwärtiger und alleskönnender Smartphones haben sich Phishing-Angriffe längst weit über den betrieblichen E-Mail-Vektor hinaus entwickelt und sind eines der primären, aber notorisch unterschätzten Einfallstore für den Zugriff auf sensible Unternehmensdaten. Höchste Zeit, die Gefahren erst zu nehmen! lesen

Was ist Maltego?

Definition Maltego

Was ist Maltego?

Maltego ist eine Analyse-Software, mit der sich Informationen im Internet suchen und verknüpfen lassen. Das Data-Mining-Werkzeug stellt die gefundenen Informationen mittels gerichteter Graphen visuell dar und gestattet weitere Analysen. Quellen zur Informations­suche sind beispielsweise Webseiten, soziale Netzwerke, Suchmaschinen oder öffentlich verfügbare Datenbanken. lesen

Wie Zero Trust für mehr Sicherheit sorgen kann

Netzwerksicherheit neu denken

Wie Zero Trust für mehr Sicherheit sorgen kann

Wie viel Vertrauen sollte man in seine Mitarbeiter sowie die eingesetzte Soft- und Hardware in Bezug auf IT-Sicherheit haben? Der Forrester-Analyst John Kindervag würde wahrscheinlich antworten: Am besten gar keins. Er entwickelte 2010 den Zero Trust-Ansatz, der angesichts zahlreicher Datenschutzverstöße immer mehr Anhänger findet. lesen

Der erste Tag als CISO

Tipps für den Start als CISO

Der erste Tag als CISO

Es kann schneller gehen, als man denkt: Die Geschäftsführung hat Sie als CISO auserkoren. Selbst wenn Sie sich schon lange mit Cyber Security befassen, kommen nun ganz neue Aufgaben auf Sie zu. Da ist es wichtig, gleich am ersten Tag die Weichen richtig zu stellen. Wir haben wichtige Tipps für Sie zusammengestellt, wie Sie sich für den neuen Alltag als CISO rüsten. lesen

LinkedIn beliebtestes Phishing-Ziel

KnowBe4 Phishing-Report Q2-2019

LinkedIn beliebtestes Phishing-Ziel

Bei Test des Security-Awareness-Spezialisten KnowBe4 hat sich gezeigt, dass mehr als 50 Prozent aller eingegangenen Phishing-E-Mails „LinkedIn“ in ihrer Betreffzeile hatten. Weitere Ergebnisse des Q2 Phishing-Reports 2019 hat das Unternehmen jetzt veröffentlicht. lesen

Kein Vertrauen in eigene Sicherheitsvorkehrungen

Risk:Value-Report von NTT Security

Kein Vertrauen in eigene Sicherheitsvorkehrungen

Dass ein umfangreiches Sicherheitskonzept für Unternehmen unabdingbar ist, ist weithin bekannt. Dennoch sind sich nahezu die Hälfte der im Rahmen einer NTT-Security-Studie befragten Unternehmen unsicher, ob ihre kritischen Daten sicher sind. lesen

Social Engineering ist häufigster Betrugsversuch

IDnow Security Report 2019

Social Engineering ist häufigster Betrugsversuch

Identitätsbetrug in der digitalen Welt kostet Unternehmen Milliarden. Betrüger greifen dabei zu immer kreativeren Methoden, die nur mit den entsprechenden Technologien und Prozessen abgewehrt werden können. Eine Analyse von IDnow ergab, dass die Liste der häufigsten Betrugsversuche mit 73 Prozent Social Engineering anführt, gefolgt von der Nutzung gefälschter (16 Prozent) beziehungsweise von gestohlenen Ausweisen (11 Prozent). lesen

Schutz vor Datenlecks

Diebstahl von Anmeldedaten

Schutz vor Datenlecks

Die Größe von Datenlecks nimmt in jüngster Vergangenheit immer weiter zu, während die Intervalle immer kleiner werden. Höchste Zeit für Unternehmen sich den Gefahren eines Datenverlustes bewusst zu werden und sich mithilfe professioneller IT-Security-Beratung proaktiv vor neuen Gefahren zu schützen. lesen

Führungskräfte im Visier der Cyberkriminellen

Verizon Data Breach Investigations Report (DBIR) 2019

Führungskräfte im Visier der Cyberkriminellen

C-Level-Führungskräfte mit Zugang zu kritischen Informationen im Unternehmen stehen aktuell im Mittelpunkt von Social Engineering-Angriffen, warnt der Verizon Data Breach Investigations Report (DBIR) 2019. Die zwölfte Ausgabe des Reports enthält Daten von 73 mitwirkenden Unternehmen und Organisationen, die höchste Anzahl seit dem Erscheinen des Reports. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44834920 / Definitionen)