Definition Social Engineering

Was ist Social Engineering?

| Autor / Redakteur: Blue Floyd / Peter Schmitz

Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren.
Social Engineering birgt ein hohes Schadenspotenzial. Unternehmen müssen ihre Mitarbeiter deshalb für die Gefahren und Methoden des Social Engineering sensibilisieren. (Bild: Pixabay / CC0)

Social Engineering ist ein Verfahren, um sicherheitstechnisch relevante Daten durch Ausnutzung menschlicher Komponenten in Erfahrung zu bringen. Abhängig vom Autoritätslevel der betrogenen Person entstehen durch Social Engineering beträchtliche Schäden.

Der Ablauf eines Betrugsversuchs durch Social Engineering fällt im Kern immer identisch aus: Durch verschiedene Methoden wird versucht, das Vertrauen einer bestimmten Person zu erhalten, damit diese wichtige Daten (Login-Namen und Passwörter sind ein zentrales Beispiel) preisgibt. Gelegentlich handelt es sich auch um einfaches Belauschen der Zielpersonen.

Beim Social Engineering kommen nicht immer Methoden über das Internet zum Einsatz. Denkbar sind etwa Telefonate, die ein eiliges Vorgehen bei einem fiktiven Netzwerkproblem verlangen, sodass die angerufene Person Login-Daten preisgibt. Auch autoritätsbezogener Betrug ist ein Mittel: Einer kontaktierten Person wird gesagt, dass eine Anweisung "vom Chef" oder anderen Mitarbeitern in höherer Position kommt - also in diesem Fall etwa die Anweisung, wichtige Daten zu übermitteln.

Social Engineering im 21. Jahrhundert

Viele Exploits basieren heute auf Tätigkeiten, die über das Internet ausgeführt werden. Betrüger sammeln Daten über eine Zielperson über Mittel wie Facebook. Anschließend gibt sich jener Betrüger als Vertrauensperson der Zielperson in einer E-Mail aus. Durch das Spoofing von E-Mail-Adressen lassen sich diese effektiv verschleiern. Inhalte dieser E-Mail könnten darauf abzielen, die Zielperson zum Download eines Anhangs oder zum Klicken auf einen bestimmten Link zu verleiten. Darin warten Trojaner, Würmer, Keylogger oder ähnliche Tools, um Schaden anzurichten oder wichtige Daten zu erhalten (was wiederum ein schwerer Schaden für sich ist).

Zusätzlich kommt Social Engineering bei unbedarften Personen zum Einsatz, die sich um die Tragweite der ihnen anvertrauten Daten nicht bewusst sind. Diese tauschen wichtige Daten einfacher aus, speichern Passwörter im Klartext in gut sichtbaren Dateien auf dem Desktop und dergleichen mehr. Aufgrund der sich rasant entwickelnden Technologie, die permanent neue Software und Geräte hervorbringt, ist es für die meisten IT-fernen Personen schwer, diese Risiken richtig einzuschätzen. Aus diesem Grund sind sie ein hervorragendes Ziel für Social Engineering.

Bedeutung von Social Engineering weltweit

2016 haben 98 Prozent der Unternehmen weltweit berichtet, dass Schadsoftware der größte Verursacher von internen Schäden war. Direkt dahinter folgte jedoch bereits Social Engineering, dem 70 Prozent der Unternehmen zum Opfer gefallen sind (und die Infektion mit Schadsoftware kann ebenfalls eine Folge von Social Engineering sein). Dieser Wert bewegt sich noch vor Angriffsmethoden wie der Ausführung von schädlichem Code auf präparierten Webseiten, webbasierten Angriffen oder die Gefahr durch umfangreiche Botnets oder DDoS-Attacken.

Prävention von Social Engineering

Da die größte Schwäche bei dieser Art von Angriff der Mensch ist, kann Sicherheitssoftware allein keine Lösung sein. Auch die beste Software wehrt keinen Angreifer ab, der sich korrekt über die üblichen Wege mit einem gültigen Login und Passwort anmeldet. Es gilt daher, Mitarbeiter in Unternehmen für die Gefahren von Social Engineering zu sensibilisieren. Interne Seminare und Kurse helfen dabei, Personen mit Zugang zu wichtigen Daten aufzuklären. Diese Mittel sind auch dafür verantwortlich, ein Bewusstsein dafür zu schaffen, was passieren sollte, wenn eine Person davon ausgeht, Ziel eines Social-Engineering-Angriffs zu sein.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist OPSEC?

Definition Operations Security (OPSEC)

Was ist OPSEC?

Unter OPSEC (Operations Security) versteht man im IT-Umfeld die Summe von Prozessen und Strategien zum Schutz kritischer Daten. OPSEC basiert auf fünf iterativen Teilprozessen, die es nacheinander zu durchlaufen gilt. Ursprünglich stammt der Begriff OPSEC aus dem militärischen Bereich. lesen

Social Engineering der Schwachstelle Mensch

Hackerattacke auf die menschliche Psyche

Social Engineering der Schwachstelle Mensch

Social Engineering ist eine höchst effektive Angriffsmethode, bei der sich Cyberkriminelle durch Manipulation der Mitarbeiter Zugang zum Unternehmensnetzwerk verschaffen. Unternehmen können dabei nicht auf die gängigen Abwehrmechanismen in Formen von Anti-Viren-Programmen oder Software setzen, um derartige Attacken abwehren zu können, denn die Hacker machen sich die menschliche Psyche zu nutze. lesen

Was die DSGVO bei Cyberangriffen fordert

Hackerangriffe und Ransomware

Was die DSGVO bei Cyberangriffen fordert

Nur noch wenige Wochen bleiben Unternehmen, bis die Übergangsfrist für die neue Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 endet. Eine Deadline, die Firmen vor Herausforderungen stellt. Zum Beispiel im Hinblick auf die Auswirkungen für den Datenschutz, wenn trotz aller Sicherheitsvorkehrungen Hacker in das Datensystem eindringen. lesen

Mac-Endpunkte vor Cyberangriffen schützen

Praxistipps von Palo Alto Networks

Mac-Endpunkte vor Cyberangriffen schützen

Mac-Geräte sind mit steigenden Nutzungszahlen durch Unternehmen mittlerweile zu einem wachsenden Ziel für Cyberangriffe geworden. Jahrelang galten Macs als immun gegenüber Cyberangriffen. Erfolgreiche Angriffe wie KeRanger, XAgent, MacOSDynamic, Linker Exploitation und IoS Trifecta haben gezeigt, dass Mac-Endpunkte nun anfällig für verschiedene Arten von Malware und Exploits sind. lesen

Security Awareness für Programmierer

Security-Startups im Blickpunkt: Securai

Security Awareness für Programmierer

Hacker, Malware und Cyberspionen wirksam den Zugriff auf digitale Unternehmenswerte zu verwehren ist nicht einfach. Man investiert dafür in clevere Software, durchdachte Prozesse und letztendlich auch in Security Awareness beim Mitarbeiter, der als engagierter Wächter ebenfalls Bedrohungen erkennen und eliminieren soll. Gerade Gruppen wie Programmierer bleiben bei diesen Maßnahmen aber oft inhaltlich ausgeschlossen, da man nicht auf Ihre Bedürfnisse eingeht. lesen

Europa ist Hauptziel von DDoS-Angriffen

DDoS-Trends 2017

Europa ist Hauptziel von DDoS-Angriffen

F5 Networks hat ermittelt, dass im Jahr 2017 die registrierten IT-Sicherheitsvorfälle um 64 Prozent angestiegen sind. Das zeigen Kundendaten aus dem F5 Security Operations Center (SOC) in Polen. Dabei steht das Gebiet Europa, Naher Osten und Afrika (EMEA) im Brennpunkt: 51 Prozent der weltweit gemeldeten DDoS-Angriffe trafen Unternehmen aus dieser Region. lesen

Malware-Schutz für Exchange Online von Kaspersky

Kaspersky Security for Microsoft Office 365

Malware-Schutz für Exchange Online von Kaspersky

Nutzer von Microsoft Office 365 können ab sofort den integrierten E-Mail-Dienst „Exchange Online“ mit Kaspersky Security for Microsoft Office 365 absichern. Die Lösung adressiert die Sicherheitsbedürfnisse mittelständischer Unternehmen und in diesem Bereich aktiver Managed Service Provider (MSPs) und bietet Schutz vor Spam, Phishing, Ransomware und noch unbekannten Cyberattacken. lesen

DSGVO konforme Elektronikentwicklungen

Whitepaper für Entwickler, Produktmanager und Einkäufer

DSGVO konforme Elektronikentwicklungen

Die DSGVO regelt die Verarbeitung personenbezogener Daten neu. Sie wird am 25. Mai 2018 rechtsverbindlich. Rutronik beschreibt jetzt in einem Whitepaper wesentliche Bereiche, die für Hardware- und Software-Entwickler, Produktmanager und Einkäufer bei der Umsetzung der DSGVO entscheidend sind. lesen

Schattenseiten von Bitcoin, Ether & Co.

Cybercrime und Kryptowährungen

Schattenseiten von Bitcoin, Ether & Co.

Das Jahr 2017 war für Kryptowährungen turbulent: Bitcoin, Ether und Co. erlebten einen Boom wie noch nie zuvor. Doch mit dem steigenden Wert wuchs auch die Gier von Cyberkriminellen: Sie erbeuteten virtuellen Währungen im Wert von Millionen. Der europäische Security-Hersteller ESET zeigt, welche Taktiken die Hacker für die spektakulärsten Kryptowährungs-Diebstähle 2017 nutzten. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44834920 / Definitionen)