Bei Social Engineering handelt es sich um ein Verfahren, um sicherheitstechnisch relevante Daten durch das Ausnutzen menschlichen Verhaltens zu gewinnen. Dabei wählt der Täter den Menschen als vermeintlich schwächtes Glied der Sicherheitskette aus, um seine kriminellen Absichten in die Tat umzusetzen. Er nutzt dabei menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft, Angst oder Respekt vor Autorität aus, um diese Menschen zu manipulieren.
Social Engineering dient seit Urzeiten als Grundlage für verschiedenste Betrugsmaschen. Im Zeitalter der digitalen Kommunikation stehen dem Kriminellen jedoch viele neue Möglichkeiten zur Verfügung, Millionen von Opfer zu erreichen. Dabei verleitet er ein Opfer z.B. dazu, vertrauliche Informationen preiszugeben, Überweisungen zu tätigen, Schadsoftware auf den privaten PC oder den Rechner im Firmennetzwerk herunterzuladen und Sicherheitsfunktionen außer Kraft zu setzen.
Bei Angriffen mithilfe Social Engineerings liegt der Fokus auf dem zentralen Merkmal der Täuschung über die Identität und die Absicht des Täters. Beispielsweise gibt sich der Cyberkriminelle als Techniker oder Mitarbeiter eines Telekommunikationsunternehmens aus, um das Opfer dazu zu bringen, vertrauliche Kontoinformationen preiszugeben oder eine bestimmte präparierte Webseite zu besuchen.
Ein klassisches Beispiel ist der angebliche Systemadministrator, der Sie im Unternehmen anruft, da er zur Behebung eines Systemfehlers oder einer Sicherheitslücke Ihr Passwort benötigt. Häufig werden auch Phishing-E-Mails verwendet, um das Opfer auf eine bestimmte Webseite zu leiten. Typisch dafür ist, dass der Täter die Absicht vortäuscht, die Sicherheit eines Systems oder Arbeitsablaufs zu erhöhen. Das Opfer, das in die Falle tappt, handelt dabei in dem Glauben, das Richtige zu tun. Tatsächlich fällt es auf die Täuschung des Täters herein. Dabei spielt es dem realen Motiv des Kriminellen in die Hände, Zugangsdaten zu erlangen oder Schadsoftware einzuschmuggeln. Im schlimmsten Fall erlangt der Täter dadurch Zugang zu dem ansonsten gut geschützten Sicherheitsnetzwerk eines Unternehmens. Abhängig vom Autoritätslevel des Opfers entstehen bei diesem durch Social Engineering erhebliche Schäden.
Vor allem die Kommunikation via E-Mails bietet Kriminellen ein vergleichsweise recht einfaches Umfeld für Social Engineering. Die technisch vermittelte Kommunikation fällt dem Täter leichter, da er das Opfer nicht wie in einem persönlichen Gespräch über alle Sinne hinwegtäuschen muss.
Beim Dumpster Diving fokussieren sich die Täter sowohl online als auch offline auf das Erlangen von Informationen über das Opfer. Social Engineers durchsuchen dabei den Müll der Zielperson, um z.B. Informationen über das Verhalten und Interessen des Opfers herauszufinden. Beispielsweise Pizzakartons des Lieblingsrestaurants oder Medikamentenschachteln. Aus solch vermeintlichen Kleinigkeiten können Angreifer wichtige Informationen ableiten.
Auch private und berufliche Soziale Netzwerke werden von Kriminellen mithilfe von Social Engineering häufig ausgenutzt. Denn hier erhalten sie schon im vornherein eine Vielzahl von Hintergrundinformationen über das potentielle Opfer. Dadurch können Täter ihre Angriffe gezielter ausrichten und eine vertraulichere Beziehung zum Opfer aufbauen, etwa durch den Verweis auf Kollegen, Freunde oder Hobbys. Das soll das Opfer in Sicherheit wiegen und zu unzulässigen Handlungen verleiten.
Generell unterscheidet man in der IT-Sicherheit grob zwischen gezielten und ungezielten Angriffen; vor allem in Bezug auf Social Engineering ist es wichtig, diesen Unterschied zu erkennen:
Da sich Social Engineering um den Menschen als Sicherheitslücke dreht, ist es wichtig, sich als Privatperson sowie Mitarbeiter im Unternehmen für mögliche Angriffe zu schulen, obwohl die Gefahr durch Social Engineering über Präventivmaßnahmen nie gänzlich gebannt werden kann. Im Folgenden stellen wir einige Schutzmaßnahmen gegen Social Engineering vor:
Social Engineering ist sehr komplex und umfasst viele Möglichkeiten, potentielle Opfer hinters Licht zu führen. Hier finden Sie einige der gängigsten Methoden von Social Engineering:
Bei einem Phishing-Angriff nehmen Cyberkriminelle eine betrügerische Kommunikation mit dem Opfer auf und tarnen sich dabei als vermeintlich vertrauenswürdige Quelle. Die Betrüger versuchen, das Opfer dazu zu bringen, Malware zu installieren oder sensible Informationen herauszugeben. Der beliebteste Vektor ist der Kontakt via E-Mail, jedoch werden auch gefälschte Webseiten, Chat-Programme, Telefonanrufe oder Social Media für Phishing benutzt. Besonders perfide Phishing-Angriffe tarnen sich beispielsweise als gemeinnützige Organisationen vor dem Hintergrund aktueller Naturkatastrophen oder Vorfällen, wie z.B. dem Coronavirus. Durch einen Spendenaufruf wollen Social Engineers an Daten oder Zahlungsinformationen gelangen.
Beim sogenannten Baiting wird das Opfer mit einem physischen Köder in die Falle gelockt. Beispielsweise wird dabei ein mit Malware infizierter USB-Stick an einem Ort zurückgelassen, an dem dieser sicher gefunden wird. Sobald der Finder den USB-Stick mit seinem Rechner verbindet, installiert sich heimlich die Schadsoftware. Häufig handelt es sich hierbei um einen Trojaner, mit dem Cyberkriminelle fortan Zugang zum Computer erhalten.
Beim Pretexting erschafft der Täter ein sinnvoll erscheinendes Szenario, um Zugang zu persönlichen Daten oder dem System des Opfers zu erlangen. Beispielsweise gibt der Kriminelle dabei vor, Zugangsdaten zu einem Bankkonto zu benötigen, um die Identität des Opfers zu bestätigen.
Der Täter passt beim Tailgating das Opfer z.B. vor einem ansonsten gesicherten Oft ab und gibt vor, seine Zugangskarte vergessen zu haben. Auch die unscheinbare Bitte, ihm sein Handy oder Computer für einen Moment zu überlassen, um eine einfache Aufgabe zu erledigen, ist eine häufig genutzt Methode des Tailgatings. Statt die Aufgabe zu erledigen, schleust der Täter dabei Schadsoftware auf das Gerät oder stiehlt Daten des Nutzers.
Bei einem Quid-pro-quo-Angriff (Lateinisch: „dies für das“) locken Kriminelle das Opfer mit einer vermeintlichen Gegenleistung oder Entschädigung in eine Falle. Beispielsweise erzählt der Täter am Telefon, dass er eine offizielle Umfrage durchführt und es als Entschädigung für die Teilnahme ein Geschenk oder einen Geldbetrag gibt. Tipp: Nutzen Sie Ihren gesunden Menschenverstand! Wenn etwas zu schön ist, um wahr zu sein, ist Misstrauen geboten.
Beim Spear-Phishing handelt es sich um einen gezielten Phishing-Angriff auf eine bestimmte Person oder ein Unternehmen. Dabei verwenden Cyberkriminelle persönliche Informationen, die auf das Opfer abgestimmt sind, um dessen Vertrauen zu gewinnen. Häufig entnehmen die Täter diese Informationen aus den Sozialen Medien oder anderen Online-Aktivitäten. Durch die Personalisierung der gestreuten Informationen haben die Kriminellen eine höhere Erfolgsquote bei ihrem Spear-Phishing-Angriff, ihre Opfer dazu zu bringen, Informationen preiszugeben.
Bei einer Watering-Hole-Attacke (Auflauern am Wasserloch) konzentrieren sich die Angreifer auf eine bestimmte Webseite, von der sie wissen, dass das Opfer sie häufig besucht, und infizieren diese mit Malware. Beispielsweise die Menükarte eines Restaurants, in dem Mitarbeiter eines Unternehmens häufig zu Mittag essen. Wenn das Opfer das Tagesmenü des Restaurants auf der Webseite öffnet, infiziert es seinen Rechner mit der Schadsoftware.
Social Engineering ist eine ständige Bedrohung, der sowohl Privatpersonen als auch Unternehmen ausgesetzt sind. In einem ansonsten gut geschützten Sicherheitsnetzwerk wird beim Social Engineering der Mensch als schwächstes Glied der Sicherheitskette als Opfer ausgemacht. Durch die Schulung und Sensibilisierung der Mitarbeiter, verbunden mit entsprechenden IT-Sicherheitsvorkehrungen, können Unternehmen die Gefährdung durch Social Engineering geringhalten.