SIUS Consulting Sicherheitsberatung

Berlin: 030 / 700 36 96 5
Frankfurt: 069 / 348 67 787
München: 089 / 215 42 831

kontakt@sius-consulting.com

Mitgliedschaften

Bundesverband mittelständische Wirtschaft

Bundesverband Deutscher Sachverständiger und Fachgutachter

Kompetenzpartner von SICHERHEIT. Das Fachmagazin.

Artikel zum Thema
Social Engineering: Die Kunst der Manipulation

Social Engineering: Die Kunst der sozialen Manipulation

Social Engineering ist die sogenannte „Kunst des Täuschens“. Der Täter beeinflusst durch das gekonnte Ausnutzen menschlicher Eigenschaften sein Opfer, um beispielsweise bestimmte Verhaltensweisen hervorzurufen, an vertrauliche Informationen zu gelangen, die Freigabe von Finanzmitteln zu erhalten oder die Person zum Kauf von Produkten zu bewegen. Anders ausgedrückt kann man auch sagen, dass mittels Social Engineering technische Sicherheitsvorkehrungen durch menschliches Fehlverhalten umgangen werden. Es dient häufig auch der Vorbereitung des Eindringens in ein fremdes Computersystem.

Die Art der Betrugsmasche gibt es schon seit Menschengedenken. Durch die zunehmende Digitalisierung ergeben sich viele neue Möglichkeiten, um Millionen von Opfern zu erreichen.
Social Engineering stellt eine große Gefahr für jedes Sicherheitssystem dar, weil die Abhängigkeit von Informationen und Daten immer größer wird. Immer mehr Menschen haben Zugriff auf Daten, deren Vertraulichkeit – und somit der Schaden, der durch Missbrauch entstehen könnte – ihnen überhaupt nicht bewusst ist. Diesen Umstand machen sich die Täter zunutze. Ihr Ziel ist die Erlangung von vertraulichen Daten und Informationen.

VORGEHENSWEISE DER TÄTER
Social Engineering betreiben Täter vor allem für den Zweck  von „Industrie- und Wirtschaftsspionage“. Dabei zählt sogar die Einschleusung von Personen in das Unternehmen zum Repertoire der Täter, was Sicherheitsbehörden wie beispielsweise der Verfassungsschutz oder das Bundeskriminalamt immer wieder bestätigen.
Das Hauptmerkmal des Täters besteht darin, das Opfer über die Identität und die Absicht zu täuschen. Social Engineers (Täter) spionieren beispielsweise das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit, um an Hintergrundinformationen zu gelangen. Diese Informationsgewinnung geschieht in zwei Phasen:
  1. Sammeln von öffentlich zugänglichen Informationen (Webseite, Flyer, Broschüren, Berichte, Soziale Medien etc.).
  2. Herantasten an das Zielunternehmen (Vortäuschung von Gesprächsgründen – Student, potentieller Kunde, ehemaliger Kollege, IT-Abteilung etc.).
Mit dem so erworbenen Wissen tasten sie sich anschließend an die Zielperson heran. Der Erfolg des Täters basiert in den meisten Fällen auf seinem autoritären Auftreten, einer ausgenutzten Stresssituation des Mitarbeiters und dem Überraschungsmoment. Der Social Engineer kann dabei in die unterschiedlichsten Rollen schlüpfen:
  • Ein Vorgesetzter oder Kollege aus einer anderen Niederlassung, der einige Informationen zum Unternehmen benötigt.
  • Als Mitarbeiter eines Kunden, der beispielsweise sein Passwort vergessen hat oder in Vertretung eines Kollegen dringend benötigte Verkaufszahlen erfahren muss.
  • Ein neuer Bekannter im näheren Umfeld, der an Ihrer beruflichen Tätigkeit äußerst interessiert ist.
  • Als Journalist, der ein Interview über die Erfolge und Ziele des Unternehmens führen möchte.
Social Engineering kann jedoch auch mit scheinbar zufälligen Gesprächen in der Kantine, bei einer wohlverdienten (Raucher-)Pause oder während eines vermeintlich harmlosen Messebesuchs beginnen. Es gibt eine Vielzahl von Situationen, bei denen man Menschen dazu bringen kann, vertrauliche und schützenswerte Informationen eigenständig preiszugeben.

Von dem Begriff „Social Engineering“ haben mittlerweile viele gehört, doch was sich konkret dahinter verbirgt, wissen leider nur die wenigsten. Daher ist es wichtig, über die verschiedensten Formen und Herangehensweisen der Täter aufzuklären, um die eigenen Informationen und Daten bestmöglich zu schützen. Es gibt kein „Standard-Gegenmittel“ – daher ist Aufklärung, Sensibilisierung und die Arbeit mit Praxisbeispielen das „A“ und „O“, um potentielle Sicherheitslücken zu schließen.

SOCIAL ENGINEERING VORBEUGEN
Die Abwehr von Social Engineering gestaltet sich teilweise äußerst schwierig, da der Täter im Grunde positive Eigenschaften der Menschen wie beispielsweise Hilfsbereitschaft, Vertrauen und Respekt ausnutzt. Dennoch können die Aufmerksamkeit und das Wissen zum Vorgehen der Täter dazu führen, Social Engineering bewusster wahrzunehmen und somit vorbeugen zu können. Im Folgenden finden Sie elf Punkte zum bewussteren Umgang gegenüber fremden Personen:
  1. Sicherheit geht vor Höflichkeit.
  2. Geben Sie vertrauliche Informationen/Zugangsdaten niemals ungeprüft weiter und schützen Sie diese.
  3. Seien Sie vorsichtig in sozialen Medien.
  4. Auch scheinbar geringfügige und nutzlose Informationen können zum Abgrenzen eines größeren Sachverhalts beitragen.
  5. Prüfen Sie unbekannte Anrufer immer kritisch oder rufen Sie die Nummer nach einigen Minuten zurück.
  6. Die Identität des Absenders einer E-Mail sollte immer sichtbar und verifizierbar sein.
  7. Hinterfragen Sie außergewöhnliche Kontaktaufnahmen, bevor Sie handeln.
  8. Bitten Sie ggf. um einen Augenblick Geduld, um sich intern über den Vorgang zu vergewissern.
  9. Verwenden Sie keine Links aus E-Mails, die eine persönliche Eingabe verlangen, sondern geben Sie die URL selbst im Browser ein.
  10. Lassen Sie sich keinesfalls einschüchtern und verweisen Sie ggf. auf Ihren Vorgesetzten.
  11. Melden Sie Auffälligkeiten und Beobachtungen einem Vorgesetzten oder dem Sicherheitsverantwortlichen.
Share by: