Social Engineering

Schaffen wir Awareness!

von Klemens Loschy

Wer sich in der Welt der IT bewegt hat den Begriff „Social Engineering“ sicherlich bereits gehört. Was verbirgt sich aber eigentlich dahinter?

Social Engineering ist eine Art Angriff auf Menschen (was an sich schon interessant ist, da es in der IT normalerweise um Hard- oder Software geht), die gezielt menschliche Charakteristika (wie Hilfsbereitschaft) ausnützt und Verhaltensweisen beeinflusst, um an bestimmte Informationen zu gelangen. Ziel ist es, den Angegriffenen dazu zu bewegen etwas zu tun, das nicht zu seinem Vorteil ist, aber dafür dem Angreifer hilft.

Seit vielen Jahren schon wird Social Engineering auf dem elektronischen Weg, zu meist per Email, betrieben. Mehr oder weniger dubiose Absender möchten, dass der Angegriffene Geld auf ein Konto überweist:

  • Mal ist es der Paketdienst oder ein Mobilfunkanbieter, dann wieder ein Rechtsanwalt.
  • Ab und zu auch ein Erbe, der gerne bereit ist, das zukünftige Vermögen zu teilen, wenn man ihm zuerst aus seiner misslichen Lage hilft – dazu ist natürlich wieder eine Überweisung oder zumindest Kontodaten notwendig...

Obgleich diese Art von Social Engineering vom Kosten-Nutzen-Faktor für den Angreifer sicherlich lukrativ ist, gewinnen Face2Face Angriffe immer mehr an Relevanz. Im Fokus dabei steht zumeist der Angriff auf persönliche, aber auch firmeninterne Daten. Das heißt, im Gegensatz zur simplen Aufforderung Geld zu überweisen, wird hier gezielt versucht Daten zu stehlen; und was (personenbezogene) Daten heutzutage Wert sind und was der Verlust dieser Daten bedeutet, muss an dieser Stelle nicht erläutert werden (siehe auch Artikel zur DSGVO).

Dabei ist es erstaunlich, wie schnell und einfach Menschen bereit sind, Zugangsdaten (natürlich inklusive Passwort) zu deren Facebook-, Mail- oder Windows-Accounts preiszugeben – oft schon durch einfaches Nachfragen! Die Gefahr für Unternehmen, einer solchen Attacke zu erliegen, ist immens präsent. Gerade bei großen Unternehmen mit mehr Mitarbeitern ist die Angriffsfläche umso größer.

Wie kann man sich als Unternehmen schützen, um keiner Face2Face Social Engineering Attacke zu erliegen?

Neben den (vermutlich bereits) existierenden Prozessen, die formal dazu dienen solche Angriffe zu unterdrücken oder zumindest zu erschweren, ist es enorm wichtig, die Awareness bei allen Mitarbeitern zu schärfen. Prozesse alleine bringen nicht den gewünschten Erfolg, wenn nicht jedem klar ist, wozu diese Prozesse gut sind und wovor sie schützen sollen. Und wenn ein vermeintlicher System-Administrator nach den Zugangsdaten frägt, weil er eben mal dem Benutzer bei einem Problem helfen möchte, hilft kein Formalismus... Da helfen nur gut ausgebildete und sensibilisierte Mitarbeiter!

Wie kann man sich vor Social Engineering-Angriffen schützen?

  • Gehen Sie in Ihrem Unternehmen offen mit dem Thema um: Diese Art von Angriff betrifft alle, nicht nur die IT!
  • Machen Sie Social Engineering zum Thema, dauerhaft! Informieren Sie aktiv in Ihrem Unternehmen über diese Praktiken!
  • Haben Sie ein gesundes Misstrauen gegenüber unbekannten Kollegen/Lieferanten/Absendern/...
Autor
SEQIS Autor Klemens Loschy

Klemens Loschy

Principal Consultant, Teamlead
IT Analyse, Softwaretest, Projektmanagement

Newsletter

Um neue Beiträge per E-Mail zu erhalten, hier die E-Mail-Adresse eingeben.

Unsere Autoren

Informieren Sie sich über unsere Autoren und erfahren Sie mehr über unsere Spezialisten und ihre Fachbereiche:

Zu den Autoren

Sie haben eine Frage?

Zurück

Zum Seitenanfang navigieren