Was ist Social Engineering?
Social Engineering ist ein Begriff, der ursprünglich aus den Sozialwissenschaften stammt und auf Deutsch in etwa mit „Soziale Manipulation“ übersetzt werden kann. Oder anders formuliert: die Definition von Social Engineering ist nicht das Hacken von Computern, sondern das Hacken von Menschen.
In der Cyber Security versteht man Social Engineering als eine Form des Angriffs, bei dem Angreifer versuchen, durch zwischenmenschliche Interaktionen vertrauliche Informationen zu erlangen. Der Social Engineer ist dabei der Akteur, der diese Angriffe durchführt. Ein Social Engineering Angriff nutzt psychologische Tricks und Täuschungen, um das Opfer dazu zu bringen, sensible Daten preiszugeben oder bestimmte Handlungen auszuführen, die dem Angreifer Zugang zu geschützten Systemen oder Informationen verschaffen.
In der heutigen digitalen Welt hat Social Engineering eine zentrale Bedeutung in der Cyber Security. Angriffe dieser Art sind besonders gefährlich, weil sie die menschliche Schwachstelle ausnutzen – den Vertrauensvorschuss, den wir anderen Menschen geben.
Während technische Sicherheitsmaßnahmen wie Firewalls und Antivirenprogramme in vielen Unternehmen bereits gut etabliert sind, bleibt der menschliche Faktor oft die größte Schwachstelle. Social Engineering Angriffe können sowohl Privatpersonen als auch Unternehmen betreffen und richten erheblichen Schaden an, indem sie vertrauliche Informationen stehlen oder Systeme kompromittieren.
Wie funktioniert Social Engineering?
Ein Social Engineering Angriff beginnt häufig mit einem gezielten Angriff auf eine Person oder ein Unternehmen. Das Ziel besteht darin, sensible Daten und Informationen zu erlangen, die dem Angreifer den Zugang zu geschützten Bereichen oder Systemen ermöglichen.
Diese Informationen können vertrauliche Informationen über das Unternehmen oder persönliche Daten wie Passwörter, Kreditkartennummern oder andere sensible Details sein. Der Angreifer gibt sich häufig als vertrauenswürdige Person aus, wie z. B. ein Kollege, ein Dienstleister oder eine Behörde, um das Vertrauen des Opfers zu gewinnen.
Warum funktioniert Social Engineering?
Social Engineering funktioniert, weil es auf tief verwurzelte psychologische Faktoren und menschliche Eigenschaften und Verhaltensmuster abzielt. Die Grundlage dieser Angriffe liegt in der menschlichen Motivation. Angreifer nutzen Eigenschaften wie Vertrauen, Hilfsbereitschaft, Angst oder den Respekt vor Autorität aus (https://mindcraft.academy/die-dunkle-kunst-des-social-engineering).
Ein klassisches Beispiel ist das Erzeugen von Handlungsdruck, indem das Opfer in eine Situation gebracht wird, in der es glaubt, schnell handeln zu müssen. Angreifer können auch auf die Habgier oder Neugier ihres Opfers abzielen, indem sie z. B. eine vermeintliche Belohnung in Aussicht stellen oder eine dringende Anfrage formulieren, die das Opfer dazu verleitet, unbedacht Informationen preiszugeben.
Woran erkenne ich einen Social Engineering Angriff?
Ein Social Engineering Angriff ist oft sehr schwer zu erkennen, da Social Engineers Meister der Tarnung sind. Sie sind psychologisch geschult und verstehen es, ihre Opfer um den Finger zu wickeln und ihr Vertrauen zu gewinnen.
Warnsignale können unerwartete Anfragen nach sensiblen Informationen oder auffällige Aufforderungen sein, auf Links zu klicken oder Anhänge zu öffnen. Häufig treten Angreifer freundlich und hilfsbereit auf, um das Misstrauen zu senken, oder sie üben subtilen Druck aus, um das Opfer zu überstürzten Handlungen zu bewegen.
Unternehmen können Pentests für Social Engineering durchführen lassen. Dabei beauftragt die Geschäftsführung eine externe Agentur mit dem Anliegen, mit Hilfe von Social Engineering Taktiken an vertrauliche Informationen des Unternehmens zu gelangen. Ziel ist es, Schwachstellen im Unternehmen zu identifizieren und diese zu schließen, bevor echte Angreifer sie ausnutzen können.
Angriffe auf Unternehmen und Privatpersonen nehmen zu
Die Zahl der Social Engineering Angriffe nimmt weltweit zu. Deutsche Unternehmen rücken verstärkt in den Fokus der Social Engineers (https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2024#_).
Gezielte Angriffe auf Unternehmen sind dabei besonders lohnend für Angreifer, da hier größere Mengen an Daten und Informationen gewonnen werden können. Diese Angriffe sind jedoch auch zeitintensiver und erfordern eine sorgfältige Vorbereitung. Trotzdem stellen auch Privatpersonen lohnende Ziele dar, insbesondere wenn es um den Zugriff auf persönliche Daten oder Finanzinformationen geht.
Typische Social Engineering Attacken
Social Engineering umfasst eine Vielzahl von Angriffsmethoden, die alle darauf abzielen, Informationen zu stehlen oder Systeme zu kompromittieren. Hier sind einige der häufigsten Methoden:
Phishing
Phishing ist eine der am weitesten verbreiteten Formen von Social Engineering. Der Angreifer versucht hierbei, Informationen wie Passwörter oder Kreditkartendaten zu stehlen, indem er das Opfer dazu bringt, diese freiwillig preiszugeben. Zum Oberbegriff Phishing gehören verschiedene Angriffsarten:
E-Mail-Phishing
Bei einem E-Mail-Phishing-Angriff erhalten Opfer gefälschte E-Mails, die oft so gestaltet sind, dass sie von legitimen Absendern zu stammen scheinen. Diese E-Mails enthalten häufig Aufforderungen, auf einen Link zu klicken oder sensible Zugangsdaten für Mail-Accounts preiszugeben.
Hinweise für Phishing-E-Mails sind eine unübliche Mail-Adresse des Absenders, eine unpersönliche Ansprache, ein übermäßiger Druck auf das Opfer, sofort zu handeln, oft unter Androhung von negativen Konsequenzen, und schlechte Rechtschreibung.
Spear Phishing
Spear Phishing zielt auf eine vorher festgelegte, bestimmte Person oder Organisation ab. Die E-Mails sind oft sehr gut personalisiert, sodass sie glaubwürdig erscheinen.
Vishing
Vishing setzt sich aus den Wörtern Voice & Phishing zusammen und erfolgt telefonisch, wobei der Angreifer versucht, das Opfer dazu zu bringen, vertrauliche Informationen preiszugeben. Ein beeindruckendes Beispiel für einen Vishing Call gibt es hier: https://www.youtube.com/watch?v=xuYoMs6CLEw
Smishing
Smishing ist eine Kombination aus SMS & Phishing und erfolgt über Textnachrichten, in denen das Opfer aufgefordert wird, auf einen Link zu klicken oder Informationen preiszugeben.
Quishing
Quishing ist eine neuere Variante, bei der QR-Codes verwendet werden, um Opfer auf gefälschte Websites zu locken, auf denen sie dann ihre persönlichen Daten eingeben.
Passwörter
Passwörter sind ein sehr häufiges Ziel von Social Engineering Angriffen. Angreifer nutzen Informationen aus sozialen Netzwerken, um mögliche Passwörter besser zu erraten oder um gezielt auf Passwortrücksetzungsfragen zu antworten (https://mindcraft.academy/warum-es-keinen-100-prozentigen-passwortschutz-gibt). Dabei kommen unterschiedliche Ansätze zum Einsatz, wie z. B. die Brute-Force-Methode (alle existierenden Kombinationen der Reihe nach ausprobieren) oder die Dictionary-Attacke (Wörter aus dem Wörterbuch kombinieren und ausprobieren).
Baiting
Beim Baiting platzieren Angreifer einen attraktiven Köder an Orten, an denen sie wahrscheinlich gefunden und genutzt werden. Beispiele für solche Köder sind Datenträger (infizierte USB-Sticks, Flashdrives, Speicherkarten) mit Beschriftungen wie „Lohnabrechnung“ oder „Strategieplan“. Sobald der Datenträger in einen Computer gesteckt wird, infiziert er das System. Ein aufwändiger, aber beeindruckender Köder sind Ladekabel: https://www.youtube.com/watch?v=aP8yrkkLWlM
Tailgating
Tailgating ist eine Social Engineering Methode, bei der sich ein Angreifer unbefugt Zugang zu gesicherten Bereichen verschafft, indem er einer autorisierten Person folgt. Dies geschieht oft, indem der Angreifer vorgibt, seine Zugangskarte vergessen zu haben oder schwer beladen zu sein, sodass die Tür für ihn aufgehalten wird.
CEO-Fraud
Beim CEO-Fraud gibt sich der Angreifer als hochrangiger Unternehmensvertreter aus, um Mitarbeiter dazu zu bringen, vertrauliche Informationen preiszugeben oder unrechtmäßige Überweisungen durchzuführen.
Pretexting
Pretexting basiert auf einer erfundenen Geschichte, die dem Angriff Kontext gibt. Der Angreifer gibt sich z. B. als Systemadministrator aus, um Mitarbeitenden dazu zu bewegen, ihre Zugangsdaten preiszugeben oder Schadsoftware zu installieren.
Quid pro Quo
Beim Quid pro Quo bietet der Angreifer eine vermeintliche Gegenleistung im Austausch für sensible Informationen oder Zugangsdaten an. Dies könnte etwa das Versprechen einer kostenlosen Software oder eines technischen Supports sein, wobei das Opfer im Gegenzug vertrauliche Daten preisgibt.
Dumpster Diving
Dumpster Diving bezieht sich auf das Durchsuchen von Mülleimern oder Altpapiercontainern nach vertraulichen Informationen, die unachtsam entsorgt wurden. Angreifer suchen nach Dokumenten wie Kontoauszügen, Passwörtern oder internen Notizen, um diese Daten für weitere Angriffe zu nutzen.
Schutz vor Social Engineering
Die Abwehr gegen Social Engineering ist nicht einfach, da Angreifer menschliche Bedürfnisse und Eigenschaften ausnutzen. Dennoch gibt es effektive Maßnahmen und Methoden, die ergriffen werden können, um sich von Social Engineering zu schützen:
Prävention und Aufklärung
Die wohl wichtigste Maßnahme zum Schutz vor Social Engineering Angriffe ist: Präventive Aufklärung. Regelmäßige, verpflichtende Schulungen und Trainings, die das Bewusstsein der Mitarbeiter für die Gefahren von Social Engineering schärfen, sind unerlässlich (https://mindcraft.academy/#sge). Dabei geht es sowohl um Sensibilisierung für die Gefahren als auch um Wissensvermittlung zum Schutz vor Angriffen und um das Üben sicherer Verhaltensweisen. Besonders effektiv sind der Einsatz von aktivierenden Live-Events und interaktiven Simulation Games.
Identität zweifelsfrei feststellen
Ein Social Engineering Angriff kann in vielen Fällen erfolgreich abgewandt werden, indem die Mitarbeiter vor Herausgabe von Informationen immer die Identität der Person zweifelsfrei feststellen. Damit enttarnen sie den Social Engineer und vereiteln seinen Angriff. Eine Möglichkeit ist es, bei einer vermeintlichen Phishing-E-Mail die Echtheit des Absenders per Telefon zu bestätigen. Anderes Beispiel: beim CEO-Fraud das Gespräch beenden und den Geschäftsführer unter seiner bekannten Nummer anrufen und nachfragen, bzw. die Führungskraft kontaktieren und gemeinsam beraten, wie vorgegangen werden soll.
Sensibler Umgang mit allen Informationen
Mitarbeiter sollten keine, selbst scheinbar unwichtige Informationen ohne gründliche Überprüfung preisgeben. Dazu gehört insbesondere der verantwortungsvolle Umgang in sozialen Netzwerken (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Soziale-Netzwerke/Sichere-Verwendung/sichere-verwendung.html), um Angreifern keine Hinweise auf mögliche Passwörter oder andere vertrauliche Informationen zu geben. Wichtig: selbst gängige Informationen wie Urlaubszeiten oder Namen anderer Mitarbeiter sind für Social Engineers wertvoll und werden für ihre Angriffe genutzt.
Haltung und Mindset
Mitarbeiter sollten ein gesundes Misstrauen entwickeln, insbesondere bei ungewöhnlichen Anfragen von unbekannten Personen, und nicht vorschnell handeln. Es ist wichtig, sich nicht unter Druck setzen zu lassen und stets Ruhe zu bewahren, selbst wenn eine Anfrage noch so dringlich erscheint – das gehört zur Strategie der Social Engineers. Außerdem sollten sie verdächtige Vorgänge sofort intern melden, also den Kolleginnen und Kollegen sowie den Führungskräften, um das Unternehmen vor möglichen Angriffen zu warnen und gemeinsame Schutzmaßnahmen zu ergreifen.
Jeder ist (mit)verantwortlich
Social Engineering ist eine schwer erkennbare und zunehmend raffinierte Bedrohung in der Cyber Security, die gezielt den menschlichen Faktor ausnutzt. Um sich effektiv zu schützen, ist es entscheidend, sowohl technische Sicherheitsmaßnahmen als auch regelmäßige Schulungen und Sensibilisierungen für Mitarbeiter einzusetzen. Ein gesundes Misstrauen und ein klares Verständnis der Angriffsmethoden sind dabei unverzichtbar.
Nur durch die Kombination aus technischer Absicherung und wachsamem Verhalten lässt sich das Risiko eines erfolgreichen Social Engineering s deutlich reduzieren.