Social Engineering
29. April 2022

Social Engineering Definition: Das steckt hinter dem digitalen Angriffsversuch!

Social Engineering ist per Definition ein digitaler Angriffsversuch auf vertrauliche Informationen oder Daten. Cyberkriminelle greifen bei Cyberattacken immer wieder auf neue Methoden zurück. Besonders beliebt ist dabei aber das sogenannte Social Engineering. Es führt nicht selten zum Erfolg, weil Täter:innen dabei äußerst geschickt vorgehen. Sie spionieren das soziale Umfeld der Opfer aus und erschleichen sich so deren Vertrauen. Dabei geht es zum Beispiel um Passwörter oder Kreditkarteninformationen. Im Gegensatz zu anderen digitalen Angriffsversuchen zeichnet sich das Social Engineering dadurch aus, dass häufig auch soziale Netzwerke wie zum Beispiel Facebook als Plattform genutzt werden. 

Social Engineering: Definition und Abgrenzung

Social Engineering erfährt allgemein eine Definition als zwischenmenschliche Beeinflussung mit der Intention, bei der Zielperson ein bestimmtes Verhalten auszulösen. Dazu zählt zum Beispiel die Preisgabe von vertraulichen Informationen, aber auch die Vornahme bestimmter Handlungen, beispielsweise eine Online-Bestellung oder der Abschluss eines digitalen Vertrages.

Im Rahmen der Informationssicherheit kommt Social Engineering Attacken eine große Bedeutung zu. Sie sind besonders in Unternehmen und Organisationen geeignet, die IT-Infrastruktur zu infiltrieren. Im schlechtesten Fall löst diese Art der Cyberattacken auf Unternehmen dann schwere wirtschaftliche Einbußen aus oder sorgt dafür, dass Unternehmensgeheimnisse in die Hände von Unbefugten gelangen.

Abzugrenzen ist das Social Engineering von anderen Angriffsmethoden auf digitaler Ebene. Dazu zählt vor allem das Einschleusen von Ransomware, die überwiegend genutzt wird, um Lösegeldzahlungen zu erzwingen. Die Informationssicherheit ist in Unternehmen Dreh- und Angelpunkt, um Schäden durch Cyberangriffe abzuwehren. Dies ist nur möglich, wenn digitale Angriffe so früh wie möglich erkannt werden. Voraussetzung dafür ist eine entsprechende Schulung der Belegschaft. lawpilots bietet dazu passende Online-Schulungen im Bereich der IT-Sicherheit an.

Wie funktioniert Social Engineering?

Social Engineering setzt wie viele andere Cyberattacken auf menschliches Fehlverhalten. Nur dort, wo Menschen Fehler machen und die Informationssicherheit für Mitarbeiter:innen nicht ausreichend geschult ist, können digitale Angriffe zum Erfolg führen. Dabei geht es zum Beispiel um die Frage, warum Mitarbeitende eine E-Mail mit unbekanntem Anhang anklicken und öffnen oder warum in der Hektik des Arbeitsalltags Sicherheitsmechanismen nicht schon früher greifen.

Das Social Engineering nutzt zusätzlich psychologische Tricks, um das Sicherheitsbewusstsein in der Belegschaft zu umgehen. Die Hacker geben sich als Kolleg:in, Geschäftspartner:in oder Vorgesetzte:r aus und erschleichen sich so das Vertrauen des Opfers. Nicht selten findet dazu im Vorfeld des Angriffs eine unverbindliche Kommunikation statt. Sie soll das Opfer täuschen und eine Vertrauensbasis schaffen, über die anschließend der eigentliche Angriff eingeleitet wird.

Beispiele für Social Engineering in Unternehmen

Während die Definition für Social Engineering recht eindeutig ist, zeigt die Bandbreite an Möglichkeiten rund um die Attacken für das Social Engineering den Phantasiereichtum von Cyberkriminellen. In Angriffen auf Unternehmen kommen die folgenden Tricks besonders häufig zum Einsatz:

Phishing und Spear-Phishing

Beim Phishing werden sensible Daten von Opfern erschlichen, indem durch eine scheinbar vertrauenswürdige Absenderadresse eine Kontaktaufnahme unternommen wird. Die Opfer werden dann per E-Mail oder über andere Wege dazu gebracht, vertrauliche Informationen herauszugeben. Bekanntes Beispiel ist die Nachahmung von Homepages mit Login-Möglichkeit. Hier können durch Phishing User schnell in die Falle tappen, weil sie die nachgebaute Homepage mit der tatsächlichen Homepage verwechseln und für vertrauenswürdig halten.

Das Spear-Phishing verfeinert diese Methode und geht noch einen Schritt weiter. Während beim Phishing eher die unspezifische „Opferjagd“ im Vordergrund steht, wird beim Spear-Phishing gezielt ein bestimmtes Opfer anvisiert. Das Phishing wird dann sehr viel persönlicher und nutzt unter Umständen auch Personen, die dem Opfer nahestehen und die dann, natürlich ohne es zu wissen, in das Phishing miteingebunden werden.

Scareware

Social Engineering Attacken werden oft durch sogenannte Scareware eingeleitet. Dabei wird den Opfern vorgetäuscht, dass ein Sicherheitsrisiko bestehe und ein Update erforderlich sei. Tatsächlich wird durch das angebliche Update aber ein Schadprogramm in das IT-System eingeschleust. Die Angst vor Sicherheitsrisiken führt bei der Scareware zu unüberlegten Handlungen und Hacker zum Erfolg beim Angriff auf das Unternehmen.

Baiting

Beim Baiting ist die Vorgehensweise ähnlich wie beim „Trojanischen Pferd“ aus der griechischen Mythologie. Mit physischen Gegenständen wird die Neugierde der potenziellen Opfer ausgenutzt. Dabei kommen zum Beispiel USB-Sticks zum Einsatz oder auch kostenlose Downloads, die für das Opfer von Interesse sind. Im Gegensatz zu anderen Social Engineering Varianten ist beim Baiting ein bestimmter Vorteil der Motivator für das Opfer. Dieser kann, aber muss nicht von digitaler Natur sein und kann durchaus auch abseits des Internets verortet sein.

Social Engineering hat viele Erscheinungsformen

Social Engineering kann ganz verschiedene Formen annehmen. Hier entwickeln Cyberkriminelle immer neue Methoden und Varianten, um an vertrauliche Daten ihrer Opfer zu gelangen. Oft sind diese nicht oder nur schwer erkennbar und es erfordert eines geschulten Sicherheitsbewusstseins der Mitarbeitenden, damit diese in der Lage sind, durch eine entsprechende Qualifikation Risiken zu identifizieren, zu reduzieren und langfristig zu vermeiden. lawpilots bietet zu diesem Zweck interaktive E-Learnings zum Thema Informationssicherheit an. Die Online-Schulung „Informationssicherheit für Mitarbeitende“ schult Ihre Belegschaft effektiv und nachhaltig rund um die verschiedensten Cyberangriffe und klärt auch über Attacken durch Social Engineering auf. 

Mit unserem kostenlosen Whitepaper „Cyberangriffe verhindern“ können Unternehmen zusätzlich zu unseren Online-Schulungen das Thema Cyberresilienz vertiefen, um sich noch besser vor Cyberattacken zu schützen und Bedrohungen frühzeitig zu verhindern.

Fazit

Unternehmen mit unzureichender IT-Security werden schnell zu Opfern von Cyberattacken. Besonders Social Engineering ist hier relativ häufig mit Erfolg für die Hacker verbunden. Das macht es unumgänglich, Lücken in der IT-Security zu schließen, die sich beim Social Engineering per Definition regelmäßig aus der unzureichenden Expertise der Belegschaft ergeben.   

lawpilots ist Marktführer in E-Learnings zu rechtlich-regulatorischen Themen und schult Ihre Belegschaft im Bereich Informationssicherheit sowie in den Bereichen Datenschutz, Compliance und Arbeitsschutz. Durch unsere innovativen Online-Schulungen stellen Sie sicher, dass Ihre Mitarbeitenden Ihr Unternehmen aktiv vor Schäden und Cyberattacken schützen und digitale Angriffe schon frühzeitig identifizieren. 

06. Mai 2022
CSR oder Corporate Social Responsibility – das sollten Unternehmen dazu wissen!
22. April 2022
Datenaustausch EU und USA: Einigung auf ein neues Abkommen zum Tausch von Daten
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,64 von 5 Sternen 2175 Bewertungen auf ProvenExpert.com