7 min Zuletzt auktualisiert: 03.11.2022

Social Engineering: Das steckt hinter dem digitalen Angriffsversuch

Besonders beliebt ist dabei aber das sogenannte Social Engineering. Es führt nicht selten zum Erfolg, weil Täter:innen dabei äußerst geschickt vorgehen. Sie spionieren das soziale Umfeld der Opfer aus und erschleichen sich so deren Vertrauen. Dabei geht es zum Beispiel um Passwörter oder Kreditkarteninformationen. Im Gegensatz zu anderen digitalen Angriffsversuchen zeichnet sich das Social Engineering dadurch aus, dass häufig auch soziale Netzwerke wie zum Beispiel Facebook als Plattform genutzt werden.

Definition

Social Engineering ist ein digitaler Angriffsversuch auf vertrauliche Informationen oder Daten. Cyberkriminelle setzen zwischenmenschliche Beeinflussung ein, mit der Intention, bei der Zielperson ein bestimmtes Verhalten auszulösen. Dazu zählt zum Beispiel:

  • die Preisgabe von vertraulichen Informationen
  • die Vornahme bestimmter Handlungen, beispielsweise eine Online-Bestellung oder der Abschluss eines digitalen Vertrages.

Im Rahmen der Informationssicherheit kommen Social Engineering Attacken eine große Bedeutung zu. Sie sind besonders in Unternehmen und Organisationen geeignet, die IT-Infrastruktur zu infiltrieren. Im schlechtesten Fall löst diese Art der Cyberattacken auf Unternehmen dann schwere wirtschaftliche Einbußen aus oder sorgt dafür, dass Unternehmensgeheimnisse in die Hände von Unbefugten gelangen.

Abzugrenzen ist das Social Engineering von anderen Angriffsmethoden auf digitaler Ebene. Dazu zählt vor allem das Einschleusen von Ransomware, die überwiegend genutzt wird, um Lösegeldzahlungen zu erzwingen. Die Informationssicherheit ist in Unternehmen Dreh- und Angelpunkt, um Schäden durch Cyberangriffe abzuwehren. Dies ist nur möglich, wenn digitale Angriffe so früh wie möglich erkannt werden. Voraussetzung dafür ist eine entsprechende Schulung der Belegschaft. lawpilots bietet dazu passende Online-Schulungen im Bereich der IT-Sicherheit an.

Wie funktioniert Social Engineering?

Social Engineering setzt wie viele andere Cyberattacken auf menschliches Fehlverhalten. Nur dort, wo Menschen Fehler machen und die Informationssicherheit für Mitarbeiter:innen nicht ausreichend geschult ist, können digitale Angriffe zum Erfolg führen. Dabei geht es zum Beispiel um die Frage, warum Mitarbeitende eine E-Mail mit unbekanntem Anhang anklicken und öffnen oder warum in der Hektik des Arbeitsalltags Sicherheitsmechanismen nicht schon früher greifen.

Das Social Engineering nutzt zusätzlich psychologische Tricks, um das Sicherheitsbewusstsein in der Belegschaft zu umgehen. Die Hacker geben sich als Kolleg:in, Geschäftspartner:in oder Vorgesetzte:r aus und erschleichen sich so das Vertrauen des Opfers. Nicht selten findet dazu im Vorfeld des Angriffs eine unverbindliche Kommunikation statt. Sie soll das Opfer täuschen und eine Vertrauensbasis schaffen, über die anschließend der eigentliche Angriff eingeleitet wird.

Beispiele

Während die Definition für Social Engineering recht eindeutig ist, zeigt die Bandbreite an verschiedenen Möglichkeiten rund um die Attacken den Phantasiereichtum von Cyberkriminellen. Unternehmen werden u. a. durch folgende Tricks besonders häufig angegriffen:

  • Phishing und Spear-Phishing
  • Scareware
  • Baiting

Phishing und Spear-Phishing

Beim Phishing werden sensible Daten von Opfern erschlichen, indem durch eine scheinbar vertrauenswürdige Absenderadresse eine Kontaktaufnahme unternommen wird. Die Opfer werden dann per E-Mail oder über andere Wege dazu gebracht, vertrauliche Informationen herauszugeben.

Bekanntes Beispiel ist die Nachahmung von Homepages mit Login-Möglichkeit. Dadurch können User schnell in die Falle tappen, weil sie die nachgebaute Homepage mit der echten verwechseln und für vertrauenswürdig halten.

Beim Spear-Phishing wird gezielt ein bestimmtes Opfer anvisiert. Das Phishing wird dann sehr viel persönlicher und nutzt unter Umständen auch Personen, die dem Opfer nahestehen und die dann unwissentlich miteingebunden werden.

Scareware

Social Engineering Attacken werden oft durch sogenannte Scareware eingeleitet. Dabei wird den Opfern vorgetäuscht, dass ein Sicherheitsrisiko bestehe und ein Update erforderlich sei. Tatsächlich wird durch das angebliche Update aber ein Schadprogramm in das IT-System eingeschleust. Die Angst vor Sicherheitsrisiken führt bei der Scareware zu unüberlegten Handlungen und Hacker zum Erfolg beim Angriff auf das Unternehmen.

Baiting

Beim Baiting ist die Vorgehensweise ähnlich wie beim „Trojanischen Pferd“ aus der griechischen Mythologie. Mit physischen Gegenständen wird die Neugierde der potenziellen Opfer ausgenutzt. Dabei kommen zum Beispiel USB-Sticks zum Einsatz oder auch kostenlose Downloads, die für das Opfer von Interesse sind.

Im Gegensatz zu anderen Social Engineering Varianten ist beim Baiting ein bestimmter Vorteil der Motivator für das Opfer. Dieser kann, aber muss nicht von digitaler Natur sein und kann durchaus auch abseits des Internets verortet sein.

Social Engineering hat viele Erscheinungsformen

Social Engineering kann ganz verschiedene Formen annehmen. Hier entwickeln Cyberkriminelle immer neue Methoden und Varianten, um an vertrauliche Daten ihrer Opfer zu gelangen. Oft sind diese schwer erkennbar. Es erfordert eines geschulten Sicherheitsbewusstseins der Mitarbeitenden, damit diese in der Lage sind, durch eine entsprechende Qualifikation Risiken zu identifizieren, zu reduzieren und langfristig zu vermeiden.

lawpilots bietet zu diesem Zweck interaktive E-Learnings zum Thema Informationssicherheit an. Die Online-Schulung „Informationssicherheit für Mitarbeitende“ schult Ihre Belegschaft effektiv und nachhaltig rund um die verschiedensten Cyberangriffe und klärt auch über Attacken durch Social Engineering auf. 

Mit unserem kostenlosen Whitepaper „Cyberangriffe verhindern“ können Unternehmen zusätzlich zu unseren Online-Schulungen das Thema Cyberresilienz vertiefen, um sich noch besser vor Cyberattacken zu schützen und Bedrohungen frühzeitig zu verhindern.

Fazit

Unternehmen mit unzureichender IT-Security werden schnell zu Opfern von Cyberattacken. Besonders Social Engineering ist hier relativ häufig mit Erfolg für die Hacker verbunden. Das macht es unumgänglich, Lücken in der IT-Security zu schließen, die sich regelmäßig aus der unzureichenden Expertise der Belegschaft ergeben.

Unsere Auszeichnungen

Unsere Partner


lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4,64 von 5 Sternen 2416 Bewertungen auf ProvenExpert.com