Besonders beliebt ist das sogenannte Social Engineering. Es führt nicht selten zum Erfolg, weil TäterInnen dabei äußerst geschickt vorgehen. Sie spionieren das soziale Umfeld der Opfer aus und erschleichen sich so deren Vertrauen. Dabei geht es zum Beispiel um Passwörter oder Kreditkarteninformationen. Im Gegensatz zu anderen digitalen Angriffsversuchen zeichnet sich das Social Engineering dadurch aus, dass häufig auch soziale Netzwerke wie zum Beispiel Facebook als Plattform genutzt werden.
Social Engineering ist ein digitaler Angriffsversuch auf vertrauliche Informationen oder Daten. Cyberkriminelle setzen zwischenmenschliche Beeinflussung ein, mit der Intention, bei der Zielperson ein bestimmtes Verhalten auszulösen. Dazu zählt zum Beispiel:
Im Rahmen der Informationssicherheit kommen Social Engineering Attacken eine große Bedeutung zu. Sie sind besonders in Unternehmen und Organisationen geeignet, die IT-Infrastruktur zu infiltrieren. Im schlechtesten Fall löst diese Art der Cyberattacken auf Unternehmen dann schwere wirtschaftliche Einbußen aus oder sorgt dafür, dass Unternehmensgeheimnisse in die Hände von Unbefugten gelangen.
Abzugrenzen ist das Social Engineering von anderen Angriffsmethoden auf digitaler Ebene. Dazu zählt vor allem das Einschleusen von Ransomware, die überwiegend genutzt wird, um Lösegeldzahlungen zu erzwingen. Die Informationssicherheit ist in Unternehmen Dreh- und Angelpunkt, um Schäden durch Cyberangriffe abzuwehren. Dies ist nur möglich, wenn digitale Angriffe so früh wie möglich erkannt werden. Voraussetzung dafür ist eine entsprechende Schulung der Belegschaft. lawpilots bietet dazu passende Online-Schulungen im Bereich der IT-Sicherheit an.
Social Engineering setzt wie viele andere Cyberattacken auf menschliches Fehlverhalten. Nur dort, wo Menschen Fehler machen und die Informationssicherheit für MitarbeiterInnen nicht ausreichend geschult ist, können digitale Angriffe zum Erfolg führen. Dabei geht es zum Beispiel um die Frage, warum Mitarbeitende eine E-Mail mit unbekanntem Anhang anklicken und öffnen oder warum in der Hektik des Arbeitsalltags Sicherheitsmechanismen nicht schon früher greifen.
Das Social Engineering nutzt zusätzlich psychologische Tricks, um das Sicherheitsbewusstsein in der Belegschaft zu umgehen. Die Hacker geben sich als KollegInnen, GeschäftspartnerInnen oder Vorgesetzten aus und erschleichen sich so das Vertrauen des Opfers. Nicht selten findet dazu im Vorfeld des Angriffs eine unverbindliche Kommunikation statt. Sie soll das Opfer täuschen und eine Vertrauensbasis schaffen, über die anschließend der eigentliche Angriff eingeleitet wird.
Während die Definition für Social Engineering recht eindeutig ist, zeigt die Bandbreite an verschiedenen Möglichkeiten rund um die Attacken den Phantasiereichtum von Cyberkriminellen. Unternehmen werden u. a. durch folgende Tricks besonders häufig angegriffen:
Beim Phishing werden sensible Daten von Opfern erschlichen, indem durch eine scheinbar vertrauenswürdige Absenderadresse eine Kontaktaufnahme unternommen wird. Die Opfer werden dann per E-Mail oder über andere Wege dazu gebracht, vertrauliche Informationen herauszugeben.
Bekanntes Beispiel ist die Nachahmung von Homepages mit Login-Möglichkeit. Dadurch können User schnell in die Falle tappen, weil sie die nachgebaute Homepage mit der echten verwechseln und für vertrauenswürdig halten.
Beim Spear-Phishing wird gezielt ein bestimmtes Opfer anvisiert. Das Phishing wird dann sehr viel persönlicher und nutzt unter Umständen auch Personen, die dem Opfer nahestehen und die dann unwissentlich miteingebunden werden.
Social Engineering Attacken werden oft durch sogenannte Scareware eingeleitet. Dabei wird den Opfern vorgetäuscht, dass ein Sicherheitsrisiko bestehe und ein Update erforderlich sei. Tatsächlich wird durch das angebliche Update aber ein Schadprogramm in das IT-System eingeschleust. Die Angst vor Sicherheitsrisiken führt bei der Scareware zu unüberlegten Handlungen und Hacker zum Erfolg beim Angriff auf das Unternehmen.
Beim Baiting ist die Vorgehensweise ähnlich wie beim „Trojanischen Pferd“ aus der griechischen Mythologie. Mit physischen Gegenständen wird die Neugierde der potenziellen Opfer ausgenutzt. Dabei kommen zum Beispiel USB-Sticks zum Einsatz oder auch kostenlose Downloads, die für das Opfer von Interesse sind.
Im Gegensatz zu anderen Social Engineering Varianten ist beim Baiting ein bestimmter Vorteil der Motivator für das Opfer. Dieser kann, aber muss nicht von digitaler Natur sein und kann durchaus auch abseits des Internets verortet sein.
Social Engineering kann ganz verschiedene Formen annehmen. Hier entwickeln Cyberkriminelle immer neue Methoden und Varianten, um an vertrauliche Daten ihrer Opfer zu gelangen. Oft sind diese schwer erkennbar. Es erfordert eines geschulten Sicherheitsbewusstseins der Mitarbeitenden, damit diese in der Lage sind, durch eine entsprechende Qualifikation Risiken zu identifizieren, zu reduzieren und langfristig zu vermeiden.
lawpilots bietet zu diesem Zweck interaktive E-Learnings zum Thema Informationssicherheit an. Unsere Online-Schulung „Informationssicherheit für Mitarbeitende“ schult Ihre Belegschaft effektiv und nachhaltig rund um die verschiedensten Cyberangriffe und klärt auch über Attacken durch Social Engineering auf.
Unternehmen mit unzureichender IT-Security werden schnell zu Opfern von Cyberattacken. Besonders Social Engineering ist hier relativ häufig mit Erfolg für die Hacker verbunden. Das macht es unumgänglich, Lücken in der IT-Security zu schließen, die sich regelmäßig aus der unzureichenden Expertise der Belegschaft ergeben.