Der Begriff Social Engineering bezeichnet eine Vorgehensweise, bei welcher Angreifer das Vertrauen einer oder mehrerer Personen erschleichen und diese zu einer bestimmten Handlung veranlassen. Die Motivation hinter diesen betrügerischen Tätigkeiten liegt meist darin, an sensible Informationen oder interne Zugangsdaten zu gelangen.
Funktionsweise von Social Engineering
Durch die andauernde Digitalisierung von Unternehmen sind nahezu alle wirtschaftlichen und privaten Bereiche vernetzt. Ein technisches Eindringen in die Strukturen ist aufgrund der meist hohen Sicherheitsvorkehrungen nicht oder nur unter erheblichem Aufwand möglich. Daher sind Cyberkriminelle dazu übergegangen, den Menschen selbst als Schwachstelle zu identifizieren. Über diesen versuchen sie, an personenbezogene und andere vertrauliche Informationen zu gelangen. Es existieren zahlreiche Herangehensweisen und Szenarien, wie sich Angreifer Informationen beschaffen können. Hierbei wird das potenzielle Opfer oftmals vorab beeinflusst. Beispielsweise werden bereits gewonnene Informationen genutzt, um eine Vertrauensbasis aufzubauen. Alternativ wird das Opfer aus anderen Aspekten wie Unsicherheit zu einer gewünschten Handlung geführt.
Cyberkriminelle nutzen verschiedene Social-Engineering-Taktiken, um mit Autorität, Angst oder dem Einsatz von Humor einen Menschen gezielt zu manipulieren. Die Vertrauensbasis wird mithilfe von unterschiedlichsten Methoden geschaffen. Beispielsweise können sich Cyberkriminelle als IT-Fachpersonal ausgeben, welches eine potenzielle Sicherheitslücke schließen will.
Die Angreifer geben sich zunehmend Mühe, um einzelne Opfer zu analysieren und deren Schwachstelle zu identifizieren. Profile in sozialen Netzwerken bieten meist ausreichend Informationen, um eine Basis der Phishing-Attacke darzustellen.
Wie können sich Personen vor Social Engineering schützen?
Eine Sensibilisierung aller Mitarbeiter, insbesondere derer mit sicherheitsrelevanten Aufgaben, ist ein wesentlicher Schritt zur Abwehr von Angriffen im Social Engineering. Besitzen die Mitarbeiter Kenntnis über die möglichen Szenarien, können sie sich in einem potenziellen Fall von Social Engineering von anderer Stelle eine Autorisierung oder Bestätigung anfordern. Auf diese Weise können zudem Warnungen zeitnah ausgegeben werden.
Weiterhin können auf den Netzwerken und Computern eines Unternehmens Anti-Phishing-Filter oder Scanner installiert werden, welche mögliche schädliche Inhalte bereits vorab filtern.