Social Engineering

Social Engineering beschreibt eine Vielzahl von Methoden, mit denen Kriminelle versuchen, das Verhalten ihrer Opfer zu ihrem Vorteil zu beeinflussen. Als Ziel verfolgen die Angreifenden z. B. die Preisgabe von sensiblen Informationen wie Passwörtern, das Installieren von Schadsoftware oder den unbefugten Zugang zu Dokumenten oder Informationen.

Das weit verbreitete Phishing ist eine Form von Social Engineering, bei der Kriminelle über E-Mail versuchen, Einfluss auf das Verhalten der Empfänger*innen zu nehmen. Lesen Sie hier mehr über das Thema Phishing-Mails: Phishing & E-Mail-Sicherheit.

Social Engineering kann aber auch auf andere Arten erfolgen, beispielsweise per Telefon. Dies nennt man auch Vishing (von "Voice Phishing"). Hierbei tarnt sich ein*e Betrüger*in z. B. als Angestellte*r einer Bank oder der angeblich zuständigen IT-Abteilung und versucht unter einem augenscheinlich plausiblen Vorwand an Zugangsdaten oder PINs zu kommen.

  • Wie funktioniert Social Engineering?

    Beim Social Engineering wird an menschliche Emotionen appelliert, damit die Opfer so reagieren, wie es von dem Angreifenden erhofft wird.

    • Es wird z. B. zeitlicher Druck erzeugt, indem die Dringlichkeit einer Handlung hervorgehoben wird und/oder mit negativen Folgen gedroht wird, wenn die Handlung nicht zeitnah erfolgt (z. B. Geldüberweisungen oder das Einloggen in ein Benutzer*innenkonto). Zu angeblichen Konsequenzen beim Ausbleiben der Handlungen zählen z. B. Sperrung des Zugangs oder Abbuchung hoher Geldsummen. Die meisten legitimen Unternehmen werden sich bei dringenden Belangen aber per Post oder telefonisch an Sie wenden.
    • Das Versprechen und die Hoffnung auf  finanzielle Vorteile oder Gewinne nutzen die Angreifenden als Anreize, um die Opfer zum gewünschten Handeln zu bewegen. Sollte eine E-Mail solche Angebote oder eine Vielzahl an Werbung enthalten, sollten Sie misstrauisch werden und nicht darauf eingehen.
    • Auch der Zugang von Unbefugten in Bereiche mit sensiblen Informationen kann durch Social Engineering erfolgen. Unbefugte können sich z. B. als Angestellte eines Gebäudemanagement-Dienstes ausgeben, Vertrauen erlangen und so in Büros und in unmittelbare Nähe von sensiblen Daten gelangen. Der Zugriff auf Informationen und deren Missbrauch kann dann nicht mehr kontrolliert werden.
    • Das bewusste Platzieren von mit Schadsoftware infizierten USB-Sticks appelliert an die Neugier von Menschen. Kriminelle gelangen z. B. unbefugt in ein Gebäue und platzieren USB-Sticks in Gemeinschaftsräumen oder schicken sie per Post zu. Personen, die diese USB-Sticks finden, sind neugierig, was darauf enthalten ist, oder hoffen, den*die Besitzer*in durch Sichtung der Daten ausfindig machen zu können. Nachdem ein entsprechend präparierter USB-Stick an den Rechner angeschlossen wurde, kann eine Infektion mit Schadsoftware automatisch erfolgen. Schließen Sie nie Endgeräte, deren Herkunft Sie nicht ganz genau nachverfolgen können, an Ihren Rechner an.
    • In den letzten Jahren wurde auch immer wieder der Identitätsdiebstahl von Führungskräften für Social-Engineering-Versuche genutzt. Die Angreifenden gelangen an Informationen von Führungskräften, geben sich als Vorgesetze aus und nutzen ihre angebliche Autoritätsposition, um die Mitarbeitenden z. B. zur Preisgabe von internen Informationen oder zu Überweisungen für den*die Vorgesetzte*n zu bewegen. Weitere Informationen über solche Betrugsformen finden Sie unter Identitätsdiebstahl.