Social Engineering – der Mensch als Schwachstelle

Beim Thema Cyber-Sicherheit geht es nicht allein um Computersysteme und Netzwerke. Mindestens genau so wichtig sind die Nutzer*innen dieser Technologien: der Mensch mit all seinen Stärken und Schwächen. Beim Social Engineering nutzt der Täter den "Faktor Mensch" als vermeintlich schwächstes Glied der Sicherheitskette aus, um seine kriminelle Absicht zu verwirklichen.
Mann steht hinter Bildschirm
07.09.2022

Technische Sicherheitslücken stellen nur einen Teil der Risiken beim Internetsurfen dar. Wo Cyber-Kriminelle dank aktueller Software und Systeme, Firewalls und Virenscannern nicht weiterkommen, versuchen sie Anwender*innen auf andere Weise zur Installation von Schadsoftware oder Herausgabe sensibler Daten zu bewegen.

Vergleichbar mit dem Trickbetrug an der Haustür setzen auch Cyber-Kriminelle im Internet auf die Vortäuschung einer persönlichen Beziehung zum Opfer oder machen Gewinnversprechen. Viele weitere Varianten dieser Social Engineering genannten Vorgehensweise sind denkbar und werden eingesetzt. Zum Teil wird dabei auch ein indirekter Kontakt über Freunde des eigentlichen Opfers gewählt.
 

Was ist Social Engineering?

Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Cyber-Kriminelle verleiten das Opfer auf diese Weise bspw. dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren.

Social Engineering ist an sich nichts Neues und dient seit Menschengedenken als Grundlage für die unterschiedlichsten Betrugsmaschen. Im Zeitalter der digitalen Kommunikation ergeben sich jedoch äußerst effektive, neue Möglichkeiten für Kriminelle, mit denen sie Millionen von potenziellen Opfern erreichen können.

 

Woran erkenne ich Social Engineering?

Das zentrale Merkmal von Angriffen mithilfe von Social Engineering besteht in der Täuschung über die Identität und die Absicht des Täters. So gibt sich dieser bspw. als Techniker*in oder als Mitarbeitende eines Unternehmens wie PayPal, Facebook oder eines Telekommunikationsunternehmens aus, um das Opfer zur Preisgabe von Anmelde- oder Kontoinformationen oder zum Besuch einer präparierten Webseite zu verleiten.

Ein klassisches Beispiel ist der vorgebliche Systemadministrator, der den Mitarbeiter*in anruft, da dieser angeblich zur Behebung eines Systemfehlers oder Sicherheitsproblems das Passwort des Benutzers oder der Benutzerin benötigt. Ein weiteres Beispiel sind die Phishing-E-Mails, welche die Umstellung auf die EU-Datenschutzgrundverordnung im Mai 2018 ausnutzen, um Opfer zum Klicken auf fingierte Bestätigungs-Links zu verleiten.

Diese Beispiele sind auch insofern typisch, als die Täter hier die Absicht vortäuschen, die Sicherheit eines Systems oder einer Dienstleistung zu erhöhen. Ein Opfer, das auf die Täuschung hereinfällt, handelt im guten Glauben, das Richtige zu tun. Tatsächlich spielt es dem realen Motiv des Täters in die Hände, Zugangsdaten abzugreifen oder Schadsoftware einzuschleusen, die einem Angreifer im schlimmsten Fall als Einfallstor zum Eindringen in ein ansonsten gut geschütztes Unternehmensnetzwerk dienen kann.

Die Kommunikation über digitale Kanäle wie E-Mail bietet ein besonders günstiges Umfeld für Social Engineering. Während der Täter sein Gegenüber in einer realen Gesprächssituation über alle Sinne hinweg täuschen muss, hat er es bei der technisch vermittelten Kommunikation deutlich einfacher. Darüber hinaus bieten die privaten und beruflichen Sozialen Netzwerke dem Täter eine einfache Möglichkeit, im Vorfeld des Angriffs eine Vielzahl von Hintergrundinformationen über Personen oder Mitarbeiter eines Unternehmens zu sammeln und gegebenenfalls zu verknüpfen.

Diese Informationen können genutzt werden, um Angriffe gezielter auszurichten. Sie können es dem Täter zudem erleichtern, eine vertrauliche Beziehung zu seinem Opfer aufzubauen – etwa durch den Verweis auf Hobbys, Freunde oder Kollegen – und dieses in der Folge einfacher zu unzulässigen Handlungen zu verleiten.

Die bekannteste Form des Social Engineering ist das Phishing – wörtlich: das Fischen nach Passwörtern. Durch häufig sehr echt wirkende E-Mails sollen Personen dazu gebracht werden, auf einen Link zu klicken und auf der ebenfalls gefälschten Zielseite Passwörter bzw. Anmeldeinformationen einzugeben, die dann vom Angreifer abgegriffen werden können.

Neben dem massenhaften Versand von Phishing-Mails lässt sich zunehmend eine gezieltere Variante dieser Methode beobachten, das so genannte Spear Phishing. In diesem Fall werden die E-Mails nach vorausgegangener Recherche speziell auf kleine Gruppen oder einzelne Personen bzw. Mitarbeiter zugeschnitten, was die potenzielle "Trefferquote" deutlich erhöht.

Beim CEO Fraud (CEO-Betrug) schließlich versuchen kriminelle Täter, Entscheidungsträger bzw. für Zahlungsvorgänge befugte Mitarbeiter oder Mitarbeiterinnen in Unternehmen so zu manipulieren, dass diese vermeintlich im Auftrag des Top-Managements Überweisungen von hohen Geldbeträgen veranlassen.

 

Wie kann man sich gegen Social Engineering schützen?

Täter nutzen beim Social Engineering tief sitzende menschliche Dispositionen und Bedürfnisse aus, um ihre kriminellen Ziele zu erreichen – etwa den Wunsch, anderen Menschen schnell und unbürokratisch zu helfen. Das macht es schwer, sich zuverlässig gegen diese Angriffsform zu schützen.
 

Um das Risiko von Social Engineering-Betrügereien zu mindern, sollten in jedem Fall die folgenden Grundregeln beachtet werden:

  • Geht verantwortungsvoll mit sozialen Netzwerken um. Überlegt genau, welche persönlichen Informationen ihr dort offenlegt, da diese von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden können.
  • Gebt in privaten und beruflichen sozialen Netzwerken keine vertraulichen Informationen über euren Arbeitgeber und eure Arbeit preis.
  • Teilt Passwörter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail mit. Banken und seriöse Firmen fordern ihre Kunden nie per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf.
  • Lasst bei E-Mails von unbekannten Absendern besondere Vorsicht walten: Sollte auch nur ansatzweise der Verdacht bestehen, dass es sich um einen Angriffsversuch handeln könnte, reagiert doch im Zweifelsfall besser überhaupt nicht. Wenn es sich um falschen Alarm handelt, wird sich ein Absender ggf. noch über einen anderen Kanal bei euch melden. Nehmt euch Zeit für den 3-Sekunden-Sicherheits-Check.
  • Sollte eine Reaktion zwingend erforderlich sein, vergewissert euch durch einen Anruf beim Absender*in, dass es sich um eine legitime E-Mail handelt.