Was ist Social Engineering?

Menschen lassen sich manipulieren. Manche leichter als andere. Beim Social Engineering sind es Cyberkriminelle, die dies ausnutzen. Sie versuchen, legitime User zur Herausgabe vertraulicher Daten zu veranlassen, um sich damit Zugang zu Systemen zu verschaffen, und dort Daten, Geld und mehr zu stehlen. Mit dieser „sozialen“, nichttechnischen Strategie gelingt es Cyberkriminellen sehr häufig, Türen für gezielte und breit angelegte Angriffe zu öffnen.

Social Engineering-Angriffsarten

Angreifer setzen auf vielfältige Betrugsvarianten, um sich Zugriff auf die Daten Ihres Unternehmens zu verschaffen. Sechs wichtige Varianten beschreiben wir in diesem Beitrag.

Phishing

Phishing ist die am häufigsten vorkommende Variante des Social Engineering. Von Phishing wird gesprochen, wenn ein Hacker in betrügerischer Absicht mit einem Opfer kommuniziert. Die Kommunikationsbotschaft wirkt dabei sehr real. In entsprechenden Nachrichten werden Empfänger zum Beispiel aufgefordert, auf einen Link in einer E-Mail zu klicken oder einen Anhang zu speichern. Auf diese Weise wird die empfangende Person in die Irre geführt, über den Link oder Anhang wird das Gerät direkt mit Malware infiziert. Andererseits kann auch Malware selbst personenbezogene Daten, Finanz- und Geschäftsdaten an Cyberkriminelle senden.

Baiting

Das „Baiting“ oder „Ködern“ ist dem Phishing sehr ähnlich. Allerdings wird den potenziellen Opfern von den angreifenden Personen ein Gegenstand oder Produkt versprochen. Typische Beispiele sind kostenlose Musik- oder Filmdownloads. User sollen auf diesem Wege verleitet werden, ihre Anmeldedaten preiszugeben. Eine andere Art des Köderns besteht darin, ein mit Malware infiziertes Gerät wie einen USB-Stick an einem Ort zu hinterlassen, an dem es mit hoher Wahrscheinlichkeit gefunden wird. Bei dieser Trickvariante wird unsere angeborene Neugier ausgenutzt. Irgendwer schließt den USB-Stick an einen Laptop an, worauf der Laptop mit Malware infiziert wird, unter Umständen sogar unbemerkt.

Pretexting

Pretexting liegt vor, wenn ein Angreifer eine Geschichte oder einen Vorwand erfindet, um ein Opfer zu verleiten, den Zugriff auf sensible Daten oder geschützte Systeme zu ermöglichen.

Quid pro quo

Beim „Quid pro quo“ wird ähnlich wie beim Baiting ein Vorteil versprochen.

Spear phishing

Spear-Phishing ist eine besonders gut vorbereitete Form eines Phishing-Angriffs. Spear-Phishing-Angriffe richten sich gegen sorgfältig ausgewählte Personen oder Unternehmen. Diese Angriffe sind besonders effektiv, weil E-Mails oder private Nachrichten in sozialen Netzwerken beispielsweise von bekannten Personen zu stammen scheinen – also von einem Teammitglied oder einem Mitglied der Unternehmensleitung. Die Zielperson hält den Absender für legitim. Spear-Phishing-Angriffe treten auf, wenn zum Beispiel die E-Mail-Sicherheit fehlerhaft konfiguriert ist. Weitere Informationen zum Thema E-Mail-Sicherheit finden Sie in unserem Experten-Blog 'Decoding Email Security'.

Tailgating

Tailgating ist eine physische Social-Engineering-Technik. Von Tailgating wird gesprochen, wenn es einer angreifenden Person gelingt, einem autorisierten Teammitglied zu einem geschützten Ort zu folgen, ohne sich vorher selbst korrekt auszuweisen. Die angreifende Person kann sich zum Beispiel als Zusteller ausgeben und sich unter dem Vorwand, ein Paket ausliefern zu wollen, von einem Teammitglied durch ein Gebäude führen lassen. Zweck des Tailgatings ist es, wertvolles (geistiges) Eigentum, vertrauliche Geschäftsinformationen oder Zugang zu einem geschützten Ort zu erlangen. Diese Angriffsform ist nicht in allen Unternehmen möglich. In größeren Unternehmen können Türen häufig nur mit gültigen Schlüsselkarten passiert werden. In mittelständischen Unternehmen haben Angreifer dagegen häufig die Möglichkeit, mit Beschäftigen ins Gespräch zu kommen und gemeinsam mit diesen unbemerkt an Kontrollpunkten vorbeizugehen.

Placeholder for Two engineers laughing behind screenTwo engineers laughing behind screen

Wie Sie sich vor Social Engineering schützen können

Weiterbildung

Ahnungslosigkeit ist die größte Schwäche in Unternehmen. Sie lässt sich extrem leicht ausnutzen und ist deshalb bei Angreifern besonders beliebt. Die erste und auch die beste Verteidigungslinie ist, dass alle Teammitglieder wissen, worauf sie achten müssen, und die bewährten Praktiken kennen.

Wissen, welche Informationen angreifenden Personen bekannt sein könnten

Dieser Aspekt ist sowohl in Gesprächen als auch sozialen Netzwerken wichtig. Websites wie Instagram, Facebook und Twitter bieten interessierten Angreifern einen reichen Fundus an Bildern und anderen Informationen, aus denen sich Interessen, Zusammenhänge und Vorlieben ablesen lassen. Mit einfachen Google-Maps-Suchen lassen sich Abbildungen von Gebäuden und ihrer Umgebung aus der Vogelperspektive und oft sogar weiteren Perspektiven abrufen.

Abschätzen, welche Vermögenswerte für Kriminelle am wertvollsten sind

Schützen Sie die richtigen Vermögenswerte! Wenn Sie sich fragen, welche Vermögenswerte für Angreifer wertvoll sein könnten, denken Sie nicht allein aus der Perspektive Ihres Unternehmens oder Geschäfts. Cyberkriminelle sind an allem interessiert, was sich zu Geld machen lässt.

Richtlinien durchsetzen und befolgen

Nachdem Sie herausgefunden haben, welche Vermögenswerte für Angreifer am verlockendsten sind und unter welchem Vorwand sie wahrscheinlich versuchen werden, sich Zugriff darauf zu verschaffen, formulieren Sie eine Sicherheitsrichtlinie. Und befolgen Sie diese! In einem geschäftlichen Kontext müssen alle Teammitglieder zum Gelingen beitragen. Jedes Teammitglied ist ein potenzieller Zugang zum Unternehmen und zu dessen Vermögenswerten. Für angreifende Personen oder Organisationen reicht eine einzige geöffnete Tür aus, um ans Werk zu gehen.

Software auf dem neuesten Stand halten

Bei Angriffen mit Social-Engineering-Techniken wird oft versucht, Schwachstellen in Systemen aufgrund ungepatchter, veralteter Software auszunutzen. Durch das Einspielen von Patches und regelmäßige Betriebssystemupdates kann ein Großteil dieses Risikos gemindert werden.

Seien Sie nicht das schwächste Glied in der Kette! Seien Sie schlau, seien Sie wachsam, seien Sie cybersicher!

Routinierte Praxis

Die Bedrohungslandschaft der Gegenwart stellt ein reales Risiko für Ihre sensiblen Daten, Ihren Geschäftserfolg und Ihren Ruf dar. Cyber Security muss zu einer routinierten Praxis werden, aufbauend auf einem klaren Verständnis dafür, wie User, Kunden und Anwendungen auf Daten zugreifen und wie Geräte konfiguriert sind.

Nomios Germany GmbH ist seit mehr als 15 Jahren auf die Beurteilung, den Aufbau und das Management von Informationssicherheit von Unternehmen spezialisiert. Dank unserer umfangreichen technischen Erfahrung können wir Sicherheitsstrategien und -lösungen entwickeln, die auf Ihre jeweils aktuellen geschäftlichen Herausforderungen abgestimmt sind.

Unser kompetentes Sicherheitsteam hilft Ihnen, Risiken durch moderne Bedrohungen zu begrenzen.

Zahlen lügen nicht

Social Engineering in Zahlen

icon 98 %
98 %
98 % aller Cyberangriffe sind auf Social Engineering angewiesen
icon 56 %
56 %
56 % der IT-Entscheider sagen, dass gezielte Phishing-Angriffe ihre größte Sicherheitsbedrohung sind
icon 66 %
66 %
66 % aller Malware wird über bösartige E-Mail-Anhänge installiert
icon 2,4 Millionen Dollar
2,4 Millionen Dollar
Die durchschnittlichen Kosten eines Malware-Angriffs für ein Unternehmen betragen 2,4 Millionen US-Dollar.
icon Neue Teammitglieder
Neue Teammitglieder
Neue Teammitglieder sind am anfälligsten für Social-Engineering-Angriffe. 60 % der IT-Profis geben an, dass diese einem hohen Risiko ausgesetzt sind
icon 3 %
3 %
Nur 3 % der betroffenen Benutzer melden bösartige E-Mails an das Management
Sprechen sie mit unseren experten

Unser Team ist bereit für Sie

Möchten Sie mehr über dieses Thema erfahren? Hinterlassen Sie eine Nachricht oder Ihre Telefonnummer und wir rufen Sie zurück. Wir freuen uns darauf, Ihnen weiterzuhelfen.

Updates

Weitere Updates