Was ist Social Engineering?

Beim Social Engineering handelt es sich um Angriffe, welche die Hilfsbereitschaft, Gutgläubigkeit, Unsicherheit oder Neugier von Personen ausnutzen um beispielsweise an vertrauliche Daten zu gelangen oder die Opfer zu einer bestimmten Aktion zu bewegen. Wie funktioniert Social Engineering?In vielen Fällen des Social Engineerings werden unter anderem folgende Aspekte verwendet, um das Opfer zur Herausgabe von sensiblen Daten oder zur Ausübung bestimmter Aktionen zu bewegen:

Zeit als kritischer Faktor

In vielen Fällen wird bei Social Engineering Angriffen die betroffene Person unter Zeitdruck aufgefordert etwas zu tun. Dies kann das Opfer dazu bewegen, unbedachte Aktionen auszuführen, die es ohne den Zeitdruck vielleicht nicht tun würde.

Unsicherheiten und Zweifel

Beim Social Engineering werden oft Unsicherheiten des Opfers ausgenutzt (z.B. technische Unwissenheit, fehlende Vertrautheit mit Unternehmensabläufen). Angreifer verunsichern Ihr Opfer meist durch selbstbewusstes Auftreten und Fachjargon und drohen manchmal sogar damit, Führungskräfte einzuschalten. 

Angst vor Konsequenzen

In den meisten Fällen drohen die Angreifer dem Opfer mit negativen Konsequenzen, falls eine bestimmte Aktion nicht vorgenommen wird (bspw. Sperrung eines Bankkontos, falls nicht innerhalb der angegebenen Zeit gehandelt wird).

Aussicht auf die Erfüllung von Bedürfnissen

Bei gewissen Angriffen werden die Bedürfnisse und Wünsche des Opfers ausgenutzt, um dieses zum erwünschten Verhalten zu bewegen. Dies kann beispielsweise die Aussicht auf ein kostenloses Smartphone, auf einfach verdientes Geld oder auch auf eine Liebesbeziehung sein.

Beispiele für Social Engineering

  • Eine Person gibt sich als Techniker aus (z. B. einer Telefongesellschaft, eines Elektrizitätswerkes etc.) und versucht so Zugang in Ihr Haus oder ins Unternehmen zu erlangen.
  • Sie erhalten eine E-Mail, welche Sie auffordert, einen Link aufzurufen und ein Login zu tätigen oder persönliche Informationen preiszugeben.
  • Eine Person ruft Sie per Telefon an und will Ihnen für eine Umfrage gewisse Fragen stellen (z. B. zum Einkommen, zu Sicherheitsmassnahmen am Computer etc.).
  • Ein Angreifer fälscht den Absender einer E-Mail und gibt sich so als bekannte Person aus (möglicherweise enthält der Anhang einen Virus).
  • Am Arbeitsplatz kommt eine Person die sich als Informatiker ausgibt und Ihnen vorgaukelt an Ihrem Computer Unterhaltsarbeiten verrichten zu müssen.
  • Phishing/Spear-Phishing: anhand gefälschter Webauftritte, E-Mails oder Kurznachrichten wird versucht an vertrauliche Daten von Internetnutzern heranzukommen

Das können Sie tun:

  • Publizieren Sie im Internet nur so viel Informationen wie unbedingt nötig
  • Seien Sie auch am Telefon zurückhaltend mit der Herausgabe vertraulicher Informationen (wie Benutzername, Passwort, usw.)
  • Geben Sie vertraulichen Informationen nicht an andere Personen weiter. Falls jemand darauf besteht, so melden Sie dies Ihrem Vorgesetzten, dem Systemverantwortlichen oder dem Dienstleistungsanbieter (z. B. Bank, Internet Service Provider, usw.). Ein seriöser Dienstleistungsanbieter wird Sie nicht nach Ihrem Passwort fragen.