E-Mail Postfach Icon

Was ist Social Engineering?

Bei Social Engineering handelt es sich um die gezielte Manipulation und Beeinflussung von Personen, um diese zu bestimmten Handlungen oder zur Herausgabe vertraulicher Informationen zu bewegen. Es bildet damit die Basis für alle Arten von Phishing-Angriffen.

Globale Netzwerkverbindungen

01

Social Engineering: eine Definition

Für Social Engineering kommen nahezu alle Kommunikationstechnologien und -wege infrage – vom Telefongespräch über E-Mail, Messenger und SMS bis hin zu Videocalls. Das Prinzip der Attacke ist dabei immer dasselbe: Über eine überzeugende Argumentation soll eine bestimmte Handlung beim Gegenüber hervorgerufen werden. Um ihre Forderung zu legitimieren, geben sich die Angreifer in der Regel als bekannter firmeninterner oder externer Kontakt aus. Meist geht einer Social-Engineering-Attacke eine ausführliche Recherche zur Zielperson voraus. Umso besser die Betrüger vorbereitet sind, desto wahrscheinlicher gelingt der Angriff auf die jeweilige Person.

E-Mail Postfach

02

Wie funktioniert eine Social-Engineering-Attacke?

Indem sich Angreifer etwa in E-Mails als legitimer Kontakt, z. B. von innerhalb eines Unternehmens oder von Partnern, Kunden, Banken und Behörden, ausgeben, versuchen sie das Vertrauen ihres Opfers zu gewinnen. Die professionell gestalteten und fehlerfrei formulierten Nachrichten umfassen meist täuschend echt wirkende Signaturen, Kontaktdetails und Firmenlogos oder sogar persönliche Informationen für noch mehr Glaubwürdigkeit. Dazu werten die Angreifer im Vorfeld Daten von Social-Media-Kanälen und öffentlich verfügbare Unternehmensinformationen aus.

Meist imitieren oder fälschen die Kriminellen auch die E-Mail-Adresse des vermeintlichen Absenders, indem sie zum Beispiel den E-Mail-Header manipulieren (E-Mail-Spoofing), unauffällige Buchstabendreher einbauen und nahezu identisch aussehende Buchstabenkombinationen verwenden (z.B. ein großes „I“ wie Ida statt ein kleines „l“ wie lustig oder „rn“ statt „m“). Manchmal setzen die Betrüger sogar eigene E-Mail-Server auf und registrieren eigens Domains, die denen echter Unternehmen oder Behörden stark ähneln. Anschließend fordern die Kriminellen ihr Opfer in stichhaltigen Konversationen beispielsweise auf, streng vertrauliche Informationen wie Gehaltslisten, Steuer- oder Bankdaten zu übermitteln, einen enthaltenen Link zu einer Webseite anzuklicken, über die dann Schadprogramme installiert oder Anmeldedaten abgegriffen werden, oder eine Finanztransaktion zu veranlassen.

03

Bei welchen Angriffen kommt Social Engineering zum Einsatz?

Attacken auf Grundlage von Social Engineering unterscheiden sich außer durch die gewählten Kommunikationswege auch durch die konkrete Vorgehensweise der Angreifer und dem damit verbundenen Aufwand. Zu den geläufigsten Methoden zählen:

/

Phishing & Spear Phishing

Das weit verbreitete Phishing per Mail zählt zu den meistgenutzten Angriffsvektoren im Internet überhaupt. Mittels gefälschter E-Mails versuchen die Angreifer dabei, das Opfer zur Herausgabe von sensiblen Daten wie Login-Informationen zu bewegen. Hierfür wird es in der Regel per Link auf eine modifizierte oder gefälschte Webseite gelockt, von der die Daten dann abgegriffen werden. Im Gegensatz zum herkömmlichen Phishing, das auf eine breite Zielgruppe ausgelegt ist, werden beim Spear Phishing die Nachrichten genau auf das jeweilige Opfer zugeschnitten. Damit fällt diese Form des Social Engineerings zwar aufwändiger aus, allerdings steigen auch die Erfolgschancen beträchtlich.

/

Business E-Mail Compromise (BEC) & Whaling

Ebenfalls in die Kategorie Phishing ist der Angriffstyp Business E-Mail Compromise (BEC) einzuordnen. Dabei visieren Angreifer einzelne Beschäftigte eines Unternehmens an und geben sich in glaubwürdigen E-Mail-Konversationen als Entscheidungsträger aus, um die Übermittlung wertvoller Daten oder auch die Überweisung hoher Geldbeträge zu bewirken. Zielen solche Social-Engineering-Attacken direkt auf das C-Level-Management (CEO, CFO und andere hochrangige Führungskräfte), spricht man auch von Whaling.

Erklärungsgrafik Scareware

Scareware

Social Engineering kann auch mittels Software beziehungsweise Scareware erfolgen. Bei dieser automatisierten Form des Social Engineering soll das Opfer durch Verängstigung manipuliert werden. In der Praxis kommen hierfür etwa Anzeigen und Animationen auf Webseiten zum Einsatz, die dem Anwender vorgaukeln, dass sein PC von Schadsoftware befallen sei. Die wirkliche Malware lauert aber in einem parallel zum Download angebotenen „Antiviren“-Tool, hinter dem sich in Wahrheit ein Trojaner verbirgt, der es auf sensible Daten abgesehen hat.

04

Wie können sich Unternehmen vor Social-Engineering-Angriffen schützen?

Technische Abwehrmaßnahmen

Technische Maßnahmen sind nur bedingt geeignet, um Social-Engineering-Angriffe abzuwehren. Mehrschichtige Anmeldeverfahren erhöhen zwar den Aufwand für eine Kompromittierung, können aber dennoch von professionellen Angreifern ausgehebelt werden. Auch Techniken wie SPF, DKIM und DMARC (Sender Policy Framework, DomainKeys Identified Mail und Domain-based Message Authentication, Reporting and Conformance), E-Mail-Verschlüsselung oder die automatische Kennzeichnung externer E-Mails im Posteingang bieten keinen zuverlässigen Schutz. Sie helfen zwar, gefälschte Absenderadressen zu identifizieren; Cyberkriminelle finden aber auch hier immer wieder eine Möglichkeit, die technischen Abwehrmaßnahmen zu umgehen.

Awareness-Schulungen

Der am häufigsten ausgenutzte Faktor bei Social-Engineering-Angriffen ist Unwissenheit. Wer sein Unternehmen effektiv schützen will, muss daher mit Schulungen für Awareness bei seinen Beschäftigten sorgen. Sie sollten ein gesundes Misstrauen entwickeln und z. B. E-Mail-Absender sorgfältig prüfen, um betrügerische Nachrichten rechtzeitig als solche zu erkennen. Zur kontinuierlichen Sensibilisierung des Personals können auch regelmäßig simulierte Angriffe durch die IT-Abteilung oder externe Dienstleister durchgeführt werden.

Mehrstufiger Verifizierungsprozess

Insbesondere für Anfragen bezüglich vertraulicher Daten oder Finanztransaktionen empfiehlt es sich, einen mehrstufigen Verifizierungsprozess und Verhaltensrichtlinien zu etablieren. Mitarbeiterinnen und Mitarbeiter sollten im Zweifelsfall beispielsweise telefonisch Rücksprache halten, um per E-Mail erhaltene Anweisungen vom vermeintlichen Absender bestätigen zu lassen.

Datensparsamkeit auf Social Media

Alle Beschäftigten sollten darauf achten, wie viele und welche Informationen sie in Social-Media-Kanälen veröffentlichen. Denn dort gepostete Inhalte dienen Angreifern häufig als Datengrundlage für Social-Engineering-Attacken.

Social Apps auf einem Handy

05

Social Engineering: Das müssen Sie wissen

Social-Engineering-Angriffe zielen darauf ab, Menschen unter Vorspiegelung falscher Tatsachen zu bestimmten Handlungen oder zur Herausgabe vertraulicher Informationen zu bewegen. Cyberkriminelle haben es dabei fast immer auf den Diebstahl von Geld bzw. wertvollen Datensätzen abgesehen oder darauf, sich zu diesem Zweck Zugang zu Firmennetzwerken zu verschaffen. Technische Abwehrmaßnahmen allein bieten keinen ausreichenden Schutz vor solchen Angriffen, weil hier der Faktor Mensch eine entscheidende Rolle spielt. Wenn etwa eine Phishing-Mail unüberlegt geöffnet oder ein enthaltener Link zu einer bösartigen Website arglos angeklickt wird, kann es schon zu spät sein. Dies sollten Unternehmen im Rahmen einer ganzheitlichen Cybersicherheitsstrategie berücksichtigen und neben technischen auch organisatorische Präventionsmaßnahmen wie regelmäßige Awareness-Schulungen einführen.