Red TeamingJan Kahmen6 min Lesezeit

Was bietet Schutz vor Social Engineering?

Der Begriff Social Engineering beschreibt die gezielte Manipulation von Personen. Das Ziel dabei ist, Zugang zu vertraulichen Informationen zu erhalten.

Inhaltsverzeichnis

Ob man nun über das Internet der Dinge spricht, über die Smart Factory oder über Big (Smart) Data – bei all diesen Themen geht es um gesteigerte Konnektivität, höchste Effizienz und die Akquise (mitunter) wichtiger Daten. Dadurch ergeben sich jedoch auch neue Anforderungen an die Sicherheit. Wie jede gesellschaftliche Entwicklung bringt nämlich auch die digitale Transformation Risiken und Bedrohungen im Hinblick auf die Sicherheit mit sich. Diese können durchaus vielfältig sein. Häufig angewendet werden dabei verschiedene Methoden des Social Engineerings, die mitunter zu massiven Schäden führen. Mit dem entsprechenden Schutz vor Social Engineering minimieren Sie aber dieses Risiko auf dem Weg zu einer sicheren Systemlandschaft.

Was ist Social Engineering?

Der Begriff Social Engineering beschreibt die gezielte Manipulation von Personen. Das Ziel dabei ist, Zugang zu Systemlandschaften, internen Prozessen und vertraulichen Informationen zu erhalten. Dabei werden Informationen über den Mitarbeiter oder die Mitarbeiterin gesammelt, um im Anschluss dessen bzw. deren menschliche Natur gegen ihn oder sie einzusetzen. Die angewandte Technik lässt sich durchaus als Trickbetrug bezeichnen – nur eben à la state of the art. Solche Versuche sind nicht neu, Trickbetrüger gab es auch schon lange vor der Digitalisierung und Industrie 4.0 – sogar lange vor Computern und Laptops. Da die Methode jedoch noch immer effektiv ist, wird sie nach wie vor stark genutzt. Ein Interessantes Video zum Thema Social Engineering ist zu empfehlen.

Die Kunst der Manipulation

Auch Sie kennen wahrscheinlich Geschichten von E-Mails mit harmlosem Anhang oder unscheinbaren Links, die dann ein böses Erwachen nach sich zogen. Der User oder die Userin waren unvorsichtig und öffnete den Anhang bzw. klickte auf den Link. Die Methoden von Social Engineering gehen aber noch einen Schritt weiter: Um sich Zugang zu einem Computer-Netzwerk zu verschaffen, geben sich Social Engineers beispielsweise als Mitarbeiter, Kunden oder EDV-Techniker aus. Er oder sie versucht, das Vertrauen eines autorisierten Nutzers bzw. einer autorisierten Nutzerin zu gewinnen und vertrauliche Informationen einzuholen. Nicht selten versuchen die Betrüger dabei über längere Zeit ein Vertrauensverhältnis aufzubauen. Nach und nach werden ohne Verdacht zu wecken Insiderinformationen über die Softwarelandschaft und die Netzwerk-Sicherheit entlockt. So kontaktieren die Angreifer beispielsweise eine MitarbeiterIn, erwähnen ein angeblich dringendes Problem und fordern den Zugriff auf das Netzwerk, um dieses zu lösen. Das ausgemachte Ziel von Social Engineering ist also ganz klar der Mensch. Natürlich lassen sich auch Firewalls und sonstige Sicherheitsmechanismen überlisten, aber Eitelkeit, Autoritätshörigkeit oder Schamgefühl menschlicher Mitarbeiter lassen sich mit vergleichsweise wenig Aufwand überwinden. Gerade Mitarbeiter mit viel Kundenkontakt oder neue Mitarbeiter, die noch nicht alle Kollegen und Kollegen kennen und in der Regel Hilfe beim Einrichten der IT-Systeme brauchen, sind beliebte Ziele. Der große Vorteil für die Angreifer: Oft wird der Angriff nicht einmal registriert. Das Eindringen bleibt unbemerkt und die Mitarbeiterin bzw. der Mitarbeiter lassen sich bei der nächsten Gelegenheit erneut für die eigenen Machenschaften ausnutzen.

Schutz vor Social Engineering

Im Gegensatz zu den Maßnahmen gegen andere Angriffsformen auf die Datensätze und Systeme eines Unternehmens (mitunter auch denen von Privatpersonen), lässt sich der Schutz vor Social Engineering nicht durch umfassende IT-Maßnahmen realisieren. Der Mensch ist das potenzielle Einfallstor und die potenzielle Schwachstelle. Unternehmen sind daher angeraten Mitarbeiter den Wert von Informationen ins Gedächtnis zu rufen, die Bedrohung vor Augen zu führen und sie entsprechend zu schulen. Was Sie konkret tun können?

  • Die Angreifer setzen bei den Methoden von Social Engineering auf menschliche Impulshandlungen. Getrieben von Deadlines und Stress reagieren viele Angestellte häufig unüberlegt. Nehmen Sie sich einen Moment Zeit und denken Sie nach! Seien Sie misstrauisch und vorsichtig bei verdächtigen oder unerwarteten Anrufen – auch wenn sie von einer (potenziell) vertrauten Person kommen.
  • Geben Sie über anonyme Kanäle wie E-Mail, Chats oder Telefon keine vertraulichen Informationen weiter. Trotz all der Möglichkeiten der Digitalisierung lassen sich Informationen sicherer von Angesicht zu Angesicht austauschen. Der positive Nebeneffekt ist, dass Sie so bessere Beziehungen zu Ihrem Gegenüber bilden.
  • Sind Sie sich bei einer Anfrage nicht sicher und Ihr Gesprächspartner versucht, Sie unter Druck zu setzen, leiten Sie die Anfrage an Ihre Vorgesetzte weiter. Gerade Versuche das Opfer einzuschüchtern gehört zum kleinen Einmaleins des Social Engineerings.

Angreifer finden mit den Methoden von Social Engineering immer wieder einen Weg menschlichen Mitarbeiter Informationen zu entlocken. Durch Naivität oder unüberlegtes Handeln lassen sich auch die besten Sicherheitssysteme umgehen und wertvolle Daten entwenden. Aber mit etwas gesundem Menschenverstand und logischem Nachdenken ist es nicht schwer sich davor zu schützen. Weitere Informationen erhalten Sie bei datensicherheit.de.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: