Social Engineering ist nicht neu: Schon die "Bösen" in Hänsel und Gretel sowie beim Wolf und den sieben Geißlein wenden psychologische Tricks an, um zu manipulieren. Social Engineering hat sich in den vergangenen Jahren weiterentwickelt. Es findet heute häufiger statt und führt dabei fast immer zum Ziel.
Foto: Deymos.HR - shutterstock.com
Steigende Gefahr für Unternehmen
Social-Engineering-Angriffe werden ausgefeilter, qualitativ besser und deshalb erfolgreicher. "Das stellen wir fest, wenn unsere IT-Spezialisten herausgefunden haben, dass Unberechtigte in Unternehmensnetzwerke eingedrungen sind", sagt Dirk Reimers. Er ist Bereichsleiter bei Secunet in Hamburg, einem IT-Sicherheitsunternehmen und zuständig für Konzeption und Durchführung von Social-Engineering-Maßnahmen bei Kunden. Als Social Engineering werden die Versuche bezeichnet, sich Vertrauen bei Beschäftigten in Unternehmen zu ergaunern, um an Informationen wie Passwörter zu kommen oder Regelverstöße zu provozieren, um etwa Zugang zu Räumen zu bekommen.
- Die Psychotricks des Social Engineering
Moderne Social-Engineering-Angriffe stellen eine erhebliche Bedrohung für Unternehmen dar. Wir zeigen Ihnen, mit welchen Psychotricks die Cyberkriminellen arbeiten. - Grundlegende Bedürfnisse
Beim Social Engineering geht es nicht um technische Machbarkeiten und Möglichkeiten. Der Social Engineer greift über grundlegende Bedürfnisse an. Hilfsbereitschaft. Leichtgläubigkeit, Neugier, (Wunsch nach) Anerkennung - er baut Druck auf und verbreitet Angst. Weil viele Menschen nach dem Motto "bloß kein Streit" verfahren, ist diese Strategie oft erfolgreich. - Soziale Eigenschaften
Unsere sozialen Eigenschaften können unsere sozialen Einfalltore sein. Nicht nur die Einschätzung Fremder bereitet vielen Menschen Probleme. Meist sind sie auch nicht in der Lage, ihre eigenen kommunikativen Stärken einzuschätzen. Ist es die Anerkennung oder womöglich Druck, mittels derer die Angreifer zum Ziel kommen? - Der Reiz des Verbotenen
Beim Social Engineering versuchen Angreifer Mitarbeiter von Unternehmen auszuhorchen oder zu Fehlhandlungen zu verleiten. Sie dazu zu bringen, Dinge zu tun, die sie nicht tun sollten. Ziel der Angreifer ist es, an Informationen zu gelangen, um Wirtschaftsspionage zu betreiben oder Geld zu ergaunern. - Digitale Kommunikation
Der souveräne Umgang mit Kommunikationsmedien und –kanälen führt zunehmend zu einer Auflösung der Unterscheidung von analoger und digitaler Kommunikation. Analoge Kommunikation bedient sich verschiedener Kanäle: verbal (Sprachinhalt), non-verbal (Körpersprache, Mimik, Gestik, Kleidung, Duft) und para-verbal (Sprechgeschwindigkeit, Stimmlage, Lautstärke). Digitale Kommunikation beschränkt sich häufig auf den Inhalt und Videotelefonie gaukelt vor, dass alle Sinne beteiligt sind. Das sind sie nicht. Deshalb ist digitale Kommunikation ein Risiko im Kontext von Social Engineering. - Falsche Tatsachen
Märchen bieten gestern wie heute geeignete Bilder fürs Social Engineering. In ‚Der Wolf und die sieben Geißlein‘ werden sogar Methoden beschrieben, die denen eines Social Engineers ähneln, beispielsweise geweißte Pfoten und erhöhte Stimme. Wenn wir uns dem Thema Social Engineering stellen, wird uns bewusst, dass Menschen sich im Verlaufe einer Entwicklung als ganz andere entpuppen können als vormals geglaubt. So anders, dass sich unsere Situation schlagartig und drastisch verändern kann. - Wirksamer Schutz vor Social Engineering
Basierend auf den Studienergebnissen setzt ein sinnvoller und funktionierender Schutz vor Social Engineering auf drei Ebenen an: 1. Bewusstsein für das eigene Kommunikationsverhalten entwickeln 2. Identifikation von relevanten sozialen Eigenschaften 3. Entwicklung einer geeigneten Sicherheits- und Unternehmenskultur
Gefälschte Absender 2.0
Vor Jahren waren die Angriffs-Versuche mit E-Mails noch plump, in radebrechendem Deutsch und unglaubwürdig. Zum Beispiel als Witwe aus Uganda getarnt, die Millionen US-Dollars parken will. Heute kommen die Mails mit gefälschtem Absender - etwa vom Postversand DHL mit der Frage, wohin das Paket geliefert werden soll weil niemand zu Hause ist. Die Mails sind in tadellosem Deutsch geschrieben und lesefreundlich formatiert, einschließlich Link zum Versandstatus. Wer den anklickt, installiert unbemerkt eine Software, die Passwörter ausspäht. "Der gesamte Vorgang ist perfekt, so dass ein ungeschulter Mitarbeiter nicht merkt, dass er auf einen Angreifer hereinfällt", sagt Reimers.