Viele Unternehmen vergessen im Rahmen ihrer IT-Sicherheitsstrategie oftmals einen ganz wichtigen Faktor: den Mitarbeitenden. Und genau hier setzen die Angreifenden beim Social-Engineering an. Erfahren Sie daher in diesem Glossar mehr über diese Art der Bedrohung und wie sie ihre Mitarbeitenden, sowie ihr Unternehmen schützen können.
Was ist Social Engineering?
Social Engineering ist eine Form des Angriffs, bei der Angreifende gezielt menschliche Schwächen ausnutzen, um an vertrauliche Informationen oder Zugang zu geschützten Systemen zu gelangen. Anstatt technische Sicherheitslücken in Computern oder Netzwerken zu suchen, greifen sie hierbei den Menschen an.
Die Angreifenden manipulieren ihre Opfer durch geschickte Täuschung und psychologische Tricks. Sie stellen sich dabei oft als vertrauenswürdige Personen dar, wie z. B. IT-Mitarbeiter, Vorgesetzte oder Dienstleister, um das Vertrauen ihrer Zielpersonen zu gewinnen. Durch diese Täuschung bringen sie ihre Opfer dazu, sensible Informationen wie Passwörter, Bankdaten oder andere private Daten freiwillig preiszugeben.
Angreifende nutzen dabei oft Zeitdruck oder die Angst vor Konsequenzen, um ihre Opfer zu schnellen Handlungen zu drängen, ohne dass diese die Situation hinterfragen. So gelingt es den Tätern, Sicherheitsprotokolle zu umgehen und wertvolle Daten zu erlangen.
Woran erkennt man Social Engineering?
Ungewöhnliche oder unerwartete Anfragen
Wenn Sie plötzlich eine E-Mail, einen Anruf oder eine Nachricht erhalten, in der jemand nach vertraulichen Daten wie Passwörtern, Bankdaten oder persönlichen Informationen fragt, ist dies ein Warnsignal. Seriöse Organisationen fordern solche Informationen nicht ohne Weiteres an.
Druck und Dringlichkeit
Social Engineers setzen oft auf Zeitdruck, um ihre Opfer zu stressen und sie zu schnellen Entscheidungen zu drängen, ohne die Situation gründlich zu prüfen. Aussagen wie „Ihr Konto wird gesperrt, wenn Sie nicht sofort handeln“ oder „Sie müssen dies sofort erledigen“ sind typisch.
Ungewöhnliche Kommunikationsmittel
Es ist ungewöhnlich, dass vertrauliche Informationen per E-Mail, Telefon oder Textnachricht angefordert werden. Wenn jemand sensible Daten über diese Kanäle anfragt, könnte dies ein Zeichen für einen Social-Engineering-Angriff sein.
Verdächtige Absenderadressen oder Telefonnummern
Bei Phishing-E-Mails verwenden Angreifende oft Absenderadressen, die nur minimal von legitimen Adressen abweichen (z. B. support@bänk.com statt support@bank.com). Überprüfen Sie immer genau die Absenderadresse und die Domain.
Unbekannte Telefonnummern
Seien Sie vorsichtig bei Anrufen von unbekannten Nummern, insbesondere wenn sie nach sensiblen Informationen fragen. Es lohnt sich, die Nummer zu überprüfen, bevor man Informationen preisgibt.
Verlockende Angebote
Wenn Sie eine E-Mail oder Nachricht erhalten, die ein großartiges Angebot macht, wie z. B. einen großen Gewinn, den man nur durch die Weitergabe von persönlichen Daten beanspruchen kann, ist dies oft ein Betrugsversuch. Betrügende nutzen solche verlockenden Versprechen, um ihre Opfer zur Preisgabe von Informationen zu verleiten.
Fehlerhafte oder ungewöhnliche Sprache
Viele Social-Engineering-Nachrichten enthalten auffällige Rechtschreib- oder Grammatikfehler, die auf mangelnde Sorgfalt oder maschinelle Übersetzungen hinweisen können. Dies kann ein klares Warnsignal sein. Auch wenn der Ton oder die Wortwahl nicht zur sonstigen Kommunikation des Absenders passt, könnte es sich um eine Täuschung handeln.
Aufforderung zur Umgehung von Sicherheitsprotokollen
Social Engineers versuchen oft, Opfer dazu zu bringen, Sicherheitsprotokolle zu ignorieren oder zu umgehen. Dies geschieht etwa indem sie sagen, dass dies ausnahmsweise notwendig sei. Es ist wichtig, niemals bestehende Sicherheitsrichtlinien zu umgehen, auch nicht auf Bitte von vermeintlichen Vorgesetzten.
Falsche Autorität
Angreifende geben sich oft als Autoritätspersonen aus (z. B. Vorgesetzte, IT-Support oder Behörden), um ihr Opfer einzuschüchtern oder zu überzeugen, dass die Anfrage legitim sei. Prüfen Sie immer, ob die angegebene Identität wirklich korrekt ist, z. B. durch einen Rückruf oder die Überprüfung der Anfrage durch eine bekannte Stelle.
Verdächtige Links in E-Mails oder Nachrichten
Klicken Sie nicht sofort auf Links, die man nicht erwartet hat. Fahren Sie mit der Maus über den Link, um die tatsächliche URL zu sehen, und prüfen Sie, ob sie zu einer vertrauenswürdigen Seite gehört. Phishing-Links sehen oft täuschend echt aus, enthalten aber kleine Abweichungen in der URL.
Übertriebene Freundlichkeit oder Förmlichkeit
Manchmal verhalten sich Social Engineers übermäßig höflich oder schmeichelhaft, um Vertrauen zu gewinnen. Ein unnatürlich freundliches oder extrem förmliches Verhalten, das nicht zur Situation passt, kann verdächtig sein.
Ungewöhnliche Fragen oder Informationen
Wenn jemand Fragen zu internen Abläufen, Prozessen oder technischen Details stellt, die normalerweise nicht an Externe weitergegeben werden, ist dies ein Warnsignal. Ein legitimer Ansprechpartner sollte bereits über diese Informationen verfügen.
Mangelnde persönliche Details des Absenders
Wenn Sie in einer E-Mail oder Nachricht mit einer allgemeinen Anrede wie „Sehr geehrter Kunde“ oder „Lieber Benutzer“ angesprochen werden, statt mit ihrem Namen, könnte es sich um einen Phishing-Versuch handeln. Legitime Absender nutzen normalerweise die persönlichen Daten, die ihnen bekannt sind.
Technische Störungen als Vorwand
Oftmals behaupten Angreifende, dass es technische Probleme mit einem Konto oder System gibt. Zeitgleich fordern Sie sie auf, Login-Daten oder andere Informationen einzugeben, um das Problem zu beheben. Seriöse Unternehmen fordern niemals auf diese Weise Informationen an.
Welche Formen von Social Engineering gibt es?
Phishing
Phishing ist eine der bekanntesten Formen des Social Engineering. Angreifende senden dabei gefälschte E-Mails, Nachrichten oder SMS, die augenscheinlich von vertrauenswürdigen Quellen wie Banken, sozialen Netzwerken oder bekannten Unternehmen stammen. Die Nachrichten enthalten oft Links zu gefälschten Webseiten, die den echten Seiten zum Verwechseln ähneln. So bringen sie ihre Opfer dazu, ihre Login-Daten, Kreditkarteninformationen oder andere persönliche Daten einzugeben.
Spear-Phishing
Im Gegensatz zum allgemeinen Phishing zielt Spear-Phishing auf bestimmte Personen oder Organisationen ab. Die Angreifenden verwenden hierbei personalisierte Informationen über das Opfer, die sie zum Beispiel vorher aus dem Internet oder über soziale Netzwerke gesammelt haben. So schneiden sie die Nachrichten gezielt auf die Interessen oder Verantwortlichkeiten des Empfangenden zu.
Vishing (Voice Phishing)
Vishing ist eine Form des Phishings, die über Telefonanrufe erfolgt. Täter geben sich häufig als Mitarbeitende von Banken, Behörden oder Unternehmen aus und versuchen so an sensible Informationen wie Kontonummern, Passwörter oder Kreditkartendaten zu kommen. Oft wird dabei mit Dringlichkeit oder Bedrohungen gearbeitet, um das Opfer unter Druck zu setzen.
Pretexting
Beim Pretexting erstellen die Angreifenden ein erfundenes Szenario (den „Pretext“), um das Vertrauen ihres Opfers zu gewinnen. Sie geben sich als autorisierte Personen aus, wie zum Beispiel als IT-Mitarbeiter, Steuerberater oder Polizeibeamte. Der Erfolg von Pretexting hängt stark von der Glaubwürdigkeit der Geschichte und der Täuschung ab.
Baiting
Baiting nutzt den natürlichen menschlichen Drang zur Neugierde aus. Die Täter bieten einen „Köder“ an, der das Opfer dazu verleitet, gefährliche Software oder Malware herunterzuladen. Dies geschieht häufig durch das Platzieren von USB-Sticks an öffentlichen Orten oder das Anbieten von verlockenden Downloads (z. B. kostenlose Musik oder Filme), die mit Malware infiziert sind. Sobald das Opfer den Köder verwendet, erhält der Täter Zugriff auf dessen System.
Quid pro quo
Bei dieser Technik bieten die Angreifenden dem Opfer eine Gegenleistung für Informationen oder Zugang an. Sie geben vor im Austausch für sensible Daten oder Zugänge einen Vorteil oder eine Belohnung bereitzustellen. Ein Beispiel könnte ein Anruf eines vermeintlichen Technikers sein, der einem „kostenlosen technischen Support“ anbietet und in Wirklichkeit versucht, Zugang zum Computersystem des Opfers zu erhalten.
Tailgating (Piggybacking)
Tailgating, auch als „Piggybacking“ bekannt, ist eine physische Form des Social Engineering. Der Angreifende versucht ohne Berechtigung in ein gesichertes Gebäude oder Gebiet zu gelangen, indem er sich hinter einer autorisierten Person „heranhängt“. Oft geben sie sich als Mitarbeitende oder Lieferanten aus und versuchen so Zutritt zu den jeweiligen Abteilungen zu erhalten.
Scareware
Scareware ist eine Täuschungstechnik. Hierbei werden die Opfer dazu gebracht, gefährliche Software zu installieren, indem sie mit falschen Warnungen oder Bedrohungen konfrontiert werden. Oft erscheinen Pop-ups, die behaupten, der Computer sei mit Viren infiziert. Die Opfer sollen dann eine „Reparatur“-Software herunterladen, die in Wirklichkeit Schadsoftware ist.
Whaling
Whaling ist eine Form des Spear-Phishing, die auf hochrangige Führungskräfte oder Entscheidungsträger abzielt. Die Täter verwenden personalisierte und detaillierte Nachrichten, um große finanzielle oder vertrauliche Unternehmensinformationen zu erlangen. Whaling-Angriffe sind oft besonders gut recherchiert, um den Eindruck von Glaubwürdigkeit und Dringlichkeit zu erwecken.
Dumpster Diving
Beim Dumpster Diving durchsuchen Angreifende den Müll von Unternehmen oder Einzelpersonen nach Informationen. Sie suchen nach alten Dokumenten, Kontoauszügen, Notizen oder anderen Daten, die noch verwertbare Informationen enthalten. Diese Informationen können später für weitere Social Engineering-Angriffe genutzt werden.
Wie schützen wir uns vor Social Engineering?
Sensibilisierung und Schulung
Regelmäßige Schulungen der Mitarbeitenden machen Angriffe erkennbar. Simulierte Tests bereiten Mitarbeitende auf solche Szenarien vor.
Vorsicht bei persönlichen Daten
Überprüfen Sie Anfragen gründlich, bevor Sie vertrauliche Infos weitergeben.
Sichere Kommunikationswege
Kontrollieren Sie E-Mails genau, aktivieren Sie die Zwei-Faktor-Authentifizierung.
Skepsis bei Anfragen
Misstrauen Sie unerwarteten Anfragen nach sensiblen Daten. Lassen Sie sich nicht drängen.
Technische Maßnahmen
Nutzen Sie aktuelle Software, E-Mail-Filter und Antivirus-Programme.
Sichere Passwörter
Verwenden Sie starke, unterschiedliche Passwörter und einen Passwort-Manager.
Prüfung von Links/Anhängen
Kontrollieren Sie URLs und öffnen Sie keine verdächtigen Anhänge.
Phishing-Schutz
Verwenden Sie Schutzsoftware und digitale Signaturen zur Verifizierung.
Physische Sicherheit
Kontrollieren Sie den Zugang zu gesicherten Bereichen und vernichten Sie sensible Dokumente.
Sicherheitsprotokolle prüfen
Überwachen und aktualisieren Sie Sicherheitsrichtlinien regelmäßig.
Herausforderungen bei der IT-Sicherheit?
Wir unterstützen Ihr Unternehmen mit fachlicher Expertise und ganzheitlichen Sicherheitsstrategien – von der Cloud bis zum Endanwender.
Zusammenfassung
Social Engineering bezeichnet eine Methode, bei der Täter Menschen manipulieren, um vertrauliche Informationen oder Zugang zu Systemen zu erhalten. Dabei nutzen sie psychologische Tricks und Täuschung, um Vertrauen zu gewinnen oder Druck auszuüben. Typische Angriffe umfassen Phishing, Vishing oder Pretexting, bei denen Opfer beispielsweise über gefälschte E-Mails oder Anrufe dazu gebracht werden, sensible Daten preiszugeben.
Schutzmaßnahmen umfassen Sensibilisierung, technische Sicherheitsvorkehrungen und wachsamem Umgang mit unerwarteten Anfragen.
Häufig gestellte Fragen zu Social Engineering
Wie erkennt man Social Engineering-Angriffe?
Anzeichen sind unerwartete Anfragen nach vertraulichen Informationen, Zeitdruck, verdächtige Kommunikationsmittel, Fehler in Sprache oder Rechtschreibung sowie unübliche oder gefälschte Links.
Wer sind die typischen Ziele von Social Engineering?
Ziele sind häufig Einzelpersonen, Mitarbeitende in Unternehmen, Führungskräfte, IT-Abteilungen und Organisationen, die wertvolle Daten oder Zugang zu sensiblen Systemen besitzen.
Wie geht man mit verdächtigen Anfragen um?
Bei verdächtigen Anfragen sollten Sie misstrauisch bleiben, die Identität des Anfragenden überprüfen und niemals persönliche Informationen preisgeben, bevor sichergestellt wurde, dass die Anfrage legitim ist.
Was sind die häufigsten Taktiken von Social Engineers?
Häufige Taktiken sind das Schaffen von Dringlichkeit, das Ausnutzen von Vertrauen, das Vortäuschen von Autorität und das Erzeugen von emotionalen Reaktionen wie Angst oder Verwirrung.
Warum sind Menschen ein Schwachpunkt in der Sicherheit?
Menschen sind oft anfällig für Social Engineering, weil sie dazu neigen, Vertrauen zu schenken, hilfsbereit zu sein oder auf emotionale Manipulation zu reagieren. Diese Eigenschaften machen sie zu einem Ziel für Angreifende, die technische Sicherheitsvorkehrungen umgehen möchten.