Social Engineering

Social Engineering

Viele Unternehmen vergessen im Rahmen ihrer IT-Sicherheitsstrategie oftmals einen ganz wichtigen Faktor: den Mitarbeitenden. Und genau hier setzen die Angreifenden beim Social-Engineering an. Erfahren Sie daher in diesem Glossar mehr über diese Art der Bedrohung und wie sie ihre Mitarbeitenden, sowie ihr Unternehmen schützen können.  

Inhalte dieser Seite

Was ist Social Engineering?

Social Engineering ist eine Form des Angriffs, bei der Angreifende gezielt menschliche Schwächen ausnutzen, um an vertrauliche Informationen oder Zugang zu geschützten Systemen zu gelangen. Anstatt technische Sicherheitslücken in Computern oder Netzwerken zu suchen, greifen sie hierbei den Menschen an. 

Die Angreifenden manipulieren ihre Opfer durch geschickte Täuschung und psychologische Tricks. Sie stellen sich dabei oft als vertrauenswürdige Personen dar, wie z. B. IT-Mitarbeiter, Vorgesetzte oder Dienstleister, um das Vertrauen ihrer Zielpersonen zu gewinnen. Durch diese Täuschung bringen sie ihre Opfer dazu, sensible Informationen wie Passwörter, Bankdaten oder andere private Daten freiwillig preiszugeben. 

Angreifende nutzen dabei oft Zeitdruck oder die Angst vor Konsequenzen, um ihre Opfer zu schnellen Handlungen zu drängen, ohne dass diese die Situation hinterfragen. So gelingt es den Tätern, Sicherheitsprotokolle zu umgehen und wertvolle Daten zu erlangen. 

Woran erkennt man Social Engineering?

Ungewöhnliche oder unerwartete Anfragen

Wenn Sie plötzlich eine E-Mail, einen Anruf oder eine Nachricht erhalten, in der jemand nach vertraulichen Daten wie Passwörtern, Bankdaten oder persönlichen Informationen fragt, ist dies ein Warnsignal. Seriöse Organisationen fordern solche Informationen nicht ohne Weiteres an.

Social Engineers setzen oft auf Zeitdruck, um ihre Opfer zu stressen und sie zu schnellen Entscheidungen zu drängen, ohne die Situation gründlich zu prüfen. Aussagen wie „Ihr Konto wird gesperrt, wenn Sie nicht sofort handeln“ oder „Sie müssen dies sofort erledigen“ sind typisch.

Es ist ungewöhnlich, dass vertrauliche Informationen per E-Mail, Telefon oder Textnachricht angefordert werden. Wenn jemand sensible Daten über diese Kanäle anfragt, könnte dies ein Zeichen für einen Social-Engineering-Angriff sein.

Bei Phishing-E-Mails verwenden Angreifende oft Absenderadressen, die nur minimal von legitimen Adressen abweichen (z. B. support@bänk.com statt support@bank.com). Überprüfen Sie immer genau die Absenderadresse und die Domain.

Seien Sie vorsichtig bei Anrufen von unbekannten Nummern, insbesondere wenn sie nach sensiblen Informationen fragen. Es lohnt sich, die Nummer zu überprüfen, bevor man Informationen preisgibt.

Wenn Sie eine E-Mail oder Nachricht erhalten, die ein großartiges Angebot macht, wie z. B. einen großen Gewinn, den man nur durch die Weitergabe von persönlichen Daten beanspruchen kann, ist dies oft ein Betrugsversuch. Betrügende nutzen solche verlockenden Versprechen, um ihre Opfer zur Preisgabe von Informationen zu verleiten.

Viele Social-Engineering-Nachrichten enthalten auffällige Rechtschreib- oder Grammatikfehler, die auf mangelnde Sorgfalt oder maschinelle Übersetzungen hinweisen können. Dies kann ein klares Warnsignal sein. Auch wenn der Ton oder die Wortwahl nicht zur sonstigen Kommunikation des Absenders passt, könnte es sich um eine Täuschung handeln.

Social Engineers versuchen oft, Opfer dazu zu bringen, Sicherheitsprotokolle zu ignorieren oder zu umgehen. Dies geschieht etwa indem sie sagen, dass dies ausnahmsweise notwendig sei. Es ist wichtig, niemals bestehende Sicherheitsrichtlinien zu umgehen, auch nicht auf Bitte von vermeintlichen Vorgesetzten.

Angreifende geben sich oft als Autoritätspersonen aus (z. B. Vorgesetzte, IT-Support oder Behörden), um ihr Opfer einzuschüchtern oder zu überzeugen, dass die Anfrage legitim sei. Prüfen Sie immer, ob die angegebene Identität wirklich korrekt ist, z. B. durch einen Rückruf oder die Überprüfung der Anfrage durch eine bekannte Stelle.

Klicken Sie nicht sofort auf Links, die man nicht erwartet hat. Fahren Sie mit der Maus über den Link, um die tatsächliche URL zu sehen, und prüfen Sie, ob sie zu einer vertrauenswürdigen Seite gehört. Phishing-Links sehen oft täuschend echt aus, enthalten aber kleine Abweichungen in der URL.

Manchmal verhalten sich Social Engineers übermäßig höflich oder schmeichelhaft, um Vertrauen zu gewinnen. Ein unnatürlich freundliches oder extrem förmliches Verhalten, das nicht zur Situation passt, kann verdächtig sein.

Wenn jemand Fragen zu internen Abläufen, Prozessen oder technischen Details stellt, die normalerweise nicht an Externe weitergegeben werden, ist dies ein Warnsignal. Ein legitimer Ansprechpartner sollte bereits über diese Informationen verfügen.

Wenn Sie in einer E-Mail oder Nachricht mit einer allgemeinen Anrede wie „Sehr geehrter Kunde“ oder „Lieber Benutzer“ angesprochen werden, statt mit ihrem Namen, könnte es sich um einen Phishing-Versuch handeln. Legitime Absender nutzen normalerweise die persönlichen Daten, die ihnen bekannt sind.

Oftmals behaupten Angreifende, dass es technische Probleme mit einem Konto oder System gibt. Zeitgleich fordern Sie sie auf, Login-Daten oder andere Informationen einzugeben, um das Problem zu beheben. Seriöse Unternehmen fordern niemals auf diese Weise Informationen an.

Welche Formen von Social Engineering gibt es?

Phishing ist eine der bekanntesten Formen des Social Engineering. Angreifende senden dabei gefälschte E-Mails, Nachrichten oder SMS, die augenscheinlich von vertrauenswürdigen Quellen wie Banken, sozialen Netzwerken oder bekannten Unternehmen stammen. Die Nachrichten enthalten oft Links zu gefälschten Webseiten, die den echten Seiten zum Verwechseln ähneln. So bringen sie ihre Opfer dazu, ihre Login-Daten, Kreditkarteninformationen oder andere persönliche Daten einzugeben. 

Im Gegensatz zum allgemeinen Phishing zielt Spear-Phishing auf bestimmte Personen oder Organisationen ab. Die Angreifenden verwenden hierbei personalisierte Informationen über das Opfer, die sie zum Beispiel vorher aus dem Internet oder über soziale Netzwerke gesammelt haben. So schneiden sie die Nachrichten gezielt auf die Interessen oder Verantwortlichkeiten des Empfangenden zu.

Vishing ist eine Form des Phishings, die über Telefonanrufe erfolgt. Täter geben sich häufig als Mitarbeitende von Banken, Behörden oder Unternehmen aus und versuchen so an sensible Informationen wie Kontonummern, Passwörter oder Kreditkartendaten zu kommen. Oft wird dabei mit Dringlichkeit oder Bedrohungen gearbeitet, um das Opfer unter Druck zu setzen.

Beim Pretexting erstellen die Angreifenden ein erfundenes Szenario (den „Pretext“), um das Vertrauen ihres Opfers zu gewinnen. Sie geben sich als autorisierte Personen aus, wie zum Beispiel als IT-Mitarbeiter, Steuerberater oder Polizeibeamte.  Der Erfolg von Pretexting hängt stark von der Glaubwürdigkeit der Geschichte und der Täuschung ab.

Baiting nutzt den natürlichen menschlichen Drang zur Neugierde aus. Die Täter bieten einen „Köder“ an, der das Opfer dazu verleitet, gefährliche Software oder Malware herunterzuladen. Dies geschieht häufig durch das Platzieren von USB-Sticks an öffentlichen Orten oder das Anbieten von verlockenden Downloads (z. B. kostenlose Musik oder Filme), die mit Malware infiziert sind. Sobald das Opfer den Köder verwendet, erhält der Täter Zugriff auf dessen System. 

Bei dieser Technik bieten die Angreifenden dem Opfer eine Gegenleistung für Informationen oder Zugang an. Sie geben vor im Austausch für sensible Daten oder Zugänge einen Vorteil oder eine Belohnung bereitzustellen. Ein Beispiel könnte ein Anruf eines vermeintlichen Technikers sein, der einem „kostenlosen technischen Support“ anbietet und in Wirklichkeit versucht, Zugang zum Computersystem des Opfers zu erhalten.

Tailgating, auch als „Piggybacking“ bekannt, ist eine physische Form des Social Engineering. Der Angreifende versucht ohne Berechtigung in ein gesichertes Gebäude oder Gebiet zu gelangen, indem er sich hinter einer autorisierten Person „heranhängt“. Oft geben sie sich als Mitarbeitende oder Lieferanten aus und versuchen so Zutritt zu den jeweiligen Abteilungen zu erhalten.

Scareware ist eine Täuschungstechnik. Hierbei werden die Opfer dazu gebracht, gefährliche Software zu installieren, indem sie mit falschen Warnungen oder Bedrohungen konfrontiert werden. Oft erscheinen Pop-ups, die behaupten, der Computer sei mit Viren infiziert. Die Opfer sollen dann eine „Reparatur“-Software herunterladen, die in Wirklichkeit Schadsoftware ist.

Whaling ist eine Form des Spear-Phishing, die auf hochrangige Führungskräfte oder Entscheidungsträger abzielt. Die Täter verwenden personalisierte und detaillierte Nachrichten, um große finanzielle oder vertrauliche Unternehmensinformationen zu erlangen. Whaling-Angriffe sind oft besonders gut recherchiert, um den Eindruck von Glaubwürdigkeit und Dringlichkeit zu erwecken.

Beim Dumpster Diving durchsuchen Angreifende den Müll von Unternehmen oder Einzelpersonen nach Informationen. Sie suchen nach alten Dokumenten, Kontoauszügen, Notizen oder anderen Daten, die noch verwertbare Informationen enthalten. Diese Informationen können später für weitere Social Engineering-Angriffe genutzt werden.

Wie schützen wir uns vor Social Engineering?

Sensibilisierung und Schulung

Regelmäßige Schulungen der Mitarbeitenden machen Angriffe erkennbar. Simulierte Tests bereiten Mitarbeitende auf solche Szenarien vor.

Vorsicht bei persönlichen Daten

Überprüfen Sie Anfragen gründlich, bevor Sie vertrauliche Infos weitergeben.

Sichere Kommunikationswege

Kontrollieren Sie E-Mails genau, aktivieren Sie die Zwei-Faktor-Authentifizierung.

Skepsis bei Anfragen

Misstrauen Sie unerwarteten Anfragen nach sensiblen Daten. Lassen Sie sich nicht drängen. 

Technische Maßnahmen

Nutzen Sie aktuelle Software, E-Mail-Filter und Antivirus-Programme.

Sichere Passwörter

Verwenden Sie starke, unterschiedliche Passwörter und einen Passwort-Manager.

Prüfung von Links/Anhängen

Kontrollieren Sie URLs und öffnen Sie keine verdächtigen Anhänge.

Phishing-Schutz

Verwenden Sie Schutzsoftware und digitale Signaturen zur Verifizierung.

Physische Sicherheit

Kontrollieren Sie den Zugang zu gesicherten Bereichen und vernichten Sie sensible Dokumente.

Sicherheitsprotokolle prüfen

Überwachen und aktualisieren Sie Sicherheitsrichtlinien regelmäßig.

Herausforderungen bei der IT-Sicherheit?

Wir unterstützen Ihr Unternehmen mit fachlicher Expertise und ganzheitlichen Sicherheitsstrategien – von der Cloud bis zum Endanwender.

Zusammenfassung

Social Engineering bezeichnet eine Methode, bei der Täter Menschen manipulieren, um vertrauliche Informationen oder Zugang zu Systemen zu erhalten. Dabei nutzen sie psychologische Tricks und Täuschung, um Vertrauen zu gewinnen oder Druck auszuüben. Typische Angriffe umfassen Phishing, Vishing oder Pretexting, bei denen Opfer beispielsweise über gefälschte E-Mails oder Anrufe dazu gebracht werden, sensible Daten preiszugeben. 

Schutzmaßnahmen umfassen Sensibilisierung, technische Sicherheitsvorkehrungen und wachsamem Umgang mit unerwarteten Anfragen.  

Häufig gestellte Fragen zu Social Engineering

Wie erkennt man Social Engineering-Angriffe?

Anzeichen sind unerwartete Anfragen nach vertraulichen Informationen, Zeitdruck, verdächtige Kommunikationsmittel, Fehler in Sprache oder Rechtschreibung sowie unübliche oder gefälschte Links. 

Ziele sind häufig Einzelpersonen, Mitarbeitende in Unternehmen, Führungskräfte, IT-Abteilungen und Organisationen, die wertvolle Daten oder Zugang zu sensiblen Systemen besitzen. 

Bei verdächtigen Anfragen sollten Sie misstrauisch bleiben, die Identität des Anfragenden überprüfen und niemals persönliche Informationen preisgeben, bevor sichergestellt wurde, dass die Anfrage legitim ist. 

Häufige Taktiken sind das Schaffen von Dringlichkeit, das Ausnutzen von Vertrauen, das Vortäuschen von Autorität und das Erzeugen von emotionalen Reaktionen wie Angst oder Verwirrung. 

Menschen sind oft anfällig für Social Engineering, weil sie dazu neigen, Vertrauen zu schenken, hilfsbereit zu sein oder auf emotionale Manipulation zu reagieren. Diese Eigenschaften machen sie zu einem Ziel für Angreifende, die technische Sicherheitsvorkehrungen umgehen möchten. 

Diesen Artikel teilen
LinkedIn
XING
Facebook
X
WhatsApp
Email
Kontakt aufnehmen
GREEN IT Dortmund
Joseph-von-Fraunhofer-Straße 15
44227 Dortmund

Unsere Servicezeiten:
Montag – Donnerstag: 7:30 bis 17:00 Uhr
Freitag: 7:30 bis 14:30 Uhr

ausgenommen gesetzliche Feiertage

Privatsphäre-Einstellungen

Fragen rund um IT-Sicherheit?

Wir unterstützen Sie!
GREEN IT Service Portal

Verschaffen Sie sich einen schnellen Überblick zu offenen und geschlossenen Tickets sowie den aktuellen Bearbeitungsständen.

GREEN IT Connect Portal

Mit Ihrem Kundenlogin verwalten Sie Ihre Aufträge und Rechnungen für Telefonie, Internet und Mobilfunk bequem in unserem Online Portal.

Bildschirm off.
Sparen on!

Wussten Sie schon?
Ein dunkler Monitor verbraucht im Gegensatz zu einem hellen bis zu 20% weniger Energie.