Social Engineering
 

Kurz gefasst

Social Engineering ist eine betrügerische Manipulationstechnik, mit der versucht wird, Zugriff zu vertraulichen Informationen bzw. Zugang zu geschützten Werten zu bekommen, indem Menschen mit direkter oder indirekter Zugriffserlaubnis manipuliert werden. Zu dieser Angriffsart gehört auch "Phishing".

Social Engineering gibt es nicht nur in der Informatik, sondern auch im alltäglichen Leben und vor allem auch am Arbeitsplatz. Sobald es um Werte geht, die für irgendjemanden interessant sein könnten, kommt es zu Angriffen dieser Art.

Der menschliche Faktor steht im Mittelpunkt der Social-Engineering-Techniken. Im Wesentlichen ist es die intelligente Manipulation der natürlichen menschlichen Neigung, einander zu vertrauen. Dabei werden mit Kalkül Vertrauensbeziehungen aufgebaut, oft einfach nur durch Gespräche. Diese Beziehungen werden dann ausgenutzt, um Kapital aus den Informationen zu schlagen.

Social Engineering wird über Telefon, E-Mail, soziale Netzwerke oder in physischer Anwesenheit des Angreifers gemacht.

Wie funktioniert es?

Social Engineering nutzt dabei menschliche oder organisatorische Schwachstellen des Opfers aus. So liegt es in der Natur des Menschen, anderen helfen zu wollen und freundlichen und sympathisch erscheinenden Menschen sein Vertrauen zu schenken, auch wenn man sie nicht kennt. Letztendlich hängt alles davon ab, in welcher Situation und mit welcher Herangehensweise die Angreifer sich das Vertrauen ihrer Opfer erschleichen. Oft reicht eine vom Angreifer direkt gestellte Frage aus, damit das Opfer eine ehrliche Antwort gibt.

Schutzmaßnahmen

Verhaltensregeln

  • Bevor Sie eine Dienstreise machen, studieren Sie die Broschüren von be-safe, einem Dienst des Wirtschaftsministeriums.

  • Geben Sie nie organisationsinterne Informationen in sozialen Netzwerken preis.

  • Antworten Sie auf keine suspekten Fragen (weder wenn die Person selbst anwesend ist, noch über Telefon

  • Jede Information, auch wenn sie noch so unbedeutend erscheint, muss als wichtig und schützenswert betrachtet werden.

  • Achtung auch bei harmlos wirkenden Umfragen und Quiz im Internet.

  • Seien Sie skeptisch, sobald eine Ihnen unbekannte Person zu neugierig wird. Auch, wenn die Fragen sich nicht direkt auf geheime Informationen beziehen.

  • Klicken Sie nicht auf Links in E-Mails oder Sozialen Netzwerken, die Sie nicht erwartet haben oder die Sie dubios finden. Kontaktieren Sie im Zweifelsfall den (vermeintlichen) Absender und erkundigen Sie sich nach der Legitimität der Nachricht.

  • Verraten Sie niemandem Ihren Benutzernamen und Ihr Passwort für Internet- und EDV-Anwendungen, auch wenn die Anfrage noch so glaubwürdig erscheint. Die EDV-Abteilung Ihrer Firma benötigt diese nicht und wird Sie auch nie danach fragen.

  • Gleiches gilt für Banken, Online-Shops oder ähnliche, die Sie per Mail um Informationen bitten. (Siehe auch: e-commerce, e-banking : bewährte Praktiken; Schadprogramme: bewährte Praktiken)

  • Führen Sie keine Befehle aus, die Ihnen eine unbekannte Person vorgibt, sei dies am Telefon, in einer E-Mail oder im direkten Kontakt, wenn diese Befehle sensible Informationen betreffen.

  • Überprüfen Sie im Zweifelsfall die Identität von Gesprächspartnern am Telefon oder von E-Mail-Partnern. Am Telefon können Sie zum Beispiel den Gesprächspartner um dessen Telefonnummer bitten und ihn dann, nach Prüfen der Nummer, zurückrufen. So können Sie herausfinden, ob der Gesprächspartner tatsächlich befugten Zugriff auf den Telefonanschluss hat, von dem aus er Sie angerufen hat.

  • Treffen Sie in einer zweifelhaften Situation keine impulsive Entscheidung. Gewinnen Sie Zeit zum Nachdenken und entziehen Sie sich dadurch dem Druck des Angreifers. Einen unbekannten Anrufer z.B. dürfen Sie ohne schlechtes Gewissen auf den nächsten Tag vertrösten, an dem das Problem dann in Ruhe gelöst werden kann.

  • Loggen Sie sich auf Webseiten und Online-Anwendungen stets mithilfe des dafür vorgesehenen Buttons aus. Wenn Sie sich nicht ordnungsgemäß abmelden, ist Ihre offene Sitzung für eventuelle Angreifer leicht zugänglich.

  • Öffnen Sie keine Datei, die an eine E-Mail eines unbekannten oder zweifelhaften Absenders angehängt ist. Das gilt auch für Dateien von zweifelhaften Webseiten. Solche Anhänge können Schadprogramme wie Trojaner enthalten, die einem Angreifer freien Zugriff auf alle Ihre im Computer gespeicherten Vorgänge und Daten ermöglichen. (Siehe auch: e-commerce, e-banking : bewährte Praktiken; Schadprogramme: bewährte Praktiken)

  • Lassen Sie Papierdokumente mit sensiblen Informationen nicht für andere sichtbar herumliegen. Das gilt auch für Dokumente im Papierkorb. Machen Sie Dokumente, die Sie nicht mehr benötigen, unlesbar.