Was ist Social Engineering?

Was genau ist Social Engineering?

Der Begriff Social Engineering beschreibt eine Manipulation von Menschen durch Betrüger. Diese verfügen durch kriminelle Methoden über Informationen, zu denen sie unter normalen Umständen keinen Zugriff hätten.

Wenn man im Internet surft, gibt es noch andere Risiken außer technischen Sicherheitslücken. Denn wenn Kriminelle dank aktueller Software, Firewalls und Virenscannern nicht weiterkommen, versuchen sie, Nutzer auf andere Weise zur Installation von Schadsoftware oder zur Herausgabe sensibler Daten zu bringen.

Genau wie beim Trickbetrug an der Haustür, versuchen Cyber-Kriminelle im Internet, eine persönliche Beziehung zu ihren Opfern vorzutäuschen oder Gewinnversprechen zu machen. Manchmal wird dabei auch über Freunde des eigentlichen Opfers Kontakt aufgenommen.

Beim Social Engineering werden Hilfsbereitschaft oder Autoritätshörigkeit ausgenutzt, um Menschen geschickt zu manipulieren. So erlangen Cyber-Kriminelle vertrauliche Informationen vom Opfer, umgehen Sicherheitsfunktionen, tätigen Überweisungen oder installieren Schadsoftware auf privaten Geräten oder einem Computer im Firmennetzwerk.

Social Engineering ist eigentlich nicht neu und wird seit jeher für die unterschiedlichsten Betrugsmaschen genutzt. Aber durch digitale Kommunikation haben Kriminelle heute ganz neue Möglichkeiten, mit denen sie Millionen von potenziellen Opfern erreichen können.

Ein Beispiel für Social Engineering ist, wenn jemand zu einem bestimmten Zeitpunkt einen Anruf erwartet. Betrüger nutzen diese Info und geben vor, anzurufen, um an vertrauliche Infos zu kommen. So wollen sie Betroffene zu Entscheidungen drängen, die sie ohne Druck nicht getroffen hätten. Das kann z. B. der Kauf eines Produkts oder das Unterzeichnen eines Vertrags sein. Social Engineering nutzt dabei Methoden und Erkenntnisse aus der Sozialwissenschaft, Sozialpsychologie und Psychologie. Kurz: Social Engineering ist Betrug durch den Aufbau von Sympathie und Vertrauen.

Wie gesagt, Betrug und Beeinflussung gab es schon immer. Aber die Möglichkeiten, an Informationen zu kommen, haben sich verändert. Wir sind alle dank des Internets praktisch jederzeit erreichbar und stellen eine Vielzahl von Daten ins Netz (manchmal auch ohne unser Wissen). So können Fremde durch Social Engineering ohne unser Wissen an Infos von uns kommen. Wir haben so oft mit Fremden zu tun, dass die Kommunikation mit ihnen für uns ganz normal ist. Wir haben zwar unsere Warnsignale und werden in bestimmten Situationen skeptisch gegenüber Fremden. Aber genau diese Skepsis versucht der Social Engineer auszuschalten, ohne dass wir es merken. So werden weitere Infos aus dem Opfer herausgelockt.

Wie erkenne ich Social Engineering

Die Masche bei Angriffen mithilfe von Social Engineering ist meistens, dass sich der Täter als jemand anderes ausgibt und vorgibt, von einer Firma wie PayPal, Facebook oder einem Telekommunikationsunternehmen zu sein. Damit will er das Opfer dazu bringen, ihm Anmelde- oder Kontoinformationen zu geben oder eine präparierte Webseite zu besuchen.

Ein Beispiel ist der Anruf eines angeblichen Systemadministrators, der das Passwort braucht, um einen Fehler zu beheben. Ein weiteres Beispiel sind Phishing-E-Mails. Damit wollen die Täter die Opfer dazu bringen, auf fingierte Bestätigungs-Links zu klicken.

Die Täter geben vor, die Sicherheit eines Systems oder einer Dienstleistung erhöhen zu wollen. Wenn jemand auf so eine Täuschung hereinfällt, denkt er, dass er das Richtige tut. In Wahrheit hilft er damit aber dem Täter, an Zugangsdaten oder Schadsoftware zu kommen. Damit kann ein Angriff auf ein Unternehmensnetzwerk ausgeführt werden.

Social Engineering: Bewusstsein schaffen

Wie können wir Social Engineering am besten vorbeugen? Man kann es sich einfach machen und den Nutzer wegen seiner Naivität verurteilen. Oder man bietet Präventionsseminare an. Das macht für große Organisationen Sinn, damit sie sich gegen Datenklau schützen können. Aber von Privatpersonen kann man das nicht erwarten. Social Engineering ist nur eine von vielen Gefahren, die uns im Alltag begegnen können. Wir haben alle viel zu viel um die Ohren, um uns über alle möglichen Gefahren und Risiken im Alltag Gedanken zu machen. Studien zeigen außerdem, dass solche Präventivmaßnahmen nur begrenzt hilfreich sind. Eine andere Möglichkeit wäre, sich über Schadensbegrenzung Gedanken zu machen.

Wenn bei Privatpersonen ein Schaden durch Social Engineering entstanden ist, will man natürlich als erstes Wissen: Wie bekommt man sein Geld zurück? Das ist eine rechtliche Angelegenheit und die Frage ist: Kann man den Täter ausfindig machen? Kann man beweisen, dass er es war? Klar, die Daten können gelöscht werden, aber die Infos sind trotzdem noch da. Privatpersonen haben also keine Chance, sich vor Social Engineering zu schützen. Man könnte sagen, dass der Staat was tun soll. Aber woher soll man wissen, dass jemand gerade eine Straftat begeht? Das sieht man erst, wenn der Schaden schon passiert ist.

So schützt Du dich vor Social Engineering

• Sei Dir bewusst, dass Du in Sozialen Netzwerken verantwortungsvoll handeln musst. Überleg dir gut, welche persönlichen Infos du dort preisgibst. Es ist möglich, dass diese von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden.
• In privaten und beruflichen Sozialen Netzwerken solltest du keine vertraulichen Informationen über deinen Arbeitgeber und deine Arbeit teilen.
• Gib niemals Passwörter, Zugangsdaten oder Kontoinformationen per Telefon oder E-Mail weiter. Banken und seriöse Firmen werden nie vertrauliche Informationen per E-Mail oder per Telefon abfragen.
• Wenn Du eine E-Mail von jemandem bekommst, den Du nicht kennst, sei lieber vorsichtig. Wenn Du das Gefühl hast, dass es sich um einen Angriff handeln könnte, reagier lieber gar nicht. Wenn doch, nimm Dir kurz Zeit für den 3-Sekunden-Sicherheits-Check. Ist der Absender bekannt? Ist der Betreff sinnvoll? Wird ein Anhang von diesem Absender erwartet? Diese Fragen helfen Dir, um zu prüfen, ob Du der E-Mail vertrauen kannst.
• Wenn Du sichergehen willst, dass es sich um eine legitime E-Mail handelt, ruf doch einfach beim Absender an.

Social Engineering ist ein Problem. Wenn wir also nicht nur auf Prävention, Aufklärung und Misstrauen setzen, müssen wir uns nach Alternativen umsehen. Internet und Fernsehen sind voller Beiträge zum Thema Betrugsschutz. Wenn viele Menschen noch nicht über die Problematik Bescheid wissen, muss man sie aufklären. Man kann sich nicht nur auf Präventivmaßnahmen verlassen und muss nach weiteren Lösungen suchen. Eine Möglichkeit, sich gegen Social Engineering zu schützen, wäre zum Beispiel eine Versicherung gegen unkalkulierbare Risiken abzuschließen. Diese Versicherungen zahlen in der Regel bis zu 10.000 € Schadensersatz. Aber Geld ist nur einer von mehreren relevanten Faktoren.

Es kann auch ein Imageschaden entstehen. Eine Versicherung schützt vor Baiting, Phishing, Hacking und Pretexting. Dadurch wird ein weiteres Problem deutlich: Man kann nicht alle Gefahren vorhersehen. Nach dem Abschluss der Versicherung denkt man nicht mehr an die Gefahr. Man hat ja jetzt eine Versicherung dagegen. Es reicht nicht, sich nur auf die Nutzer zu konzentrieren, um Probleme durch Social Engineering zu lösen. Menschen vergessen schnell, dass sie gefährdet sind. Außerdem werden persönliche Umstände nicht berücksichtigt. Manchmal ist man schlecht drauf oder gestresst und denkt nicht an Betrug.

Wir sehen diesen Beitrag als Aufklärung über Social Engineering und hoffen, vielleicht ein wenig Problembewusstsein zu wecken.

Unerläßlich fürs moderne Leben: ein PC oder Laptop

• Wir haben PCs zu unschlagbaren Preisen im Angebot - vom Gaming PC bis zum Office-Rechner und sogar selbst konfigurierbare PCs.
• Natürlich führen wir auch Laptops - fertig konfiguriert oder selbst konfigurierbar, um maximale Flexibilität zu gewährleisten.
• DAILY EXPRESS: Unsere DAILY EXPRESS Systeme werden bei Zahlungseingang bis 14:00 noch am gleichen Tag abgeschickt, so dass der Artikel schon am nächsten Werktag (außer Samstag) bei Dir eintrifft.
• Megadeals: Unser Technikteam kalkuliert diese Spitzenangebote mit spitzem Bleistift - hier werden Schnäppchenjäger fündig. Diese Angebote sind so lange online, wie der Vorrat reicht. Du bekommst hier stark reduzierte PCs zu unschlagbaren Preisen!
• Hot Seller of the Week: Diese von unserem Technikteam ausgewählten Angebote sind besonders attraktiv und nur für kurze Zeit verfügbar.