Der Begriff “Social Engineering” bezieht sich auf eine Reihe von nicht-technischen oder technologisch niedrigschwelligen Techniken, die eingesetzt werden, um Computersysteme anzugreifen. Diese Techniken basieren auf der psychologischen Manipulation von Menschen, um sie dazu zu bringen, Handlungen auszuführen oder vertrauliche Informationen preiszugeben. In der Praxis nutzt Social Engineering menschliche Schwachstellen anstelle von technologischen aus.

Methoden des Social Engineering

Hier sind einige der gängigsten Methoden des Social Engineering:

1. Identitätsdiebstahl (Impersonation): Der Angreifer gibt sich als eine Person des Vertrauens aus, wie etwa ein Kollege, ein Lieferant oder ein Vertreter einer Organisation, um an sensible Informationen zu gelangen.
2. Täuschung (Lügen): Es werden Lügen erzählt, um die Opfer dazu zu bewegen, Informationen preiszugeben oder Zugriff auf Systeme zu gewähren.
3. Tricks: Der Angreifer nutzt täuschende Manöver, um Menschen dazu zu bringen, Informationen preiszugeben oder bestimmte Aktionen auszuführen. Ein Beispiel könnte eine gefälschte Anfrage für technischen Support sein.
4. Bestechung (Bribes): Menschen können mit Geld oder anderen Vorteilen bestochen werden, um sensible Informationen preiszugeben.
5. Erpressung (Blackmail): Der Angreifer droht dem Opfer mit der Veröffentlichung kompromittierender Informationen oder mit physischen, psychischen oder rufschädigenden Konsequenzen, um zu bekommen, was er will.
6. Drohungen (Threats): Die Anwendung von Einschüchterung und Drohungen, um Informationen oder unbefugten Zugriff zu erlangen.

Beispiele für Social Engineering

• Phishing: Einer der häufigsten Angriffe, bei dem der Angreifer scheinbar legitime E-Mails versendet, die die Opfer dazu verleiten, auf schädliche Links zu klicken oder persönliche Informationen preiszugeben.
• Pretexting: Der Angreifer erstellt ein fiktives Szenario (einen Vorwand), um Informationen vom Opfer zu erhalten. Er könnte beispielsweise vorgeben, ein Ermittler oder ein Mitarbeiter des Unternehmens zu sein.
• Baiting: Der Angreifer bietet etwas Verlockendes an (z. B. ein infiziertes USB-Gerät), um Menschen dazu zu bringen, es aufzuheben und zu benutzen, wodurch die Systeme infiziert werden.

Prävention von Social Engineering

Um sich vor Social-Engineering-Angriffen zu schützen, ist es wichtig, einige bewährte Verfahren anzuwenden:

• Schulung und Sensibilisierung: Mitarbeiter über Social-Engineering-Techniken aufklären und darüber informieren, wie potenzielle Angriffe erkannt werden können.
• Überprüfung der Identität: Immer die Identität von Personen überprüfen, bevor sensible Informationen preisgegeben oder Zugriffe auf Systeme gewährt werden.
• Sicherheitsrichtlinien: Strenge Sicherheitsrichtlinien und -verfahren implementieren, die den Umgang mit sensiblen Informationen und den Zugriff auf Systeme regeln.
• Meldung von Vorfällen: Mitarbeiter dazu ermutigen, verdächtige Aktivitäten oder Versuche von Social Engineering sofort zu melden.

Social Engineering stellt eine erhebliche Bedrohung für die Informationssicherheit dar, da es menschliche Schwächen anstelle von technologischen ausnutzt. Das Erkennen und Verhindern dieser Angriffe ist unerlässlich, um sensible Informationen zu schützen und die Integrität von Computersystemen zu wahren. Für Organisationen, die ihre Anfälligkeit für psychologische Manipulationstechniken konkret überprüfen möchten, gibt es spezielle Simulations- und Risikoanalyse-Programme für den menschlichen Faktor.