Beim Thema Cyber-Sicherheit geht es nicht allein um Computersysteme und Netzwerke. Mindestens ebenso wichtig sind die Nutzerinnen und Nutzer dieser Technologien: der Mensch mit all seinen Stärken und Schwächen. Beim Social Engineering nutzen Angreifer den "Faktor Mensch" als vermeintlich schwächstes Glied der Sicherheitskette aus, um ihre kriminelle Absichten zu verwirklichen.

Technische Sicherheitslücken stellen nur einen Teil der Risiken beim Internetsurfen dar. Wo Cyber-Kriminelle dank aktueller Software und Systeme, Firewalls und Virenscannern nicht weiterkommen, versuchen sie, Anwenderinnen und Anwender auf andere Weise zur Installation von Schadsoftware oder zur Herausgabe sensibler Daten zu bewegen.

Vergleichbar mit dem Trickbetrug an der Haustür setzen auch Cyber-Kriminelle im Internet auf die Vortäuschung einer persönlichen Beziehung zum Opfer oder machen Gewinnversprechen. Viele weitere Varianten dieser "Social Engineering" genannten Vorgehensweise sind denkbar und werden eingesetzt.

Zum Teil wird dabei auch ein indirekter Kontakt über Freunde des eigentlichen Opfers gewählt.

Was ist Social Engineering?

Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Cyber-Kriminelle verleiten das Opfer auf diese Weise beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren.

Social Engineering ist an sich nichts Neues und dient seit Menschengedenken als Grundlage für die unterschiedlichsten Betrugsmaschen. Im Zeitalter der digitalen Kommunikation ergeben sich jedoch äußerst effektive, neue Möglichkeiten für Kriminelle, mit denen sie Millionen von potenziellen Opfern erreichen können.

Woran erkenne ich Social Engineering?

Das zentrale Merkmal von Angriffen mithilfe von Social Engineering besteht in der Täuschung über die Identität und die Absicht des Täters. So gibt sich dieser beispielsweise als Technikerin oder Techniker oder als Mitarbeitende(r) eines Unternehmens wie PayPal, Facebook oder eines Telekommunikationsunternehmens aus, um das Opfer zur Preisgabe von Anmelde- oder Kontoinformationen oder zum Besuch einer präparierten Webseite zu verleiten.

Ein klassisches Beispiel ist der vorgebliche Systemadministrator, der eine Mitarbeiterin oder einen Mitarbeiter anruft, da er angeblich zur Behebung eines Systemfehlers oder Sicherheitsproblems das Passwort der Benutzerin oder des Benutzers benötigt.

Ein weiteres aktuelles Beispiel sind Phishing-E-Mails, welche die Umstellung auf die EU-Datenschutzgrundverordnung im Mai 2018 ausnutzen, um Opfer zum Klicken auf fingierte Bestätigungs-Links zu verleiten.

Diese Beispiele sind auch insofern typisch, als die Täter hier die Absicht vortäuschen, die Sicherheit eines Systems oder einer Dienstleistung zu erhöhen. Ein Opfer, das auf die Täuschung hereinfällt, handelt im guten Glauben, das Richtige zu tun. Tatsächlich spielt es dem realen Motiv des Täters in die Hände, Zugangsdaten abzugreifen oder Schadsoftware einzuschleusen, die einem Angreifer im schlimmsten Fall als Einfallstor zum Eindringen in ein ansonsten gut geschütztes Unternehmensnetzwerk dienen kann.

Die Kommunikation über digitale Kanäle wie E-Mail bietet ein besonders günstiges Umfeld für Social Engineering. Während der Täter sein Gegenüber in einer realen Gesprächssituation über alle Sinne hinweg täuschen muss, hat er es bei der technisch vermittelten Kommunikation deutlich einfacher. Darüber hinaus bieten die privaten und beruflichen Sozialen Netzwerke dem Täter eine einfache Möglichkeit, im Vorfeld des Angriffs eine Vielzahl von Hintergrundinformationen über Personen (z.B. Mitarbeiterinnen und Mitarbeiter) eines Unternehmens zu sammeln und gegebenenfalls zu verknüpfen.

Diese Informationen können genutzt werden, um Angriffe gezielter auszurichten. Sie können es dem Täter zudem erleichtern, eine vertrauliche Beziehung zu seinem Opfer aufzubauen – etwa durch den Verweis auf Hobbys, Freunde oder Kollegen – und dieses in der Folge einfacher zu den gewünschten Handlungen zu verleiten.

Die bekannteste Form des Social Engineering ist das Phishing – wörtlich: das Fischen nach Passwörtern. Durch häufig sehr echt wirkende E-Mails sollen Personen dazu gebracht werden, auf einen Link zu klicken und auf der ebenfalls gefälschten Zielseite Passwörter bzw. Anmeldeinformationen einzugeben, die dann vom Angreifer abgegriffen werden können.

Neben dem massenhaften Versand von Phishing-E-Mails lässt sich zunehmend eine gezieltere Variante dieser Methode beobachten, das so genannte Spear Phishing. In diesem Fall werden die E-Mails nach vorausgegangener Recherche speziell auf kleine Gruppen oder einzelne Personen zugeschnitten, was die potenzielle "Trefferquote" deutlich erhöht.

Beim CEO-Fraud (CEO-Betrug) schließlich versuchen kriminelle Täter, Entscheidungsträger bzw. für Zahlungsvorgänge befugte Mitarbeiterinnen oder Mitarbeiter in Unternehmen so zu manipulieren, dass diese vermeintlich im Auftrag des Top-Managements Überweisungen von hohen Geldbeträgen veranlassen.

Wie kann man sich gegen Social Engineering schützen?

Täter nutzen beim Social Engineering tief sitzende menschliche Dispositionen und Bedürfnisse aus, um ihre kriminellen Ziele zu erreichen – etwa den Wunsch, anderen Menschen schnell und unbürokratisch zu helfen. Das macht es schwer, sich zuverlässig gegen diese Angriffsform zu schützen.

Um das Risiko von Social-Engineering-Betrügereien zu mindern, sollten Sie in jedem Fall die folgenden Grundregeln beachten:

• Gehen Sie verantwortungsvoll mit Sozialen Netzwerken um. Überlegen Sie genau, welche persönlichen Informationen Sie dort offenlegen, da diese von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden können.
• Geben Sie in privaten und beruflichen Sozialen Netzwerken keine vertraulichen Informationen über Ihren Arbeitgeber und Ihre Arbeit preis.
• Teilen Sie Passwörter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail mit. Banken und seriöse Firmen fordern ihre Kunden nie per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf.
• Lassen Sie bei E-Mails von unbekannten Absendern besondere Vorsicht walten: Sollte auch nur ansatzweise der Verdacht bestehen, dass es sich um einen Angriffsversuch handeln könnte, reagieren Sie im Zweifelsfall besser überhaupt nicht. Wenn es sich um falschen Alarm handelt, wird sich ein Absender ggf. noch über einen anderen Kanal bei Ihnen melden. Nehmen Sie sich Zeit für den 3-Sekunden-Sicherheits-Check.
• Sollte eine Reaktion zwingend erforderlich sein, vergewissern Sie sich durch einen Anruf bei der Absenderin oder dem Absender, dass es sich um eine legitime E-Mail handelt.