Der Schutz von sensiblen Daten wie Adressen, Bankdaten und Passwörtern ist in der digitalen Welt von höchster Bedeutung. Geraten unbefugte Dritte an die Informationen, kann dies schwerwiegende Konsequenzen für die Geschädigten haben. Dazu zählen Identitätsdiebstahl, finanzielle Verluste oder Verleumdungskampagnen.
Wer sich vorstellt, wie Kriminelle an die Daten gelangen, hat zumeist ausgefeilte technische Methoden wie speziell für einen Zweck entwickelte Viren, Würmer oder trojanische Pferde vor Augen.
Eine effektive Technik, mit der Straftäter sensible Informationen gewinnen, kommt ohne erweiterte Computerkenntnisse aus: das Social Engineering.
Bei dieser Vorgehensweise nutzen Betrüger und sonstige Personen mit unlauteren Absichten Manipulationstechniken, um das Vertrauen anderer Menschen zu erschleichen.
Was ist Social Engineering?
Social Engineering bezeichnet eine Form der Cyberkriminalität, bei der die Täter keine technischen Mittel einsetzen, sondern andere Menschen manipulieren, um sie dazu zu bringen, vertrauliche Informationen preiszugeben. Zu unterscheiden ist zwischen unbeabsichtigten, aber freiwilligen Mitteilungen vertraulicher Daten und der Verleitung zu Handlungen, die zur Kompromittierung der genutzten IT-Systeme führen.
Social Engineering basiert auf der Erkenntnis, dass der Mensch oft das schwächste Glied in der Sicherheitskette ist.
Die Ziele der Cyberkriminellen sind unterschiedlich: Häufig versuchen sie, sich finanziell zu bereichern oder Identitäten zu stehlen, oft spielt Social Engineering auch bei der Industriespionage eine Rolle.
Die gängigen Formen des Social Engineerings
Die Methoden des Social Engineerings lassen sich in drei Kategorien unterteilen:
- Beim Pretexting erschaffen die Kriminellen eine falsche Identität und/oder Geschichte, um das Vertrauen ihrer Opfer zu gewinnen. Das Ziel besteht darin, die arglosen Personen zur Preisgabe von sensiblen Informationen zu bewegen.
- Kriminelle gestalten Webseiten, E-Mails und Newsletter, die einen vertrauenswürdigen Anschein erwecken. Die Straftäter versuchen, dass die Opfer persönliche Informationen wie Passwörter und Log-in-Daten in dafür vorgesehene Felder eingeben. Diese Methode ist als Phishing bekannt.
- Beim sogenannten Vishing rufen Cyberkriminelle ihre Opfer an. Sie geben sich als legitime Personen oder Institutionen aus und versuchen, ihr argloses Gegenüber zur Herausgabe von Daten zu verleiten.
Welche Manipulationstechniken kommen beim Social Engineering zum Einsatz?
Beim Social Engineering zielen Cyberkriminelle auf Eigenschaften ab, die Menschen anfällig für Manipulationen machen.
Eine gängige Methode ist das Ausnutzen von Autorität: Die Kriminellen geben sich als Personen aus, die eine besondere Expertise besitzen oder in einer hohen Position für Belange der Sicherheit oder der Vermögensverwaltung tätig sind. Indem sie vermeintliche Autorität demonstrieren, üben sie Druck auf ihr Opfer aus und bewegen es dazu, persönliche Daten weiterzugeben oder Schadsoftware auf dem Computer zu installieren.
Eine ebenfalls häufig genutzte Technik ist das Wecken von Sympathie und Hilfsbereitschaft: Die Kriminellen geben sich als freundliche Personen in einer Notlage aus und behaupten, Unterstützung zu benötigen. Sie appellieren an das Mitgefühl ihrer Opfer, sodass diese bereit sind, Informationen mitzuteilen oder Geldmittel zur Verfügung zu stellen. Oft spielen sie mit Ängsten oder erzeugen Dringlichkeit, um emotionalen Druck beim Gegenüber aufzubauen.
Eine ebenfalls regelmäßig genutzte Methode besteht im Ausnutzen der natürlichen menschlichen Neugier. Die Cyberkriminellen locken mit Angeboten oder kündigen exklusive Gewinne oder Kenntnisse über interessante Geheimnisse an. Von ihrer Neugier getrieben, wischen die Opfer ihre Sicherheitsbedenken beiseite und geben vertrauliche Daten in die dafür vorgesehenen Felder ein, die dadurch in die Hände der Kriminellen gelangen.
Schutzmaßnahmen gegen Social Engineering
Gegen Social Engineering sind herkömmliche Sicherheitsvorkehrungen wie Virenscanner und Firewalls weitgehend wirkungslos, da sie menschliche Fehler nicht verhindern. Einige Softwarepakete spüren Phishing-Versuche auf. Windows Defender bietet Ihnen keinen solchen Schutz wie McAfee. Windows Defender ist das Standard-Antivirenprogramm, das nicht perfekt ist. Bezahlte Antivirenprogramme sind definitiv besser.
Um die Gefahren des Social Engineerings zu reduzieren, empfehlen sich sowohl für Arbeitskräfte als auch für Privatanwender Sensibilisierungen und Schulungen.
Vor allem berufliche Nutzer erlernen im Rahmen von Weiterbildungsmaßnahmen, wie sie verdächtige Anfragen besser erkennen. IT-Sicherheitsexperten geben überdies Tipps, wie Mitarbeiter und Führungskräfte in Unternehmen mit potenziellen Angriffen mittels Social Engineering umgehen können.
Weiterhin sollten berufliche wie private Anwender ein gesundes Misstrauen pflegen. Wenn fremde Personen sie kontaktieren und nach ihren Daten fragen, ist stets Vorsicht geboten.
Bei Cyberkriminellen, die Autorität simulieren, sollten Nutzer die angegebenen Telefonnummern, E-Mail-Adressen oder Webseiten auf ihre Authentizität überprüfen und gegebenenfalls weitere Informationen einholen.
Rechtliche Regelungen
Social Engineering kann straf- und zivilrechtliche Konsequenzen nach sich ziehen, da das Verhalten normalerweise auf betrügerischen Absichten basiert. Die genauen Strafandrohungen und gesetzlichen Normen variieren je nach Land und Rechtssystem.
Privatpersonen und Unternehmen, die durch Social Engineering Schäden erlitten haben, sollten die Vorfälle stets den Strafverfolgungsbehörden melden. Da die Cyberkriminellen oftmals in anderen Ländern ansässig sind, ist eine erfolgreiche Ermittlung der Täter nicht in jedem Fall zu garantieren.
PM
