Datenklau durch Manipulation – Social Engineers nutzen die »Schwachstelle Mensch«

Illustration: Absmeier, Janrye

Es gibt viele verschiedene Methoden, mit denen Hacker versuchen an sensible Daten von Unternehmen, staatlichen Behörden oder Privatpersonen zu gelangen. Nicht immer setzen Betrüger auf rein technische Mittel wie das Hacken von IT-Systemen, sondern manchmal auch ganz gezielt auf die Vertrauenswürdigkeit ihrer Mitmenschen – wie beispielsweise der aus dem Hollywoodfilm »Catch Me If You Can« bekannte Scheckbetrüger Frank William Abagnale Jr. Auch bei der Methode Social Engineering setzen Hacker gezielt beim schwächsten Glied in der Kette des Datenschutzes, dem Menschen, an.

»Social Engineering stellt eine zwischenmenschliche Beeinflussung mit dem Ziel dar, bestimmte Verhaltensweisen bei Personen hervorzurufen und an vertrauliche Informationen zu gelangen. Soll über diese Methode in ein fremdes Computersystem eingedrungen werden, spricht man auch von Social Hacking«, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.

 

Langwieriges Datensammeln

Sogenannte Social Engineers spionieren dabei das persönliche Umfeld ihres Opfers aus oder täuschen Identitäten vor, um beispielsweise an geheime Unternehmensinformationen, persönliche Kennwörter oder PIN-Nummern zu gelangen. »Mitarbeiter in Unternehmen werden häufig per E-Mail oder auch telefonisch kontaktiert und über einzelne Informationen ausgefragt. Die Hacker geben sich zum Beispiel als Führungsperson oder auch Techniker aus und verlangen vertrauliche Zugangsdaten. Manchmal behaupten die Betrüger auch, ein Kunde oder Lieferant zu sein und sammeln so über einen längeren Zeitraum – dieses Ausspionieren kann auch ein halbes Jahr dauern – verschiedene Daten«, berichtet Hösel. Über öffentlich zugängliche Quellen werden vorab meist kleine Informationsfetzen wie Verfahrensweisen oder Unternehmenshierarchie recherchiert. Diese helfen dem Hacker, Insiderwissen vorzutäuschen, und erleichtern somit die zwischenmenschliche Manipulation.

 

Vorsicht in sozialen Netzwerken

Im Privatbereich erfolgt das Social Engineering oft über die sozialen Medien. Täter stellen meist Bekannten des eigentlichen Opfers Freundschaftsanfragen. Haben Personen einer solchen Anfrage zugestimmt, erhält nun auch die Zielperson eine. Da die Bekannten bereits mit dem Betrüger »befreundet« sind und sich so eine scheinbar persönliche Verbindung herstellen lässt, stimmt häufig auch die eigentliche Zielperson zu. »Über Posts, Likes und Fotos sammeln Täter erste Informationen und erfahren etwas über die Persönlichkeit der Zielperson. In Chats können Hacker weitere Informationen erfragen und somit ihre Kenntnisse ergänzen. Manchmal täuschen diese nach einer gewissen Zeit auch einen Notfall vor, um weitere Details zu erfragen, die Menschen im Normalfall nicht preisgeben würden – dies in der Stresssituation jedoch tun«, sagt der Datenschutzbeauftragte. Weitreichende Bekanntheit erlangte diese Methode vor allem durch den US-amerikanischen Hacker Kevin Mitnick, der durch sein Eindringen in fremde Computer zu einer der meistgesuchten Personen der Vereinigten Staaten wurde. In seinem Buch beschreibt er, dass Social Engineering deutlich schneller zu gewünschten Informationen führt als rein technische Methoden.

 

Prävention durch Sensibilisierung

Um sich vor dieser Methode zu schützen, gilt es, sich als Privatperson und Mitarbeiter in Unternehmen für Social Engineering zu sensibilisieren, beispielsweise durch Datenschutzschulungen. »Generell empfiehlt es sich, E-Mails und Anrufen von unbekannten Personen misstrauisch zu begegnen und im Zweifelsfall nie sensible Daten weiterzugeben«, rät Hösel und ergänzt: »Auch Links von scheinbar bekannten Absendern, die jedoch von einer fremden Mailadresse stammen, sollten nicht geöffnet werden. Hacker nutzen immer häufiger bekannte Layouts, beispielsweise von einem Kreditinstitut, die zu einer Login-Seite führen. So sollen Benutzername und Kennwort gestohlen werden. Um die Login-Daten nicht an Betrüger preiszugeben, empfiehlt es sich, wichtige Seiten als Lesezeichen zu speichern und immer diesen Zugang für den Login zu nutzen.« E-Mails, Anrufe oder SMS, die Gewinne versprechen, sobald man persönliche Daten weitergibt, gilt es zu ignorieren. Schließlich hat kaum jemand etwas zu verschenken. Zuletzt stellt das kritische Überdenken vom Teilen privater Inhalte in den sozialen Medien einen einfachen Schritt zu mehr Sicherheit dar.

Weitere Informationen unter www.hubit.de

 

317 Artikel zu „Social Engineering“

Social Engineering nutzt »Schwachstelle Mensch« – Mitarbeiter für Unternehmensresilienz

Sensibilisierung durch Security-Awareness-Kampagnen fördert die Widerstandskraft beim »Faktor Mensch« im Unternehmen. Die Beeinflussung des Mitarbeiters, um dadurch beispielsweise an vertrauliche Informationen zu gelangen – diesem Prinzip folgt das Social Engineering. Cyberkriminelle nutzen dabei den Menschen als vermeintlich schwächstes Glied im Sicherheitskonstrukt eines Unternehmens aus. Zur Cybersicherheit ist es daher neben der Absicherung der Technologien und…

Social Engineering: Hauptrisiko »Faktor Mensch«

Die internen Netzwerke vieler Unternehmen verfügen mittlerweile über sehr sichere Schutzsysteme (etwa Firewalls, Virenschutz, Verschlüsselung) und sind selbst für erfahrene Hacker schwer zugänglich. Deshalb ist heute der Mensch Risikofaktor Nr. 1, da er oftmals leichter zu »hacken« ist als das System. So hält der ehemalige Hacker und heutige Sicherheitsexperte Kevin Mitnick, dem es über Jahre…

Cyberkriminelle und ihre psychologischen Tricks: Social-Engineering-Angriffe erfolgreich bekämpfen

Social Engineering gilt heute als eine der größten Sicherheitsbedrohungen für Unternehmen. Im Gegensatz zu traditionellen Hacking-Angriffen können Social-Engineering-Angriffe auch nicht-technischer Natur sein und müssen nicht zwingend eine Kompromittierung oder das Ausnutzen von Software- oder Systemschwachstellen beinhalten. Im Erfolgsfall ermöglichen viele Social-Engineering-Angriffe einen legitimen, autorisierten Zugriff auf vertrauliche Informationen. Die Social Engineering-Strategie von Cyberkriminellen fußt auf…

Deepfakes heben Social-Engineering-Angriffe auf eine neue Gefahrenstufe

Social-Engineering-Angriffe stellen eine hohe Gefahr für die IT-Sicherheit dar, weil sie technische Abwehrmaßnahmen umgehen. Noch problematischer wird die Bedrohungslage durch KI- und ML-basierte Deepfakes, die stark im Kommen sind. Unternehmen müssen ein Bewusstsein für diese Gefahren entwickeln und Führungskräfte wie Mitarbeiter entsprechend sensibilisieren.

Social-Engineering-Angriffe zur Vorweihnachtszeit: Wenn der Chef Geschenke macht

Starker Anstieg von Geschenkgutschein-Betrug mit CEO-Identitätsdiebstahl. Zur Vorweihnachtszeit verzeichnet das Sicherheitsteam von Barracuda Networks aktuell einen starken Anstieg von Geschenkgutschein-Betrug durch Social-Engineering-Angriffe: Hierbei stehlen Cyberkriminelle gezielt die Identität von CEOs oder Führungskräften und weisen Angestellte an, digitale Geschenkgutscheine für die Belegschaft zu kaufen und ihnen zuzuschicken, oder erschleichen Kreditkarteninformationen. Bei Mitarbeitergutscheinen zwischen 50 und 100…

Menschliche Firewall ist für die Abwehr von Social-Engineering-Angriffen unerlässlich

Unternehmen unterschätzen vielfach die Gefahr von Social-Engineering-Angriffen und sind hierauf auch nur unzureichend vorbereitet – trotz aller Security-Kampagnen. Da die technischen Möglichkeiten bei den Abwehrmaßnahmen beschränkt sind, muss vor allem die »menschliche Firewall« gut funktionieren. Adäquate Security-Awareness-Trainings sind deshalb unverzichtbar. Social-Engineering-Angriffe liegen im Trend. Ein Grund dafür ist, dass Unternehmen in den letzten Jahren vielfach…

Social-Engineering-Angriffen den Kampf ansagen

Als zentrale Schwachstelle im Unternehmensnetz kristallisieren sich die Mitarbeiter heraus. Vor allem Social-Engineering-Angriffe gefährden die Unternehmenssicherheit dabei zunehmend. Die Einschätzung, dass Mitarbeiter die letzte Verteidigungslinie in Sachen Sicherheit sind, mag zwar ein Klischee sein, wahr ist sie aber trotzdem. Folglich sind Endanwender auch ein bevorzugtes Angriffsziel. Gerade das Social Engineering, das vor allem in Form…

Social-Media-Posts ohne Reue: 5 Tipps für Unternehmen

Achtsamer Umgang mit Informationen und Datensparsamkeit verhindern Phishing-Attacken und CEO-Fraud. Awareness 2.0 mittels Sensibilisierung und Selbstreflexion.   Wenn Mitarbeiter Bilder oder Videos von ihrem Arbeitsplatz posten, dann gefällt das nicht nur dem Freundeskreis, sondern auch Cyberkriminellen: Fotos mit sichtbaren Passwörtern, Notizen auf Whiteboards oder Produktionsanlagen im Hintergrund werden von Hackern gezielt gesucht. »Je mehr Informationen…

Führende Engineering-Anbieter wachsen trotz steigender Fluktuationsraten

Top 25 erwarten moderates Marktwachstum für 2016. Umsatz der Top 25 erhöht sich in 2015 um 6,6 Prozent. Fluktuationsquote steigt auf durchschnittlich 18,5 Prozent. Die 25 führenden Anbieter von Technologie-Beratung und Engineering Services in Deutschland konnten ihre Umsätze im Jahr 2015 trotz steigender Fluktuationsraten durchschnittlich um 6,6 Prozent steigern. Lag die Fluktuationsrate im Vorjahr noch…

Bepöbelt von Robotern – Wie Social Bots uns beeinflussen sollen

Stellen Sie sich vor, ein Politiker hält eine Rede vor großem Publikum. Sofort danach ertönen Applaus und aufmunternde Worte, aber auch Buhrufe, Widerspruch und Spott. Sie schauen sich um, wer den Krawall veranstaltet – und es sind Roboter. Was wie befremdliche Science-Fiction klingt, ist längst Realität auf Facebook, Twitter, Tumblr und vielen anderen Seiten. Software,…

Datensicherheit: Gratis-Onlinekurs hilft Social-Media-Nutzern

Mit einem zweiwöchigen Online-Workshop zum Thema »Social Media – What No One has Told You about Privacy« startet openHPI, die Online-Bildungsplattform des Hasso-Plattner-Instituts (HPI), in das neue Jahr. Vom 18. Januar an können die Teilnehmer lernen, worauf sie bei der Verwaltung ihrer Accounts achten sollten, damit persönliche Daten nicht in falsche Hände geraten. Interessenten können…

Whitepaper: Neue Sicherheitslücke in Prozessoren entdeckt

Manipulation von Hardwarefunktionen ermöglicht gezielten Datendiebstahl. Verschiedene Forscherteams haben eine weitere gravierende Schwachstelle in aktuellen Prozessoren identifiziert und in Whitepapers beschrieben: Mittels einer neuen Angriffsmethode namens »Load Value Injection in the Line Fill Buffers« (LVI-LFB) können versierte Hacker gezielt Daten in Rechenzentren stehlen, ohne Spuren zu hinterlassen.   Möglich wird die LVI-LFB-Attacke – wie auch…

Automatisierte Früherkennung von Attacken auf das Rechenzentrum

Rechenzentren mit ihren vielen Daten, die darin vorgehalten – also IT-Deutsch für »abrufbereit aufbewahrt« – werden, stellen ein verlockendes Ziel für Angreifer dar. Wenn der Angreifer Glück hat, findet er eine Schwachstelle für den Zugang über das Internet zum Rechenzentrum. Anderenfalls erfordert ein direkter Angriff erheblichen Aufwand und Planung, wie Vectra, Anbieter eine Plattform für…

Supply-Chain-Angriffe häufen sich, werden aber noch unterschätzt

Schadcode macht aus legitimen Apps gefährliche Verteiler von Malware. Ein neuer Trend ist für Unternehmen äußerst gefährlich: Hacker infizieren schädlichen Code in Software, um eigentlich legitime Apps zur Verteilung von Malware zu nutzen. Einmal ins System eingedrungen, lässt sich das Ausmaß des entstandenen Schadens oft erst im Nachhinein bewerten. »Diese neue Art der Bedrohung heißt…