Social Engineering: Gekonntes Manipulieren von Menschen

Guide Datenschutz & Sicherheit
Constantin Sponagel
Constantin Sponagel

Aktualisiert:

Veröffentlicht:

Digitale Technologie beherrscht schon lange unseren Alltag, doch die digitale Sicherheit hat noch ihre Tücken. Vertrauliche Daten, die in Zahlungsprozessen oder anderen Transaktionen hinterlegt werden, sind im Idealfall sicher verschlüsselt. Doch selbst technische Sicherheitsmaßnahmen haben ihre Feinde: Social Engineering. Wie genau funktioniert die Manipulation im Netz, wie kann man Social Engineering erkennen und sich schützen?

Maskierte Person am Rechner betreibt Social Engineering

→ Selbsttest für Datenschutz und Sicherheit im Marketing [Kostenloser Download]

Anders als bei vielen Hackerangriffen funktioniert Social Engineering nicht durch technische Tricks, sondern über eine zwischenmenschliche Manipulation. Hierbei ist also nicht etwa ein IT-Leck die Grundlage für den Datendiebstahl, sondern die Gutgläubigkeit des Opfers.

Social Engineering passiert jedoch nicht nur im digitalen Raum, sondern ist seit jeher eine gängige Betrugsmasche. Eines der bekanntesten Beispiele ist der sogenannte Enkeltrick, bei dem sich Betrüger oder Betrügerinnen häufig telefonisch als Enkelkind einer älteren Person ausgeben, um von dieser Geld zu erschleichen. Generell kann Social Engineering aber sowohl Privatpersonen als auch Unternehmen treffen.

Wie kann man Social Engineering erkennen?

Social Engineering wird immer perfider. Deshalb ist es wichtig, sich intern regelmäßig zu Cyber Security weiterzubilden – und im Alltag auch aufs Bauchgefühl zu hören. Merkwürdig formulierte E-Mails, plötzliche Anrufe vom FBI oder Europol, ungewöhnliche Anfragen, überzogene Strafandrohungen aus dem Nichts und jegliche Fragen nach Passwörtern, Plänen, Kennziffern und sonstigen Interna sollten Ihre Alarmglocken schrillen lassen.

Social Engineering: Methoden im Überblick

Betrügerinnen und Betrüger nutzen je nach Umstand unterschiedliche Social-Engineering-Methoden. Oft kommt eine Kombination verschiedener Taktiken zum Einsatz, um das Vertrauen der Opfer zu gewinnen.

Phishing

Phishing ist eine der ältesten digitalen Social-Engineering-Taktiken. Dabei werden gefälschte E-Mails verschickt, die über einen Link zu einer nachgebildeten Webseite führen, zum Beispiel PayPal. So können gleichzeitig eine große Anzahl an Phishing-E-Mails verschickt werden, die zu einer Eingabe der Daten auffordern. Die Folge sind mit Malware infizierte Systeme, gestohlene Daten und gesperrte Zugriffe. Eine Form des Phishings ist das Spear-Phishing, bei dem der Angriff gezielt auf ein einzelnes Unternehmen vorgenommen wird.

Pretexting

Das Pretexting nutzt eine erfundene Geschichte als Grundlage des Betrugs. Ziel dieser Manipulation ist, eine vertraute Beziehung zu einem Unternehmen vorzutäuschen, indem sich Betrügende beispielsweise als Mitarbeitende, IT-Fachkräfte oder Finanzangestellte ausgeben. Diese angebliche gemeinsame Vorgeschichte („Pre-Text“) soll ein falsches Gefühl von Sicherheit vermitteln.

Tailgating

Wie bereits oben erwähnt, zählen auch analoge Attacken zu Social Engineering, so auch das Tailgating. Hierbei erschleichen sich die Angreifer Zugang zu gesperrten Bereichen eines Unternehmens, etwa indem sie Verkleidungen wie Uniformen von Wachpersonal oder Warnwesten nutzen. Sie schlüpfen ganz einfach hinter Personen durch die Tür, die tatsächlich zutrittsbefugt sind. Nicht selten kommt hier im Vorfeld Pretexting zum Einsatz.

Baiting

Baiting ist ein Social-Engineering-Beispiel, das sowohl digital als auch analog funktioniert. Hier wird ein Köder wie ein USB-Stick oder ein Download-Link, der auf den ersten Blick unauffällig wirkt, mit einer Malware versehen. Opfer öffnen beispielsweise einen Link, der angeblich zu einem Dokument mit dem Titel „Gehaltsabrechnungen 2023“ führt, in Wahrheit aber den Computer mit einem Virus infiziert.

Media Dropping

Media Dropping ist eine Social-Engineering-Methode, die ähnlich funktioniert wie Baiting. Der Unterschied ist, dass beim Baiting gezielt Informationen genannt werden, um das von Malware betroffene Element interessant, aber unauffällig wirken zu lassen; beim Media Dropping hingegen werden scheinbar verloren gegangene oder verlegte Speichermedien, die wichtige Daten enthalten, mit Malware infiziert. Der verloren geglaubte USB-Stick wird auf dem Büroboden „gedroppt“ und von einer Person gefunden, die ihn nichtsahnend an den Computer anschließt.

Scareware

Im Gegensatz zu vielen anderen Social-Engineering-Methoden funktioniert Scareware über automatisierte Programme, in der Regel über Plug-ins oder Pop-Ups. Diese Schadprogramme werden genutzt, um Opfern Angst einzujagen und sie zum Download eines Virenschutzprogramms zu bewegen. Darüber aber speist sich der eigentliche Trojaner in das System ein.

Quid pro Quo

Auch bei dieser Social-Engineering-Attacke gibt es Ähnlichkeiten zum Baiting. Das lateinische „Quid pro Quo“ heißt übersetzt „Etwas für etwas“ und meint eine Gegenleistung. Der Social Engineer erschleicht sich dabei das Vertrauen einer Person, macht dieser ein unschlagbares Angebot und fordert im Gegenzug persönliche oder geschäftliche Informationen.

Social-Engineering-Beispiele aus den Medien

Sie fragen sich: Wie verbreitet ist Social Engineering wirklich? Die folgenden vier realen Fälle zeigen, wie Social Engineering in den letzten Jahren auch namhafte Institutionen und Unternehmen betraf, sodass Sie Warnzeichen frühzeitig erkennen können.

Europäische Zentralbank

Im Jahr 2014 verschafften sich Social Engineers über eine Phishing-E-Mail Zugang zu den E-Mail-Konten von Mitarbeitenden der Europäischen Zentralbank. Hierüber versandten sie betrügerische Zahlungsanweisungen, die am Ende jedoch nicht erfolgreich waren – die Social-Engineering-Attacke flog auf.

Twitter-Bitcoin-Betrug

Social Engineers knackten im Jahr 2020 die Twitter-Konten hochrangiger Persönlichkeiten, darunter Elon Musk, Joe Biden und Barack Obama. Anschließend nutzten sie diese Konten, um Nachrichten zu posten, in denen sie für einen Bitcoin-Betrug warben, der denjenigen, die darauf hereinfielen, Verluste in Höhe von über 100.000 US-Dollar einbrachte.

Deutsche Telekom

2016 lenkten Hacker mit einer DDoS-Attacke die IT-Mitarbeitenden der Deutschen Telekom ab und starteten gleichzeitig einen Social-Engineering-Angriff. Es gelang ihnen, sich Zugang zu den Routern von rund 900.000 Kundinnen und Kunden der Deutschen Telekom zu verschaffen, was zu weitreichenden Internetausfällen führte.

Der Fall Kevin Mitnick

Kevin Mitnick war in den 1990er Jahren ein berüchtigter Hacker, der sich mit Social-Engineering-Attacken Zugang zu Computernetzwerken verschaffte. Er rief häufig Mitarbeitende eines Unternehmens an und gab sich als eine andere Person aus, etwa als ein Kollege oder ein Mitarbeiter des technischen Kundendienstes, um Anmeldedaten und andere sensible Informationen zu erhalten. Mittlerweile ist Mitnick als Experte für Cyber Security tätig.

So können Sie sich vor Social Engineering schützen

Sowohl Privatpersonen als auch Unternehmen sollten Maßnahmen ergreifen, um vor Social Engineering Schutz zu suchen. Unternehmen sollten ihre Angestellten regelmäßig bezüglich Social Engineering, aktuellen Taktiken und Maschen schulen. Klären Sie auch über Warnzeichen wie verdächtige E-Mails, Anrufe und Nachrichten auf! Im Folgenden stellen wir Ihnen weitere Maßnahmen vor, um sich vor Social Engineering zu schützen – denn eine Firewall allein reicht noch lange nicht.

Verwenden Sie sichere Passwörter

Schwache Passwörter sind leicht zu erraten oder zu knacken, was sie anfällig für Social-Engineering-Angriffe macht. Die Verwendung sicherer Passwörter mit einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen kann es Social Engineers erschweren, Zugang zu vertraulichen Informationen zu erhalten. Klassiker wie „passwort1“, „hallo“, „admin“ oder „jesus“ sind ein No-Go.

Nutzen Sie eine Multi-Faktor-Authentifizierung

Die Aktivierung der Multi-Faktor-Authentifizierung für alle Konten, insbesondere für diejenigen mit sensiblen Daten, bietet zusätzlichen Schutz gegen Social Engineering. Durch die doppelte Anmeldebestätigung sichern Sie sich ab – und fangen Attacken schon im Vorfeld ab.

Implementieren Sie Zugangskontrollen

Nur die Personen, die für ihren Arbeitsalltag wirklich Zugriff auf sensible Daten brauchen, sollten ihn überhaupt haben. Je weniger Mitarbeiterinnen und Mitarbeiter Kenntnis von Codes und Passwörtern haben, desto weniger Angriffsfläche haben Social-Engineering-Attacken.

Halten Sie die Software auf dem neuesten Stand

Die regelmäßige Aktualisierung von Softwares und Anwendungen kann zum Schutz vor bekannten Schwachstellen beitragen, die Angreiferinnen und Angreifer durch Social-Engineering-Taktiken ausnutzen können. Dazu zählt sämtliche Software auf Laptops und auch Diensthandys.

Installieren Sie Antivirensoftware

Antivirensoftware erkennt heutzutage viele Social-Engineering-Angriffe, einschließlich Phishing-E-Mails und bösartige Links, automatisch. Nutzende müssen aber trotzdem selbst noch mitdenken – öffnen Sie nicht bedenkenlos jede Mail, die Sie erhalten.

Seien Sie vorsichtig bei auffälligen Anfragen

Sowohl Privatpersonen als auch Unternehmen sollten bei unaufgeforderten Informationsanfragen misstrauisch sein, insbesondere bei solchen, die per E-Mail, Telefon oder über soziale Medien kommen. Überprüfen Sie immer die Echtheit des Bittstellers, bevor Sie antworten, auf Links klicken oder Informationen bereitstellen.

Überwachen und protokollieren Sie Ihre Aktivitäten

Wer Benutzeraktivitäten protokolliert, kann Social-Engineering-Angriffe rechtzeitig erkennen und darauf reagieren. Dazu gehört die Verfolgung von fehlgeschlagenen Anmeldeversuchen, ungewöhnlichem Benutzerverhalten und verdächtigen Netzwerkaktivitäten. Bei aller Vorsicht steht jedoch der Datenschutz an höchster Stelle.

Fazit: Wachsamkeit ist der beste Schutz

Social Engineering ist zu einer der größten Herausforderungen der digitalen Kommunikation und Transaktion geworden. Da vor allem der Mensch das schwache Glied der IT-Kette ist, sind es besonders technische Lösungen, die Schutz vor Social Engineers bieten, denn Aufklärung ist nicht unfehlbar.

Der Ausbau der digitalen Welt bedeutet aber nicht nur mehr Schutz vor, sondern auch mehr Gefahr durch Social Engineering. Für User, egal ob privat oder unternehmerisch, ist es daher essenziell, sich regelmäßig über betrügerische Maschen zu informieren und die Schutzmaßnahmen gegen Social Engineering entsprechend zu aktualisieren.

New call-to-action

Titelbild: Clint Patterson / Unsplash

Themen: Cybersecurity

Verwandte Artikel

Decken Sie mit dieser Arbeitsmappe Handlungsbedarfe in den Bereichen Datenschutz und Datensicherheit auf.

KOSTENLOS HERUNTERLADEN