Was ist Social Engineering?
Social Engineering ist eine ernsthafte Bedrohung für die Informationssicherheit und nutzt menschliche Schwachstellen aus. Erfahren Sie im Beitrag, was hinter dem Begriff steckt.
Text: Rolando Seger
Die Digitalisierung schreitet in Wirtschaft und Gesellschaft gleichsam rasant und unaufhaltsam voran. Wer sich nicht anpasst, wird früher oder später von wichtigen Prozessen und Dienstleistungen ausgeschlossen. Doch die schöne neue digitale Welt birgt neben zahlreichen Vorteilen auch Gefahren für Privatpersonen, Unternehmen und Behörden.
Verwertbare Personendaten gelten heute als digitales Gold. Wo es etwas zu holen gibt, lassen windige Gestalten und Kriminelle nie lange auf sich warten. Social Engineering ist eine Methode, um Menschen zu täuschen oder zu manipulieren. Dabei werden Techniken angewendet, die darauf abzielen, an vertrauliche Informationen zu gelangen und Menschen durch psychologische Manipulation zu bestimmten Handlungen zu bewegen. Potenzielle Opfer sollen dazu gebracht werden, elementare Grundsätze der Sicherheit und der Sorgfalt zu missachten.
Zu den klassischen Betrugsmethoden zählt das Einschleusen schädlicher Software (Malware) zur Überwachung und Spionage. Dies geschieht beispielsweise, wenn Benutzerinnen und Benutzer potenziell gefährliche Dateianhänge in Nachrichten öffnen oder auf Links klicken, die zu Malware oder gefälschten Websites führen. Mit «Phishing» wird versucht, an sensible Bankdaten, Passwörter, Vertragsnummern, PIN-Codes usw. zu gelangen. Die Versender tarnen sich dabei typischerweise als vertrauenswürdige Quelle.
Gezielte Manipulation
Eine weit perfidere Methode, um an Informationen zu gelangen, ist das Vortäuschen falscher Identitäten und erfundener Szenarien. Beispielsweise gibt sich jemand als IT-Mitarbeiterin, Handwerker oder anderweitig Beauftragter aus, um an vertrauliche Informationen zu gelangen und Zutritt zu privaten Bereichen zu bekommen. Beim Social Engineering wird die menschliche Konditionierung ausgenutzt, denn wir gehen oft vertrauensvoll und wohlwollend miteinander um – besonders mit Dienstleistern. Es gab bereits Fälle, in denen Buchhaltungsmitarbeiter unter Druck gesetzt wurden, eine angeblich äusserst wichtige internationale Zahlung für den Firmenchef auszulösen, der sich zufällig gerade auf Geschäftsreise befindet. Manche Menschen halten dem Druck nicht stand. Social Engineering baut auf grundlegende psychologische Prinzipien und Verhaltensweisen. Durch den Aufbau von Vertrauen, das Einflössen von Angst, das Vorgaukeln von Dringlichkeit, ein autoritäres Auftreten und das Auslösen von Neugier werden die Opfer manipuliert.
Wie man sich schützen kann
Durch Sensibilisierung kann man sich vor Social Engineering schützen, indem kritisches Denken gefördert, Gefahren erkannt und die Techniken der Kriminellen durchschaut werden. Beim Umgang mit E-Mails, Links und Anhängen von unbekannten oder verdächtigen Absendern ist immer Vorsicht geboten. Die Identität von Personen, die nach sensiblen Informationen fragen oder Aufträge erteilen, muss vor dem Handeln zweifelsfrei geklärt werden. Wichtig sind der Einsatz der Multi-Faktor-Authentifizierung und starke Passwörter. Allzu neugierigen Bekannten in sozialen Netzwerken sollte man zurückhaltend und stets mit gebührender Vorsicht begegnen.
Social Engineering ist eine ernsthafte Bedrohung für die Informationssicherheit. Es nutzt menschliche Schwachstellen aus, die oft schwieriger zu kontrollieren sind als technische Sicherheitsmassnahmen. Daher ist es wichtig, sowohl technische als auch menschliche Schutzmassnahmen zu implementieren, um sich wirksam gegen solche Angriffe zu verteidigen.
