Blog

Die unsichtbare Bedrohung: Social Engineering und wie Sie sich effektiv schützen können

14.02.2024 • Johannes Förster •

Social Engineering ist eine unterschätzte, aber äußerst gefährliche Bedrohung für Unternehmen und Privatpersonen. In diesem Artikel werden wir tief in das Thema eintauchen, die Entstehungsgeschichte von Social Engineering beleuchten und Ihnen praktische Tipps geben, wie Sie sich und Ihr Unternehmen vor diesen raffinierten Angriffen schützen können.

Was ist Social Engineering?

Social Engineering ist eine Form der Manipulation, bei der Angreifer menschliche Schwächen ausnutzen, um Zugang zu vertraulichen Informationen oder Systemen zu erlangen. Anders als bei herkömmlichen Cyberangriffen steht hier nicht die Technologie im Vordergrund, sondern die psychologischen Manipulationstechniken, die darauf abzielen, das Verhalten von Menschen zu beeinflussen.

Die Geschichte von Social Engineering:

Der Ursprung von Social Engineering liegt in den Sozialwissenschaften und geht bis in die 1890er Jahre zurück. Walter Dill Scott prägte den Begriff und definierte ihn als "die Anwendung wissenschaftlicher Methoden zur Analyse und Beeinflussung menschlicher Beziehungen". Erst mit dem Aufkommen von Phishing-Angriffen und anderen Betrugsmaschen in den 1990er Jahren wurde Social Engineering zu einem ernsthaften Problem in der IT-Sicherheit.

Beispiele für Social Engineering-Angriffe:

Um ein tieferes Verständnis für Social Engineering zu gewinnen, betrachten wir einige konkrete Beispiele für Angriffe. Ein Fall wäre der CEO-Betrug, bei dem Angreifer sich als hochrangige Führungskräfte ausgeben und Mitarbeiter dazu verleiten, Gelder zu überweisen. Das lässt sich auch auf das Privatleben übertragen: Aktuell werden täglich mehrere tausende Nachrichten gemeldet, bei denen die vermeidlichen eigenen Kinder (mit neuer Nummer, weil das Handy defekt ist) schnell Geld benötigen. Zu offensichtlich? Was klingt wie ein billiger Enkeltrick, wurde schon vielen Menschen zum Verhängnis.

Ein weiteres Beispiel sind Phishing-E-Mails, die Nutzer dazu bringen sollen, vertrauliche Informationen preiszugeben. Auch das ist ein bekanntes Phänomen, beispielsweise über dubiose Kurzmitteilungen über Pakete, die angeblich nicht oder nur gegen Gebühr zugestellt werden können. Ein Klicken auf den Link und das Aktualisieren der Zahlungsinformationen verspricht Klärung. So in der Form hat doch jeder schon einmal mit Social Engineering zu tun gehabt.

Ein Unternehmen wird Ziel eines massiven Phishing-Angriffs, bei dem Mitarbeiter gefälschte E-Mails erhalten, die vorgeben, von vertrauenswürdigen Quellen wie Banken, Regierungsbehörden oder bekannten Dienstleistern zu stammen. Diese E-Mails enthalten oft Links zu gefälschten Login-Seiten oder Anhänge mit schädlicher Software. Wenn Mitarbeiter auf diese Links klicken oder Anhänge öffnen und ihre Anmeldedaten eingeben, können Angreifer Zugang zu sensiblen Systemen oder Informationen des Unternehmens erhalten. Das Perfide daran: Die Fälschungen der offiziellen Seiten sind oft so unfassbar gut gemacht, dass Laien sie nicht als solche erkennen.

Social Engineering: Ein Mann hacked Unternehmen

Ein letztes Beispiel: Ein externer Dienstleister oder Lieferant, der Zugang zum Firmennetzwerk hat, wird Opfer von Social Engineering. Ein Angreifer kontaktiert den Dienstleister und gibt sich als Mitarbeiter des Unternehmens aus, der dringend Zugang zu bestimmten Systemen oder Informationen benötigt. Der Dienstleister, der den Anruf für legitim hält, gewährt dem Angreifer unbefugten Zugang oder gibt vertrauliche Informationen preis, ohne die Identität des Anrufers zu überprüfen. Noch dreister wird es oft beim sogenannten Penetration-Test wie Michel Willer in unserem Interview erzählt, für den er schon mal in eine andere Rolle schlüpft, um sich als beauftragter Techniker Zugang zu Serverräumen und Co. zu verschaffen.

Das Interview bietet auch sonst spannende Einblicke in die Arbeit von Michael Willer.
Hier geht es direkt zur Folge.

Wer kann von Social Engineering betroffen werden?

Jeder kann Opfer von Social Engineering werden, unabhängig davon, ob man Privatnutzer:in oder Mitarbeiter:in in einem Unternehmen ist. Solange man mit anderen Menschen interagiert und persönliche Informationen teilt, ist man anfällig für derartige Angriffe. Es ist wichtig, sich dieser Risiken bewusst zu sein und entsprechende Vorsichtsmaßnahmen zu treffen.

Schutzmaßnahmen gegen Social Engineering:

Um sich effektiv vor Social Engineering-Angriffen zu schützen, müssen Unternehmen und Einzelpersonen proaktiv vorgehen. Dazu gehören die Schulung von Mitarbeitern, die Sensibilisierung für verdächtige Aktivitäten, die Überprüfung der Identität von Anfragenden, das Misstrauen gegenüber unbekannten Personen und die Verwendung von starken Passwörtern. Darüber hinaus ist es wichtig, regelmäßige Sicherheitsaudits durchzuführen und Sicherheitsrichtlinien kontinuierlich zu verbessern.

Wie erkennt man Social Engineering?

Social Engineering-Angriffe können schwer zu erkennen sein, da sie auf das Ausnutzen menschlicher Schwächen abzielen. Ein unerwartetes oder ungewöhnliches Anfrageverhalten nach vertraulichen Informationen kann jedoch ein Hinweis auf einen solchen Angriff sein. Schulungen und Sensibilisierungsmaßnahmen sind entscheidend, um Mitarbeitende für diese Gefahren zu sensibilisieren und sie dazu zu befähigen, verdächtige Aktivitäten zu erkennen und angemessen darauf zu reagieren.

Fazit:

Social Engineering ist eine unsichtbare, aber dennoch gefährliche Bedrohung für Unternehmen und Privatpersonen. Es ist wichtig, sich dieser Gefahren bewusst zu sein und angemessene Schutzmaßnahmen zu ergreifen, um sich vor dieser Form der Manipulation zu schützen. Durch eine Kombination aus Schulungen, technischen Sicherheitsmaßnahmen und einem proaktiven Sicherheitsansatz können Unternehmen und Einzelpersonen ihre Widerstandsfähigkeit gegenüber Social Engineering-Angriffen stärken und ihre vertraulichen Informationen effektiv schützen.

Zurück

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
top-info-box-dismissed	Bewirkt, dass eine Infobox geschlossen bleibt, nachdem sie einmal geschlossen wurde.	1 Jahr	HTML	Website

Name	Zweck	Ablauf	Typ	Anbieter
1P_JAR	Sammelt Statistiken zur Websitenutzung und misst Conversions.	1 Monat	HTML	Google
AEC	Verhindert, dass schädliche Websites ohne das Wissen des Nutzers handeln und so tun, als wären sie dieser Nutzer.	6 Monate	HTML	Google
APISID	Personalisiert Werbung auf Webseiten auf Basis durchgeführter Suchanfragen.	2 Jahre	HTML	Google
CONSENT	Google verwendet dieses Cookie, um die Cookie-Entscheidungen des Nutzers zu speichern.	2 Jahre	HTML	Google
DV	Speichert die Präferenzen des Benutzers.	7 Minuten	HTML	Google
HSID	Hält die Google-Konto-ID und den letzten Anmeldezeitpunkt eines Nutzers in digital signierter und verschlüsselter Form fest.	2 Jahre	HTML	Google
NID	Dieses Cookie ermöglicht u.a. die personalisierte automatische Vervollständigung in der Suche, während Sie Suchbegriffe eingeben.	6 Monate	HTML	Google
OTZ	Wird für das Speichern von Einstellungen der Googlesuche verwendet.	6 Monate	HTML	Google
SAPISID	Wird verwendet, um personalisierte Werbung auf Google-Websites basierend auf kürzlich durchgeführten Suchanfragen und früheren Interaktionen anzuzeigen.	2 Jahre	HTML	Google
SEARCH_SAMESITE	Ermöglicht es Google, das Risiko von CSRF- und Informationsleck-Angriffen zu reduzieren.	6 Monate	HTML	Google
SID	Hält die Google-Konto-ID und den letzten Anmeldezeitpunkt eines Nutzers in digital signierter und verschlüsselter Form fest.	2 Jahre	HTML	Google
SIDCC	Sicherheitscookie zur Bestätigung der Besucherauthentizität.	1 Jahr	HTML	Google
SOCS	Wird verwendet, um die Cookie-Entscheidungen des Nutzers zu speichern.	13 Monate	HTML	Google
SSID	Ermöglicht es Google, Benutzerinformationen zu sammeln.	2 Jahre	HTML	Google
__Secure-1PAPISID	Sicherheitscookie zum Schutz vor Mißbrauch und für den Betrieb des Suchformulars.	2 Jahre	HTML	Google
__Secure-1PSID	Sicherheitscookie zum Schutz vor Mißbrauch und für den Betrieb des Suchformulars.	2 Jahre	HTML	Google
__Secure-1PSIDCC	Sicherheitscookie zum Schutz vor Mißbrauch und für den Betrieb des Suchformulars.	1 Jahr	HTML	Google
__Secure-3PAPISID	Sicherheitscookie zum Schutz vor Mißbrauch und für den Betrieb des Suchformulars.	2 Jahre	HTML	Google
__Secure-3PSID	Sicherheitscookie zum Schutz vor Mißbrauch und für den Betrieb des Suchformulars.	2 Jahre	HTML	Google
__Secure-3PSIDCC	Sicherheitscookie zum Schutz vor Mißbrauch und für den Betrieb des Suchformulars.	1 Jahr	HTML	Google
GoogleAdServingTest	Wird verwendet, um festzustellen, welche Anzeigen dem Websitebesucher gezeigt wurden.	Session	HTML	Google
__gsas	Wir verwenden die werbefreie Googlesuche. Dennoch wird hier standardmäßig ein Cookie gesetzt, der normalerweise für Google AdSense for Search verwendet wird.	13 Monate	HTML	Website

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ref	Wird benutzt, um die Informationen der Herkunftswebsite des Benutzers zu speichern.	6 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo
_pk_cvar	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo