Glossar
Was ist Social Engineering?

Was ist Social Engineering?

Inhaltsverzeichnis

Menschen sind das schwächste Glied in einer Cybersicherheitsstrategie, denn sie tun sich schwer damit, Angriffe als solche zu erkennen. Social Engineering nutzt genau das aus: Bei einer Social-Engineering-Attacke versucht der Angreifer, menschliche Emotionen zu wecken (üblicherweise Angst und ein Gefühl der Dringlichkeit), um die Zielperson dazu zu bringen, bestimmte Handlungen auszuführen, beispielsweise dem Angreifer Geld zu senden, sensible Kundendaten oder Zugangsdaten preiszugeben.

Das Wichtigste auf einen Blick

  • Social Engineering ist eine illegale Aktivität, die hinter 98 % aller Cyberangriffen steht.
  • Social Engineering zeichnet sich dadurch aus, dass Angreifer Opfer dazu zwingen, vertrauliche Informationen preiszugeben, indem sie sich als bekannte Person oder legitime Entität ausgeben.
  • Identitätsdiebstahl durch Phishing-Angriffe ist die häufigste Form von Social Engineering.
  • Über 70 % aller Datenverstöße beginnen mit Phishing- oder Social-Engineering-Angriffen.
  • Es gibt mehrere Präventionsstrategien, mit denen Sie Social Engineering verhindern können, von der Einrichtung einer Multifaktor-Authentifizierung für Ihre Konten bis hin zur Schulung Ihrer Mitarbeiter, damit sie verdächtiges Verhalten besser erkennen.

Cybersicherheits-Schulungen beginnen hier

Jetzt kostenlosen Test starten

So können Sie Ihre kostenlose Testversion nutzen:

  • Vereinbaren Sie einen Termin mit unseren Cybersicherheitsexperten, bei dem wir Ihre Umgebung bewerten und Ihre Sicherheitsrisiken identifizieren.
  • Wir implementieren unsere Lösung innerhalb von lediglich 24 Stunden und mit minimalem Konfigurationsaufwand. Anschließend können Sie unsere Lösungen für 30 Tage testen.
  • Lernen Sie unsere Technologie in Aktion kennen!
  • Sie erhalten einen Bericht zu Ihren Sicherheitsschwachstellen, sodass Sie sofort Maßnahmen gegen Cybersicherheitsrisiken ergreifen können.

Füllen Sie dieses Formular aus, um einen Termin mit unseren Cybersicherheitsexperten zu vereinbaren.

Vielen Dank

Wir werden Sie zeitnah zur Abstimmung der nächsten Schritte kontaktieren.

Social Engineering historisch betrachtet

Nutzer zu täuschen mit dem Ziel, dass sie sensible Informationen preisgeben, ist in der Cybersicherheitswelt nichts Neues. Das Einzige, was sich geändert hat, sind die Angriffsmethoden, die Maschen, um Informationen zu erhalten, und fortgeschrittene Angriffe von organisierten Gruppen, die andere Bedrohungen wie Phishing integrieren. Der Begriff Social Engineering an sich tauchte 1894 das erste Mal auf, als ihn der Niederländische Industrielle JC Van Marken das erste Mal verwendete. Als Methode von Cyberangriffen ist er seit den 1990ern in Umlauf.

In den 1990ern bedeutete Social Engineering, Nutzer anzurufen, um sie dazu zu bringen, ihre Zugangsdaten oder ihre Einwahl-Festnetznummer zu verraten, die einem Bedrohungsakteur Zugriff auf den internen Unternehmensserver verschaffte. Mittlerweile nutzen Angreifer Social Engineering, um Zielpersonen dazu zu verleiten, Geldsummen mitunter in Millionenhöhe an Offshore-Bankkonten zu senden, was bei Unternehmen einen enormen finanziellen Schaden verursacht. In manchen Fällen haben Mitarbeiter im Nachgang eines Angriffs ihren Job verloren.

Social Engineering: Definition

Im Kontext der Cybersicherheit bezeichnet Social Engineering eine Reihe von Taktiken, mit denen ein Opfer manipuliert, beeinflusst oder getäuscht wird, damit es unüberlegt handelt und persönliche und finanzielle Informationen preisgibt oder dem Angreifer die Kontrolle über ein Computersystem gibt.

Social Engineering ist eine Wissenschaft für sich: Verschiedene Taktiken der psychologischen Manipulation, Überredung und Ausbeutung sollen Nutzer dazu verleiten, Sicherheitsfehler zu begehen oder vertrauliche Informationen preiszugeben.

Social-Engineering-Angriffe basieren auf menschlicher Interaktion und beinhalten oft, dass Opfer dazu gebracht werden, gegen normale Sicherheitsverfahren zu verstoßen. Solche Angriffe können sehr effektiv sein, da sie auf der menschlichen Tendenz basieren, anderen zu vertrauen. Oft wird auch die eigene Neugier auf neue Angebote oder Informationen als Köder genutzt.

Merkmale eines Social-Engineering-Angriffs

Die Grenzen zwischen Social Engineering und Phishing lassen sich nicht klar ziehen, weil sie normalerweise miteinander Hand in Hand gehen. Bei Social Engineering gibt sich ein Angreifer oft als legitimer Angestellter (z.B. der CFO oder CEO) oder Kunde aus, mit dem Ziel, dass der Mitarbeiter dem Angestellten sensible Informationen schickt oder Accounts verändert (z.B. das Austauschen einer SIM-Karte).

Egal, welche Ziele der Angreifer verfolgt: Es gibt einige eindeutige Anzeichen, dass hinter einer Kommunikation Social Engineering steckt. Ein Hauptmerkmal von Social Engineering ist das Anspielen auf Ängste und Emotionen eines Nutzers. Der Angreifer will verhindern, dass der Nutzer genauer über die Anfrage nachdenkt und versucht stattdessen, Angst und ein Gefühl der Dringlichkeit hervorzurufen.

Einige Merkmale, die alle Social-Engineering-Attacken gemeinsam haben, sind:

  • Erhöhte Emotionen: Ein Angreifer droht zum Beispiel mit dem Verlust eines Accounts, um Nutzer dazu zu verleiten, ihre Zugangsdaten herauszugeben, oder der Angreifer täuscht vor, eine Vorgesetzte zu sein, die von einer Zielperson Geld anfordert. Der Mitarbeiter verspürt daraufhin ein Gefühl der Dringlichkeit, weil er Angst hat, seinen Job zu verlieren.
  • Gespoofte Absenderadresse: Die meisten Nutzer sind sich nicht bewusst, dass eine E-Mail-Adresse gespooft werden kann. E-Mail-Sicherheitsmaßnahmen sind jedoch mittlerweile in der Lage, gespoofte Absender davon abzuhalten, in den Posteingang eines Nutzers zu gelangen. Um dies zu umgehen, registriert der Angreifer stattdessen eine Domain, die ähnlich aussieht wie die offizielle Domain und hofft, dass der Nutzer den Unterschied nicht bemerkt.
  • Ungewöhnliche Freundschaftsanfragen: Es ist nicht unüblich, dass ein Angreifer einen E-Mail-Account kompromittiert und schädliche Spam-Nachrichten an die Kontaktliste des Opfers versendet. Die Nachrichten sind normalerweise kurz und es fehlen die personalisierten Elemente, die eine Nachricht von einer Freundin normalerweise auszeichnen. Seien Sie deshalb vorsichtig, auf Links in E-Mails von Freunden zu klicken, wenn die Nachricht nicht personalisiert ist.
  • Unprofessionelle Website-Links: Phishing-Links kommen manchmal zusammen mit Social Engineering zum Einsatz, um Nutzer dazu zu bringen, sensible Informationen preiszugeben. Geben Sie niemals Zugangsdaten ein, wenn der Link zur Website direkt aus einer E-Mail kommt, auch wenn es nach einer offiziellen Website aussieht (z.B. PayPal).
  • Zu gut, um wahr zu sein: Scammer versprechen oft Geld im Austausch für finanzielle Entschädigung. Einer Zielperson wird so beispielsweise ein kostenloses iPhone versprochen, wenn sie die Lieferkosten selbst trägt. Wenn ein Angebot zu gut klingt, um wahr zu sein, dann handelt es sich wahrscheinlich um einen Scam.
  • Schädliche Anhänge: Anstatt einen Nutzer auszutricksen und ihn dazu zu bringen, sensible Informationen bereitzustellen, kann eine fortschrittlichere Attacke darauf abzielen, mithilfe schädlicher E-Mail-Anhänge Malware auf einem Firmengerät zu installieren. Führen Sie niemals Makros oder ausführbare Dateien aus, die Sie von einer E-Mail erhalten haben, auch wenn sie scheinbar harmlos aussieht.
  • Fragwürdiger Absender: Viele Social-Engineering-Techniken zielen darauf ab, eine vertraute Quelle nachzuahmen, beispielsweise einen Freund, Chefin oder Kollegen. Falls Sie eine verdächtige E-Mail-Nachricht erhalten, halten Sie einen Moment inne und fragen Sie sich: „Hat mir meine Chefin/Freund/Kollege diese Nachricht tatsächlich geschickt?“ Bevor Sie auf die betreffende E-Mail antworten, kontaktieren Sie die Person über einen anderen Kommunikationskanal (per Telefonanruf, SMS oder Social-Media-Nachricht), um zu überprüfen, ob es sich um eine Nachahmung handelt oder nicht.
  • Weigerung, auf Fragen zu antworten: Wenn eine Nachricht verdächtig wirkt, antworten Sie auf die Nachricht und fordern Sie den Absender auf, sich zu identifizieren. Ein Angreifer wird versuchen, dies zu verhindern, oder ignoriert schlicht und ergreifend die Nachfrage.
  • Nicht identifizierbarer Absender: Wenn der Absender nicht in der Lage oder nicht willens ist, seine Identität überprüfen zu lassen, geben Sie keine zusätzlichen Informationen heraus und akzeptieren Sie keine Zugriffsanfragen. Während E-Mail-Nachrichten am häufigsten vorkommen, gilt dies auch für andere Social-Engineering-Taktiken wie Textnachrichten, Telefonanrufe usw.

Social-Engineering-Techniken

Die Technik, die alle Social-Engineering-Angriffe nutzen, ist das Anspielen auf Emotionen zur Täuschung von Nutzern. Darüber hinaus gibt es einige weitere Standard-Methoden, die Angreifer nutzen, um den Nutzer dazu zu drängen, eine bestimmte Handlung auszuführen (z.B. Geld an ein Bankkonto zu senden), und den Angriff legitim aussehen zu lassen. Meistens beinhalten die Angriffe E-Mail- oder Text-Nachrichten, weil diese ohne ein tatsächliches Gespräch auskommen.

Einige häufige Techniken sind:

  • Phishing: Bei Social Engineering tut ein Angreifer normalerweise so, als wäre er eine Vorgesetzte, um Nutzer dazu zu verleiten, Geld an ein Offshore-Bankkonto zu senden.
  • Vishing und Smishing: Angreifer nutzen Textnachrichten und stimmverändernde Software, um SMS-Nachrichten zu schicken oder automatisierte Telefonanrufe zu tätigen. Diese Formen von Scams heißen Vishing (Voice-Phishing) und Smishing (SMS Phishing).
  • CEO-Betrug (Chefmasche): Nutzer verspüren oft ein Gefühl der Dringlichkeit, wenn ein hoher Vorgesetzter sie zu einer Handlung auffordert, weshalb ein Angreifer sich oft als CEO oder eine andere ranghohe Führungskraft ausgibt, um der Zielperson zu vermitteln, das Ausführen einer bestimmten Handlung sei besonders dringlich. Diese Masche ist als CEO-Betrug oder Chefmasche bekannt.
  • Vorschieben eines Vorwands: Angreifer schaffen möglicherweise einen falschen Vorwand, um vertrauliche Informationen zu erhalten oder Zugang zu einem System zu erlangen. So könnte sich ein Angreifer beispielsweise als Bankangestellter ausgeben und eine Zielperson kontaktieren, um zu behaupten, dass auf ihrem Konto verdächtige Aktivitäten stattgefunden haben, und sie bitten, vertrauliche Informationen zur Bestätigung ihres Kontos preiszugeben.
  • Ködern: Angreifer versprechen oft Preise oder Geld im Gegenzug für eine kleine Geldsumme. Diese Angebote sind oft zu gut, um wahr zu sein, und bei der geforderten Geldsumme handelt es sich oft um Lieferkosten oder ähnliches.
  • Sich an jemanden dranhängen: Diese Technik betrifft Unternehmen, die Sicherheitsscanner einsetzen, um unautorisierten Zugang zum Firmengebäude zu verhindern. Der Angreifer hängt sich dann an einen Mitarbeiter dran und läuft dicht hinter ihm durch die Tür, nachdem der Mitarbeiter sie mit seinem Sicherheitsausweis geöffnet hat. Dadurch bekommt der Angreifer physischen Zugang zu einem Gebäude.
  • Quid pro quo: Angestellte mit einem Groll gegen das Unternehmen sind besonders anfällig für Versuche, gegen Geld oder andere Versprechen sensible Informationen preiszugeben.
  • Watering Hole: Bei dieser Form eines Social-Engineering-Angriffs werden bestimmte Gruppen gezielt angegriffen, indem Angreifer Websites infizieren, die diese Gruppe wahrscheinlich besucht. Beispielsweise könnte ein Angreifer eine beliebte Nachrichtenseite mit Malware infizieren, mit der Absicht, dass Mitarbeiter eines bestimmten Unternehmens die Website besuchen und die Malware versehentlich herunterladen.
  • Auf eine nie gestellte Frage antworten: Das Opfer erhält eine E-Mail, die auf eine Frage „antwortet“. Die Antwort enthält jedoch eine Anfrage nach persönlichen Informationen, einen Link zu einer bösartigen Website oder einen Malware-Anhang.
  • Mit dem Verlust von Geld oder Konten oder mit strafrechtlicher Verfolgung drohen: Angst ist ein nützliches Werkzeug im Social Engineering. Eine wirksame Möglichkeit zum Täuschen von Nutzern besteht darin, ihnen anzudrohen, dass sie einen Geldverlust erleiden oder ins Gefängnis gehen, wenn sie sich nicht an die Anweisungen des Angreifers halten.

Beispiele für Social-Engineering-Angriffe

Um einen Social-Engineering-Angriff zu erkennen, ist es wichtig zu verstehen, wie er typischerweise aussieht. Social-Engineering-Attacken spielen mit den Emotionen des Opfers, aber egal, was das Ziel des Angreifers im Detail ist, gibt es einige Merkmale, die sie alle gemeinsam haben. Das Ziel des Angreifers ist meist, dass die Zielpersonen Geld senden.

Einige häufige Social-Engineering-Szenarien sind:

  • Ködern: Ein Angreifer ködert das Opfer, indem er eine große finanzielle Auszahlung verspricht, nachdem die Zielperson eine Geldsumme überwiesen hat. Die Auszahlung kann ein Lottogewinn oder ein kostenloses Geschenk im Austausch gegen die Zahlung der Lieferkosten sein. Ein Angreifer kann auch um Geld für eine Spendenkampagne werben, die nicht existiert.
  • Antworten auf eine Frage, die nie gestellt wurde: Das Opfer erhält in diesem Fall eine E-Mail, die scheinbar auf eine Frage antwortet. In der Antwort wird das Opfer nach Zugangsdaten gefragt, oder sie enthält einen Link zu einer schädlichen Website oder schädliche Anhänge.
  • Drohen mit dem Verlust von Geld oder eines Accounts oder Strafverfolgung: Angst ist ein wirkungsvolles Werkzeug in Social-Engineering-Angriffen, weswegen es eine häufige und effektive Masche ist, Nutzern vorzutäuschen, ihnen drohten finanzielle Verluste oder eine Gefängnisstrafe, wenn sie der Forderung des Angreifers nicht nachkommen.
  • CEO-Betrug: Indem er sich als Chefin oder Vorgesetzter ausgibt, vermittelt der Angreifer einem Mitarbeiter ein Gefühl der Dringlichkeit und überredet ihn, Geld an ein Bankkonto zu überweisen.

Social Engineering verhindern

Das Gefühl der Dringlichkeit bringt viele Opfer aus dem Konzept. Nutzer, die über die Risiken aufgeklärt sind, können Social Engineering jedoch vermeiden, indem sie einige Verhaltensregeln befolgen. Es ist wichtig, die Situation zu entschleunigen und die Identität des Absenders einer E-Mail zu verifizieren oder Fragen zu stellen, wenn die Kommunikation über das Telefon passiert.

Die wichtigsten Verhaltensregeln sind:

  • Recherchieren Sie, bevor Sie antworten: Wenn ein Scam weit verbreit ist, werden sie online andere Menschen finden, die darüber berichten.
  • Interagieren Sie niemals mit einer Website, auf die Sie über einen Link gekommen sind: Wenn eine E-Mail behauptet, von einer offiziellen Firma zu stammen, klicken Sie nicht den Link und authentifizieren sich. Tippen Sie stattdessen die offizielle Domain in den Browser ein.
  • Achten Sie auf unübliches Verhalten von Freunden: Angreifer nutzen gestohlene E-Mail-Accounts, um Nutzer zu täuschen. Seien Sie deshalb wachsam, wenn eine Freundin eine E-Mail mit einem Link auf eine Website schickt, ohne dass es im Vorfeld andere Kommunikation dazu gegeben hat.
  • Laden Sie keine Dateien herunter: Wenn eine E-Mail Sie auffordert, dringend Dateien herunterzuladen, ignorieren Sie die Anfrage oder fragen Sie nach, um sicherzugehen, dass die Anfrage legitim ist.

Wichtige Statistiken

Social Engineering ist eine der häufigsten und effektivsten Wege, wie sich ein Angreifer Zugang zu sensiblen Informationen verschaffen kann. Statistiken zeigen, dass Social Engineering in Verbindung mit Phishing höchst effektiv ist und Unternehmen Schäden in Millionenhöhe verursacht.

Einige Statistiken über Social Engineering sind unter anderem:

  • Social Engineering ist für 98% aller Angriffe verantwortlich.
  • 2020 berichteten 75% der Unternehmen, Opfer von Phishing geworden zu sein.
  • Im Jahr 2020 war Phishing der häufigste Cybersicherheitsvorfall.
  • Die durchschnittlichen Kosten einer Datenverletzung belaufen sich auf 150 Dollar pro Datensatz.
  • Über 70% aller Datenverletzungen beginnen mit Phishing oder Social Engineering.
  • Google verzeichnete über 2 Millionen Phishing-Webseiten im Jahr 2021.
  • Etwa 43% aller Phishing-E-Mails imitieren große Firmen wie Microsoft.
  • 60% aller Unternehmen berichteten Datenverluste nach einem erfolgreichen Phishing-Angriff. 18% der Zielpersonen fallen dem Phishing-Angriff auch tatsächlich zum Opfer.

Prävention

Unternehmen können Social Engineering genauso wie Privatpersonen zum Opfer fallen, weswegen Angestellte die Anzeichen sowie die notwendigen Schritte, um einen Angriff zu stoppen, kennen müssen. Es liegt in der Verantwortung des Unternehmens, seine Mitarbeiter weiterzubilden. Orientieren Sie sich an folgenden Schritten, um ihre Angestellten in die Lage zu versetzen, eine akute Social-Engineering-Attacke zu erkennen:

  • Seien Sie sich bewusst, welche Daten veröffentlicht werden: Ob auf Social Media oder per E-Mail, Angestellte sollten genau wissen, ob es sich bei den versendeten Daten um sensible Daten handelt und ob sie vertraulich behandelt werden sollten.
  • Identifizieren Sie wertvolle Informationen: Personenbezogene Daten sollten niemals mit einer dritten Partei geteilt werden. Angestellte sollten wissen, was personenbezogene Daten ausmacht.
  • Erhöhen Sie Ihre Sicherheit durch Multifaktor-Authentifizierung: Durch das Hinzufügen zusätzlicher Ebenen zur Überprüfung Ihrer Identität werden Online-Konten sicherer und undurchdringlicher.
  • Nutzen Sie starke Passwörter und verwenden Sie einen Passwort-Manager: Die Verwendung starker, eindeutiger Passwörter mit unterschiedlichen Zeichentypen macht sie schwerer zu knacken. Ein zuverlässiger Passwort-Manager kann dabei helfen, Ihre Passwörter sicher zu verwalten.
  • Begrenzen Sie, wie viele persönliche Informationen online über Sie zu finden sind: Vermeiden Sie die Weitergabe persönlicher Daten, z. B. besuchte Schulen, Namen von Haustieren oder andere Details, mit denen sich Antworten auf Sicherheitsfragen oder Passwörter erraten lassen.
  • Bewahren Sie Geräte sicher auf und behalten Sie sie unterwegs jederzeit in Ihrer Nähe: Sperren Sie Ihren Computer und Ihre Mobilgeräte, insbesondere an öffentlichen Orten wie Flughäfen oder Cafés. Geben Sie Ihre Geräte nicht aus der Hand und behalten Sie sie nahe bei sich, um Diebstahl zu verhindern.
  • Seien Sie misstrauisch gegenüber Anfragen nach Daten: Jede Datenanfrage sollte mit Vorsicht entgegengenommen werden. Stellen Sie Fragen und überprüfen Sie die Identität des Absenders, bevor Sie der Anfrage nachkommen.
  • Nutzen Sie Richtlinien, um Nutzer weiterzubilden: Eine Richtlinie gibt Nutzern die Informationen, die sie brauchen, um auf betrügerische Anfragen zu reagieren und aktuelle Social-Engineering-Angriffe zu melden.
  • Halten Sie Ihre Anti-Malware-Software auf dem neuesten Stand: Sollte ein Angestellter doch einmal schädliche Software herunterladen, wird das Antivirenprogramm diese in den meisten Fällen erkennen und stoppen.
  • Bilden Sie Ihre Angestellten weiter: Angestellte können Angriffe nicht erkennen, wenn sie nicht über das Wissen verfügen, das ihnen dabei hilft. Führen Sie deshalb Schulungen durch, bei denen Angestellte echte Beispiele für Social Engineering sehen.

Wie Sie Proofpoint vor Social Engineering schützt

Proofpoint ist sich bewusst, dass Social-Engineering-Angriffe höchst effektiv darin sind, menschliche Emotionen und Fehler auszunutzen. Wir bieten deshalb Schulungen zur Steigerung des Sicherheitsbewusstseins sowie Weiterbildungsprogramme an, die Mitarbeiter darin unterstützen, Social Engineering und die Phishing-E-Mails, die damit meistens einhergehen, zu erkennen.

Wir bereiten Nutzer auf die fortschrittlichsten Angriffe vor und geben ihnen die Werkzeuge an die Hand, die sie brauchen, um richtig zu reagieren. Indem wir Beispiele aus dem echten Leben nutzen, versetzen wir Angestellte in die Lage, Social Engineering zu erkennen und in Einklang mit den Sicherheitsrichtlinien des Unternehmens zu handeln.

FAQ

Was ist Social Engineering einfach erklärt?

Die meisten Menschen denken bei Cyberbedrohungen an Malware oder Hacker, die Sicherheitslücken in Software ausnutzen. Social Engineering ist jedoch eine Bedrohung, bei der ein Angreifer eine Zielperson täuscht und sie dazu verleitet, sensible Informationen preiszugeben, indem er sich als eine ihr vertraute Person oder Dienst ausgibt. Dabei kann es der Angreifer darauf abgesehen haben, dass die Zielperson ihr Passwort nennt, oder es kann ihm darum gehen, dass sie ihm Geld sendet, indem er sich als ranghoher Vorgesetzter ausgibt. Die Ziele der Angreifer bei einem Social-Engineering-Angriff mögen variieren, aber generell geht es meistens darum, dass ein Angreifer sich Zugriff zu Konten verschaffen oder private Informationen stehlen will.

Wie funktioniert Social Engineering?

Ein Bedrohungsakteur hat womöglich eine spezifische Zielperson im Visier oder aber er spannt sein Netz breiter, um so viele Informationen wie möglich abzugreifen. Bevor er eine Social-Engineering-Attacke durchführt, ist sein erster Schritt, die Zielperson oder das Ziel-Unternehmen genau zu recherchieren. Zum Beispiel könnte der Angreifer Namen und E-Mail-Adressen der Mitarbeiter in der Finanzabteilung mithilfe von LinkedIn zusammentragen und daraus potentielle Opfer und die internen Prozesse des Unternehmens ableiten.

Die Aufklärungsphase ist essenziell wichtig für den Erfolg des Social-Engineering-Angriffs. Der Angreifer muss das Organigramm des Unternehmens genau verstehen, um zu bestimmen, wer über die notwendige Autorisierungsstufe verfügt, um die beabsichtigten Handlungen auszuführen. In den meisten Social-Engineering-Angriffen imitiert der Angreifer jemanden, den die Zielperson kennt. Je mehr Informationen der Angreifer über die Zielperson in Erfahrung bringen konnte, desto wahrscheinlicher ist es, dass der Angriff erfolgreich wird.

Sobald er über genug Informationen verfügt, kann der Angreifer zu den nächsten Schritten übergehen. Bei manchen Social-Engineering-Angriffen ist Geduld gefragt, um langsam das Vertrauen der Zielperson zu gewinnen. Andere Angriffe erfolgen eher schnell, weil der Angreifer ein Gefühl der Dringlichkeit vermittelt. Beispielsweise könnte ein Angreifer die Zielperson anrufen und vorgeben, ein Mitglied des internen IT-Teams zu sein, um den Nutzer dazu zu bringen, sein Passwort herauszugeben.

Wie läuft ein erfolgreicher Social-Engineering-Angriff ab?

Wie die meisten effektiven Cyberangriffe verfolgt Social Engineering eine bestimmte Strategie. Jeder Schritt erfordert eine gewisse Sorgfalt, weil der Angreifer den Nutzer dazu bringen will, eine gewisse Handlung auszuführen. Social Engineering läuft in vier Schritten ab:

  • Sammeln von Informationen: Dieser erste Schritt ist essenziell wichtig für den Erfolg des Unterfangens. Der Angreifer sammelt dabei Informationen aus öffentlich zugänglichen Quellen wie Presseberichten, LinkedIn, Social Media und der Website des Zielunternehmens. Dieser Schritt dient dazu, den Angreifer mit den internen Prozessen einer Firma vertraut zu machen.
  • Aufbauen von Vertrauen: An diesem Punkt kontaktiert der Angreifer die Nutzerin. Dieser Schritt erfordert Konversation und Überzeugungsarbeit, weshalb der Angreifer in der Lage sein muss, auf Fragen zu antworten und die Person zu überreden, eine bestimmte Handlung auszuführen. Der Angreifer muss sich dabei freundlich geben und versucht mitunter, mit dem Opfer eine persönliche Ebene aufzubauen.
  • Ausnutzen: Nachdem der Angreifer den Nutzer dazu gebracht hat, Informationen preiszugeben, beginnt das Ausnutzen dieser Informationen. Worum es dabei genau geht, hängt von den Zielen des Angreifers ab, aber dieser Schritt umfasst normalerweise Geld, Zugriff auf ein System, das Stehlen von Daten oder das Erlangen von Geschäftsgeheimnissen.
  • Durchführung: Sobald der Angreifer die sensiblen Informationen besitzt, kann er nun das letztendliche Ziel anvisieren und den Scam abschließen. Die Exit-Strategie bedeutet auch, dass er seine Spuren verwischt. So kann ein Angreifer mit unterschiedlichen Mitteln verhindern, dass die Cybersicherheitskontrollen der Firma seine Aktivitäten erkennen und einen Administrator darüber informieren, dass ein Angestellter gerade auf einen Trick hereingefallen ist.

Was ist die häufigste Form von Social Engineering?

Der Begriff „Social Engineering“ ist ein breiter Begriff, der viele cyberkriminelle Strategien umfasst. Social Engineering hat mit menschlichen Fehlern zu tun, weshalb Angreifer es auf Insider abgesehen haben. Die häufigste Form von Social Engineering ist Phishing, bei dem E-Mail-Nachrichten zum Einsatz kommen. Unter den Begriff Phishing fallen auch Vishing (Voice) und Smishing (SMS). In einem typischen Phishing-Angriff ist das Ziel, Informationen zu erlangen, um einen finanziellen Gewinn zu erzielen oder Daten zu stehlen.

In einer Phishing-Mail gibt der Angreifer vor, zu einer legitimen Organisation zu gehören oder ein Familienmitglied zu sein. Die Nachricht kann nach einer einfachen Antwort fragen oder einen Link auf eine schädliche Website enthalten. Phishing-Kampagnen können spezielle Angestellte innerhalb einer Organisation ins Visier nehmen (Spear Phishing) oder der Angreifer sendet hunderte E-Mails an willkürliche Empfänger in der Hoffnung, dass mindestens eine Person auf die betrügerische Nachricht hereinfällt. Ungezielte Phishing-Kampagnen haben eine niedrige Erfolgsquote, aber es braucht nicht viele erfolgreiche Nachrichten, damit ein Angreifer unter dem Strich einen finanziellen Gewinn erzielt.

Die zwei Phishing-Varianten – Smishing und Vishing – verfolgen die gleichen Ziele wie eine allgemeine Phishing-Kampagne, aber sie nutzen unterschiedliche Methoden. Ein Smishing-Angriff verwendet SMS-Nachrichten, um Nutzern mitzuteilen, sie hätten einen Preis gewonnen und müssten nur die Lieferkosten bezahlen, um ihn zu erhalten. Voice-Phishing (Vishing) setzt stimmverändernde Software ein, um Nutzer glauben zu lassen, dass der Angreifer einer legitimen Organisation angehört.

Wie verbreitet ist Social Engineering unter Hackern?

Hacker nutzen Social Engineering häufig, weil es funktioniert. Social Engineering und Phishing kommen oft in Kombination zum Einsatz, weil sich dies als effektive Methode erwiesen hat, um Nutzer dazu zu bringen, Geld zu senden oder sensible Informationen preiszugeben (z.B. Netzwerkzugangsdaten und Bankinformationen). Tatsächlich sind die meisten E-Mails, die Individuen und Unternehmen tagtäglich erhalten, Spam- oder Scam-E-Mails, weshalb es für jedes E-Mail-System wichtig ist, robuste Cybersicherheit zu integrieren.

Schätzungen zufolge beginnen 91% aller Cyberangriffe mit einer E-Mail. Viele von ihnen vermitteln ein Gefühl der Dringlichkeit, sodass die Zielpersonen sich nicht die Zeit nehmen, die Nachricht zu prüfen und zu realisieren, dass es sich um Scam handelt. Nur bei 3% der Angriffe kommt Malware zum Einsatz, was bedeutet, dass es sich bei den restlichen 97% um Social Engineering handelt. In fortschrittlichen Angriffen erhält ein Opfer erst eine E-Mail und dann einen Follow-up-Anruf oder eine Follow-up-Nachricht.

Ist Social Engineering verboten?

Social Engineering ist tatsächlich eine Straftat, weil es Zielpersonen täuscht. Ein typischer Angriff zieht weitere Straftaten nach sich, so etwa der betrügerische Zugriff auf ein privates Netzwerk, das Stehlen von Geld oder der Identität des Nutzers oder der Verkauf von privaten Daten auf Darknet-Märkten.

Verbraucherbetrug ist häufig Teil von Social-Engineering-Angriffen. Der Angreifer täuscht vor, eine legitime Organisation zu sein, die Preise vergibt im Austausch für finanzielle Daten oder eine kleine Zahlung. Nachdem das Opfer die Finanzdaten gesendet hat, stiehlt der Angreifer Geld direkt vom Bankkonto oder verkauft die Kreditkartennummer auf Darknet-Märkten. Identitätsdiebstahl und der Diebstahl von Geld sind ernstzunehmende Delikte.

Manche Social-Engineering-Techniken werden als Ordnungswidrigkeit eingestuft und nur mit Geldstrafen oder kurzen Gefängnisstrafen geahndet. Wenn es bei der Straftat um größere Geldsummen geht oder mehrere Opfer betroffen sind, kann das längere Strafen und höhere Geldbußen nach sich ziehen. Manche Straftaten führen zu zivilrechtlichen Verfahren, bei denen Opfer ein Urteil gegen die Urheber und diejenigen, die den Social-Engineering-Angriff ermöglicht haben, erwirken können.

Wie häufig kommt Social Engineering vor?

Es kommt darauf an, aber Schätzungen zufolge kommt Social Engineering in 95-98% aller gezielten Angriffe auf Individuen und Unternehmen zum Einsatz. Accounts mit weitreichenden Berechtigungen sind ein häufiges Angriffsziel und 43% der Administratoren innerhalb der IT-Abteilung geben zu, bereits das Ziel eines Social-Engineering-Angriffs gewesen zu sein. Neue Angestellte in IT-Abteilungen sind noch einmal besonders bedroht, Opfer zu werden. Unternehmen sagen, dass 60% ihrer neuen Angestellten Zielpersonen werden; viel mehr als ihre bereits länger angestellten Mitarbeiter.

Weil Social Engineering so erfolgreich ist, haben Angriffe basierend auf Phishing und Identitätsdiebstahl in den letzten Jahren um 500% zugenommen. Identitätsdiebstahl ist nicht das einzige Ziel eines Angreifers. Einige andere Gründe, warum Social Engineering ein primärer Angriffsvektor ist, sind:

  • Betrügerische Kontenübernahme zum Diebstahl von Daten oder Geld
  • Zugriff auf Banking- oder Kreditkartenaccounts
  • Belästigung

Ist Social Engineering ethisch vertretbar?

Social Engineering ist eine Straftat, weswegen sich Bedrohungsakteure keine Gedanken um Ethik machen, wenn sie es auf Individuen und Unternehmen absehen. Jeder ist ein potentielles Ziel eines Angreifers, weshalb sowohl Privatpersonen als auch Angestellte wissen müssen, wie Social Engineering durchgeführt wird. Ein Angreifer muss die Zielperson kennen und sie recherchieren, bevor er eine Social-Engineering-Kampagne durchführen kann. Deshalb müssen Nutzer genau verstehen, wie Social Engineering funktioniert.

Das erste Warnzeichen, das darauf hindeutet, dass Sie das Ziel von Social Engineering sind, ist dass der Anrufer oder E-Mail-Absender sich weigert, Fragen zu beantworten und Sie abwimmelt, wenn Sie nachhaken, warum die Anfrage so dringend ist. Die Anfragen des Angreifers mögen zunächst subtil erscheinen, aber dennoch fragen sie nach sensiblen Informationen, ohne Ihre Fragen zu beantworten. In einer legitimen finanziellen Transaktion beantwortet eine Organisation oder eine Bank so viele Fragen, wie nötig sind, dass Sie sich mit der Transaktion wohl fühlen.

Ein weiteres unethisches Warnzeichen ist, dass die meisten Angreifer persönliche Gespräche vermeiden. Wenn Sie um einen persönlichen Anruf bitten, wird der Angreifer dies verweigern. Zumindest sollte Ihnen das einen Hinweis darauf geben, dass der Absender der E-Mail nicht von einer legitimen Organisation ist. In jedem dieser Szenarien sollten Sie auflegen, die Kommunikation mit dem Absender einstellen und direkt die Telefonnummer auf der Website der Firma anrufen.

Manchmal ist Social Engineering ethisch vertretbar. Wenn Sie White-Hat-Hacker mit einem Penetrationstest für Ihre Cybersicherheit beauftragen, werden sie die Fähigkeit Ihrer Mitarbeiter, Social Engineering zu erkennen, auf die Probe stellen. Im Zuge eines Penetrationstests wird ein zertifizierter ethischer Hacker Angestellte anrufen, um festzustellen, ob sie ihre Netzwerkzugangsdaten herausgeben, oder sie senden Phishing-Mails mit einem Link, der auf eine schädliche Website führt. Sie zeichnen auf, welche Nutzer auf den Link klicken, und welche Nutzer ihre privaten Netzwerkzugangsdaten eingeben. Diese Tests helfen Unternehmen dabei, die Anfälligkeit ihrer Angestellten für Social Engineering einzuschätzen und gibt Ihnen wertvolle Informationen für die Stärkung ihrer Cybersicherheitsprotokolle.

Wie viel kostet ein Social-Engineering-Angriff?

Laut dem FBI kostet Social Engineering Unternehmen weltweit 1,6 Milliarden Dollar. Organisationen zahlen durchschnittlich 11,7 Millionen Dollar im Jahr für Cybersicherheitsverbrechen.

Ein signifikanter Faktor für die Höhe der Kosten ist die Zeit, die eine Organisation braucht, um eine Datenverletzung zu erkennen. Im Durchschnitt handelt es sich dabei um 146 Tage. Bei einer Social-Engineering-Attacke ist es für Administratoren und die Cybersicherheitsinfrastruktur viel schwieriger zu bestimmen, wenn ein Angestellter einem Angriff zum Opfer gefallen ist. Jeder Mitarbeiter mit einem legitimen Zugang zum Netzwerk bedeutet für Angreifer ein mögliches Einfallstor zu einer Umgebung, wenn sie auf eine Social-Engineering-Kampagne hereinfallen und schädliche Software installieren, Zugangsdaten an Angreifer weitergeben oder sensible Informationen preisgeben.

Verwandte Ressourcen

Threat Report

Social-Engineering-Bericht 2022

E-book

Datenkompromittierungen sind hausgemacht

E-book

Die richtigen Kennzahlen: CISO-Leitfaden für die Bewertung, Priorisierung und Begründung von Cybersicherheits-Budgets

Lösungsübersicht

Proofpoint Security Awareness Enterprise

See more resources

Möchten Sie Proofpoint ausprobieren?

Starten Sie Ihre kostenlose Proofpoint Testphase.

Schützen Sie sich jetzt
Previous Glossary
Next Glossary