Was ist Social Engineering?

In der Cybersicherheitsindustrie verwenden wir viele Schlagwörter und Akronyme, die zwar manchmal hilfreich sind, teilweise aber auch zu Verwirrung führen können. 

In dem Bestreben, Klarheit zu schaffen, starten wir heute unsere eine kleine "Was ist?"-Artikelserie, die dazu beitragen soll, ein bisschen Licht ins Dunkel zu bringen.

Den Anfang macht die Frage "Was ist Social Engineering?". Wie funktioniert es und wie können wir uns selbst und alle Mitarbeiter in unserem Unternehmen davor schützen?

 

Was also ist Social Engineering?

Beim Social Engineering geht es um Manipulation. Cyberkriminelle nehmen Personen sehr zielgerichtet ins Visier, um sie dazu zu bringen, schädliche E-Mail Anhänge zu öffnen, auf unsichere URLs zu klicken, Geld zu überweisen oder wertvolle Informationen an den Angreifer weiterzugeben.

Dabei verwenden die Angreifer alle Informationen, die sie in sozialen Netzwerken finden, und versuchen dann, die menschliche Natur für ihre Zwecke auszunutzen. Sie setzen auf tiefverwurzelte Gefühle wie Angst, Gier und Empathie und versuchen, die Denkprozesse der E-Mail Adressaten zu manipulieren, damit sie ihre Vorsicht außer Acht lassen und wie vom Angreifer gewünscht handeln.

Doch so einfach es ist, Social Engineering in der Theorie zu definieren, so schwierig sind diese Angriffe in der Praxis zu erkennen.

 

Wie funktioniert Social Engineering?

Angreifer sind Experten darin, sich das Vertrauen Ihrer Mitarbeiter zu erschleichen. Oftmals erscheinen die Interaktionen mit Cyberkriminellen vollkommen normal und lassen nichts Außergewöhnliches erahnen, sodass Opfer dieser Attacken ihren Fehler häufig selbst im Nachhinein nicht realisieren.

Doch Social Engineering ist nicht auf den digitalen Bereich beschränkt. Auch der nette Besucher, der Sie bittet, doch die Tür für ihn aufzuhalten könnte dabei Hintergedanken haben. Nehmen wir zum Beispiel an, Sie erhalten einen Anruf von Max Mustermann, der sagt, dass er in Ihrer Firma in der IT arbeitet und ein neues Software-Update auf Ihrem Computer installieren soll. Er erwähnt, dass Ihr Vorgesetzter (dessen Namen er kennt) den Antrag für Sie gestellt hat. Herr Mustermann braucht Ihr Login-Passwort, um dieses Update zu starten, also geben Sie es ihm am Telefon durch. Später finden Sie heraus, dass Ihr Computer gehackt wurde und jemand in Ihrem Namen E-Mails versendet hat (dass wird übrigens als Email Account Compromise, EAC, bezeichnet, aber dazu später mehr). Max Mustermann hat keineswegs für Ihre Firma gearbeitet; er hat Social Engineering eingesetzt, um Sie während des kurzen Gesprächs so geschickt zu manipulieren, dass Sie ihm glaubten.

 

Wie können Sie sich schützen?

Bei Angriffen, die Social Engineering einsetzen, stehen die Menschen im Mittelpunkt, nicht die Technologie. Um diese Angriffe effektiv zu stoppen muss jeder einzelne Mitarbeiter in der Lage sein, diese Art des Betrugs zu erkennen und zu melden.

In unserem Video erhalten Sie drei Tipps, mit denen Sie Social-Engineering-Angriffe verhindern können:

Letztlich helfen Security Awareness Trainings, das Verhalten Ihrer Mitarbeiter im Umgang mit möglicherweise verdächtigen Situationen nachhaltig zu ändern. Wir sprechen von Schulungen zur Steigerung des Sicherheitsbewusstseins. Mehr Informationen zu Proofpoint Security Awareness Trainings erhalten Sie auf unserer Webseite oder im Webinar mit unserem Cybersecurity Experten Henning Hanke.

 

In den nächsten Wochen werden wir an dieser Stelle auch kurze Artikel und Videos veröffentlichen, die den Fragen nachgehen

  • Was ist Phishing?
  • Was ist Malware?
  • Was ist E-Mail Betrug?

Setzen Sie sich doch gleich ein Lesezeichen für unseren Blog!