Social Engineering bezeichnet eine Reihe von Techniken, bei denen Täter auf psychologische Manipulation und Täuschung zurückgreifen, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben, unerlaubte Handlungen vorzunehmen oder Sicherheitsvorkehrungen zu umgehen. Diese Art von Betrug nutzt die menschliche Psyche aus, anstatt technische Schwachstellen in Computersystemen anzugreifen.

Social Engineering ist in der modernen Welt weit verbreitet und betrifft sowohl Einzelpersonen als auch Unternehmen. Besonders häufig kommt diese Technik in Form von Phishing-Angriffen, Pretexting und Baiting vor.

Es gibt verschiedene Methoden des Social Engineering, die von Tätern genutzt werden, um ihre Ziele zu erreichen:

Phishing ist eine der bekanntesten und weitverbreitetsten Formen des Social Engineering. Bei dieser Methode geben sich die Täter als vertrauenswürdige Institutionen (z.B. Banken, Online-Shops oder Behörden) aus und versuchen, durch gefälschte E-Mails oder Webseiten an persönliche Daten zu gelangen. Die Opfer werden in der Regel aufgefordert, ihre Zugangsdaten oder andere vertrauliche Informationen einzugeben, die dann von den Tätern missbraucht werden.

Beispiel: Ein Täter verschickt eine E-Mail, die vorgibt, von einer Bank zu stammen und behauptet, dass das Konto des Opfers aus Sicherheitsgründen gesperrt wurde. Das Opfer wird aufgefordert, auf einen Link zu klicken und seine Login-Daten einzugeben, um das Problem zu lösen. Der Link führt jedoch zu einer gefälschten Webseite, die von den Betrügern kontrolliert wird.

Beim Pretexting wird dem Opfer eine fiktive Geschichte oder ein Vorwand präsentiert, um an vertrauliche Informationen zu gelangen. Die Täter geben sich dabei als jemand aus, dem das Opfer vertrauen könnte, etwa als Mitarbeiter eines Unternehmens, Polizist oder Vertreter einer Behörde.

Beispiel: Ein Täter ruft bei einem Unternehmen an und gibt sich als Mitarbeiter der IT-Abteilung aus. Er behauptet, er müsse aus Sicherheitsgründen Zugriff auf die internen Systeme erhalten und bittet die Opfer, ihm ihr Passwort zu nennen.

Baiting ist eine weitere Methode, bei der den Opfern ein verlockendes Angebot gemacht wird, um sie dazu zu bringen, auf einen Link zu klicken oder eine Datei herunterzuladen, die dann Schadsoftware auf dem Computer des Opfers installiert.

Beispiel: Ein Täter verteilt USB-Sticks in einem öffentlichen Bereich und markiert sie mit einem verlockenden Aufdruck wie „Gehaltsabrechnung 2025“. Wenn jemand den USB-Stick in seinen Computer steckt, wird Schadsoftware auf das System geladen.

Spear Phishing ist eine gezielte Variante des Phishings, bei der Angreifer präzise Informationen über ihr Ziel sammeln und so speziell zugeschnittene Angriffe starten. Dabei werden oftmals Informationen aus sozialen Netzwerken oder öffentlichen Quellen genutzt, um eine glaubwürdige Nachricht zu erstellen, die das Opfer leicht dazu verleitet, auf den Angriffslink zu klicken oder vertrauliche Daten preiszugeben.

Beispiel: Ein Mitarbeiter eines Unternehmens erhält eine E-Mail, die scheinbar von einem Kollegen kommt. Die Nachricht enthält spezifische Informationen, die nur ein Insider wissen könnte, was das Vertrauen des Opfers erweckt. Der Link in der E-Mail führt jedoch zu einer gefälschten Login-Seite, die dazu dient, Anmeldedaten zu stehlen.

Social Engineering wird vor allem genutzt, um:

- Vertrauliche Informationen zu stehlen: Dazu gehören Passwörter, Bankdaten, Kreditkarteninformationen, Sozialversicherungsnummern oder Unternehmensgeheimnisse. - Zugang zu Systemen oder Netzwerken zu erhalten: Täuschung kann dazu verwendet werden, Sicherheitsvorkehrungen zu umgehen und Zugang zu internen Netzwerken oder Systemen zu erlangen. - Schadhafte Software zu verbreiten: Täter können durch Social Engineering Schadsoftware oder Viren in ein System einschleusen, was zu einem Datenverlust oder zu einer Kompromittierung von Netzwerken führen kann.

Um sich gegen Social Engineering zu schützen, ist es wichtig, wachsam zu bleiben und folgende Maßnahmen zu ergreifen:

Die wichtigste Maßnahme im Kampf gegen Social Engineering ist die Aufklärung der Betroffenen. Mitarbeiter in Unternehmen sollten regelmäßig über die neuesten Bedrohungen und Angriffsformen informiert werden, um Angriffe frühzeitig zu erkennen. Schulungen zu den Grundlagen von Social Engineering und Phishing können dazu beitragen, dass Verdachtsmomente erkannt und entsprechend gehandelt wird.

Bei Anfragen nach vertraulichen Informationen oder Zugangsdaten sollte immer eine Verifikation stattfinden. Sollte eine E-Mail oder ein Anruf nach vertraulichen Daten fragen, sollte die Echtheit der Anfrage überprüft werden, bevor darauf reagiert wird. Bei Unternehmen ist es ratsam, interne Verfahren für solche Anfragen festzulegen.

Vermeide das Klicken auf Links oder das Herunterladen von Dateien aus unbekannten oder unsicheren Quellen. Insbesondere bei E-Mails von unbekannten Absendern oder bei fragwürdigen Angeboten sollte mit äußerster Vorsicht reagiert werden.

Wo immer möglich sollte die Zwei-Faktor-Authentifizierung aktiviert werden. Diese zusätzliche Sicherheitsebene erschwert es Angreifern, auf ein Konto zuzugreifen, selbst wenn sie das Passwort kennen.

Social Engineering ist eine gefährliche Betrugsmasche, die auf den menschlichen Faktor setzt und nicht auf technische Schwachstellen. Angriffe dieser Art können verheerende Folgen für Unternehmen und Einzelpersonen haben, da sie nicht nur zu Datenverlust, sondern auch zu finanziellen Schäden führen können. Durch Aufklärung, Schulung und die Implementierung von Sicherheitsmaßnahmen können jedoch viele dieser Angriffe erfolgreich abgewehrt werden.

• Verbraucherzentrale - Social Engineering und Phishing
• Heise Online - Was ist Social Engineering?
• CIO - Social Engineering: Gefährliche Angriffe auf Menschen und Unternehmen
• n-tv - Schutz vor Social Engineering