Bundesamt für Sicherheit in der Informationstechnik

Social Engineering – der Mensch als Schwachstelle

Beim Thema Cyber-Sicherheit geht es nicht allein um Computersysteme und Netzwerke. Mindestens ebenso wichtig sind die Nutzer und Nutzerinnen dieser Technologien: der Mensch mit all seinen Stärken und Schwächen. Beim Social Engineering nutzt der Täter den "Faktor Mensch" als vermeintlich schwächstes Glied der Sicherheitskette aus, um seine kriminelle Absicht zu verwirklichen.

Was ist Social Engineering?

Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Der Angreifer verleitet das Opfer auf diese Weise beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren.

Social Engineering ist an sich nichts Neues und dient seit Menschgedenken als Grundlage für die unterschiedlichsten Betrugsmaschen. Im Zeitalter der digitalen Kommunikation ergeben sich jedoch äußerst effektive, neue Möglichkeiten für Kriminelle, mit denen sie Millionen von potenziellen Opfern erreichen können.

Woran erkenne ich Social Engineering?

Das zentrale Merkmal von Angriffen mithilfe von Social Engineering besteht in der Täuschung über die Identität und die Absicht des Täters. So gibt sich dieser beispielsweise als Techniker/Technikern oder als Mitarbeiter/Mitarbeiterin eines Unternehmens wie PayPal, Facebook oder eines Telekommunikationsunternehmens aus, um das Opfer zur Preisgabe von Anmelde- oder Kontoinformationen oder zum Besuch einer präparierten Webseite zu verleiten.

Ein klassisches Beispiel ist der vorgebliche Systemadministrator, der den Mitarbeiter oder die Mitarbeiterin anruft, da dieser angeblich zur Behebung eines Systemfehlers oder Sicherheitsproblems das Passwort des Benutzers oder der Benutzerin benötigt. Ein weiteres aktuelles Beispiel sind die Phishing-E-Mails, welche die Umstellung auf die EU-Datenschutzgrundverordnung im Mai 2018 ausnutzen, um Opfer zum Klicken auf fingierte Bestätigungs-Links zu verleiten.

Diese Beispiele sind auch insofern typisch, als die Täter hier die Absicht vortäuschen, die Sicherheit eines Systems oder einer Dienstleistung zu erhöhen. Ein Opfer, das auf die Täuschung hereinfällt, handelt im guten Glauben, das Richtige zu tun. Tatsächlich spielt es dem realen Motiv des Täters in die Hände, Zugangsdaten abzugreifen oder Schadsoftware einzuschleusen, die einem Angreifer im schlimmsten Fall als Einfallstor zum Eindringen in ein ansonsten gut geschütztes Unternehmensnetzwerk dienen kann.

Die Kommunikation über digitale Kanäle wie E-Mail bietet ein besonders günstiges Umfeld für Social Engineering. Während der Täter sein Gegenüber in einer realen Gesprächssituation über alle Sinne hinweg täuschen muss, hat er es bei der technisch vermittelten Kommunikation deutlich einfacher. Darüber hinaus bieten die privaten und beruflichen Sozialen Netzwerke dem Täter eine einfache Möglichkeit, im Vorfeld des Angriffs eine Vielzahl von Hintergrundinformationen über Personen oder Mitarbeiter eines Unternehmens zu sammeln und gegebenenfalls zu verknüpfen. Diese Informationen können genutzt werden, um Angriffe gezielter auszurichten. Sie können es dem Täter zudem erleichtern, eine vertrauliche Beziehung zu seinem Opfer aufzubauen – etwa durch den Verweis auf Hobbys, Freunde oder Kollegen – und dieses in der Folge einfacher zu unzulässigen Handlungen zu verleiten.

Die bekannteste Form des Social Engineering ist das Phishing – wörtlich: das Fischen nach Passwörtern. Durch häufig sehr echt wirkende E-Mails sollen Personen dazu gebracht werden, auf einen Link zu klicken und auf der ebenfalls gefälschten Zielseite Passwörter bzw. Anmeldeinformationen einzugeben, die dann vom Angreifer abgegriffen werden können.

Neben dem massenhaften Versand von Phishing-Mails lässt sich zunehmend eine gezieltere Variante dieser Methode beobachten, das so genannte Spear Phishing. In diesem Fall werden die E-Mails nach vorausgegangener Recherche speziell auf kleine Gruppen oder einzelne Personen bzw. Mitarbeiter zugeschnitten, was die potenzielle "Trefferquote" deutlich erhöht.

Beim CEO Fraud (CEO-Betrug) schließlich versuchen kriminelle Täter, Entscheidungsträger bzw. für Zahlungsvorgänge befugte Mitarbeiter oder Mitarbeiterinnen in Unternehmen so zu manipulieren, dass diese vermeintlich im Auftrag des Top-Managements Überweisungen von hohen Geldbeträgen veranlassen.

Wie kann man sich gegen Social Engineering schützen?

Täter nutzen beim Social Engineering tief sitzende menschliche Dispositionen und Bedürfnisse aus, um ihre kriminellen Ziele zu erreichen – etwa den Wunsch, anderen Menschen schnell und unbürokratisch zu helfen. Das macht es schwer, sich zuverlässig gegen diese Angriffsform zu schützen.

Um das Risiko von Social Engineering-Betrügereien zu mindern, sollten in jedem Fall die folgenden Grundregeln beachtet werden:

  • Gehen Sie verantwortungsvoll mit sozialen Netzwerken um. Überlegen Sie genau, welche persönlichen Informationen Sie dort offenlegen, da diese von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden können.
  • Geben Sie in privaten und beruflichen sozialen Netzwerken keine vertraulichen Informationen über Ihren Arbeitgeber und Ihre Arbeit preis.
  • Teilen Sie Passwörter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail mit. Banken und seriöse Firmen fordern ihre Kunden nie per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf.
  • Lassen Sie bei E-Mails von unbekannten Absendern besondere Vorsicht walten: Sollte auch nur ansatzweise der Verdacht bestehen, dass es sich um einen Angriffsversuch handeln könnte, reagieren Sie doch im Zweifelsfall besser überhaupt nicht. Wenn es sich um falschen Alarm handelt, wird sich ein Absender ggf. noch über einen anderen Kanal bei Ihnen melden. Nehmen Sie sich Zeit für den 3-Sekunden-Sicherheits-Check.
  • Sollte eine Reaktion zwingend erforderlich sein, vergewissern Sie sich durch einen Anruf beim Absender oder der Absenderin, dass es sich um eine legitime E-Mail handelt.