Bundesamt für Sicherheit in der Informationstechnik

Social Engineering: Wie Cyber-Kriminelle die Schwachstelle Mensch ausnutzen

Unter dem Begriff "Social Engineering" werden Manipulationsversuche zusammengefasst, mit denen Betrüger an vertrauliche Informationen von Unternehmen oder Privatpersonen kommen wollen. Diese Informationen sollen den Angreifern wiederum Zugang zu den IT-Systemen ihrer Opfer und damit zu weiteren sensiblen Daten verschaffen. Durch das Ausnutzen menschlicher Eigenschaften wie Hilfsbereitschaft, Vertrauen oder Respekt vor Autoritäten gelangen Unbefugte zum Beispiel an Passwörter für das Unternehmensnetzwerk oder autorisieren in falschem Namen Überweisungen vom Firmenkonto.

CEO-Fraud: Täter geben sich als Geschäftsführer aus

Besonders im Unternehmensumfeld hat Social Engineering mit der hochspezialisierten Variante CEO-Fraud für Schlagzeilen gesorgt. Dabei sammeln die Täter zunächst im Vorfeld umfassende Informationen über die Gepflogenheiten und Zuständigkeiten einer Firma. Mit diesem Wissen erschleichen sie sich, über E-Mail und Telefonkontakt mit ausgesuchten Mitarbeitern oder Mitarbeiterinnen, den Zugang ins Firmennetz oder beauftragen Überweisungen zu beauftragen. Dafür tarnen sie sich als CEO, Geschäftsführer oder Vorstand aus und können oftmals Umgangsformen dank Vorkenntnisse sehr gut imitieren. Meist täuschen die Täter zudem Zeitdruck vor und drängen ihre Opfer den Auftrag vertraulich zu behandeln. So möchten die Betrüger Rückfragen vermeiden und das übliche Vier-Augen-Prinzip umgehen. Überweisen die Opfer die angefragte Summe, ist die Aussicht diese vollständig zurückzuholen gering und nur mit enormen Aufwand möglich. Die finanziellen Folgen und der Schaden für das Image und die Geschäftsbeziehungen können für die Unternehmen weitreichend sein.

Schutz gegen Social Engineering

Der wirksamste Schutz vor Social Engineering ist der Einsatz des gesunden Menschenverstands. Die folgenden Schutzmaßnahmen machen es dem Angreifer schwerer:

  • Gehen Sie sparsam mit persönlichen und beruflichen Informationen in sozialen Netzwerken um.
  • Besonders Einladungen in das Netzwerk persönlich nicht bekannter Personen, sollte zurückhaltend begegnet werden. Denn Cyber-Kriminelle nutzen Informationen aus verschiedensten Quellen und kombinieren diese zu einem möglichst detaillierten Bild ihrer potenziellen Opfer. Diese Informationen können somit dazu dienen, die Identität von Nutzerinnen und Nutzern sehr authentisch in einer gefälschten Kontaktaufnahme abzubilden und bei Social-Engineering-Angriffen in deren Rolle zu schlüpfen.
  • Bei Anrufen oder einer Kontaktaufnahme per E-Mail durch unbekannte Personen ist Vorsicht angebracht, vor allem wenn es um sensible Daten geht. Geben Sie niemals Passwörter oder Kontoinformationen per Telefon oder E-Mail preis.
  • E-Mails lassen sich mit dem 3-Sekunden-Check einer ersten kurzen Prüfung auf Plausibilität und Vertrauenswürdigkeit unterziehen. Sie können auch durch einen Anruf versuchen, die Echtheit des vermeintlichen Absenders zu verifizieren.
  • Wer Antrieb und Tricks der Social-Engineering-Angreifer kennt und versteht, ist bereits gut gewappnet. Im Zweifel gilt jedoch: Lieber einmal mehr als nötig nachfragen.

In unseren Hinweisen "Social Engineering – der Mensch als Schwachstelle" erfahren Sie im Detail, woran Sie den Betrugsversuch erkennen können und was der Unterschied zwischen Spear-Phishing und Phishing ist.

In der Video-Reihe "IT-Sicherheit verständlich erklärt" beantwortet Ihnen ein BSI-Experte, worin die Risiken des Social Engineering für und durch Mitarbeiter und Mitarbeiterinnen bestehen.