Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Sie stimmen dem durch die weitere Nutzung der Website zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.

For English version click here.

Social Engineering: Was ist das?

07.07.2020        Bedrohungslage
Social Engineering: Was ist das?
Shutterstock ID 362530223

Im Zeitalter der Digitalisierung werden immer höhere Mauern um Daten gebaut. Sie dienen dem Schutz wichtiger Informationen und sollen Cyberkriminellen das Leben schwer machen. Die Schwachstelle „Mensch” kann allerdings kein Sicherheitsexperte vollständig absichern. Diese Tatsache wissen Kriminelle sehr kreativ auszunutzen – tagtäglich gibt es Berichte über neue Betrugsversuche. Sämtliche Methoden, die auf der direkten Kommunikation mit und Manipulation von Menschen basieren, werden unter dem Sammelbegriff Social Engineering zusammengefasst.

Social Engineering: Definition

Übersetzen kann man Social Engineering mit Sozialtechnik oder soziale Manipulation. Der Begriff umfasst zahlreiche Strategien, deren Ziel ist es ist, Menschen so zu manipulieren, dass sie Zugriffe erlauben, Daten preisgeben, Informationen teilen oder Geldsummen bewegen. Die Taktik der Täter (Social Engineers) setzt auf das Glück des Zufalls, falsches Vertrauen und die Unüberlegtheit ihrer Opfer. Obwohl die Methoden des Social Engineerings teilweise schon seit Anbeginn unserer Zivilisation existieren, wird der Begriff heute meistens im Kontext von digitalem Betrug im Internet verwendet. Social Hacking ist ein gängiges Synonym.

Betrüger nutzen verschiedene Kommunikationswege, um einen Betrug durch soziale Manipulation auszuführen: 

  • persönlich
  • telefonisch
  • postalisch
  • digital per E-Mail, Messenger, Chat


Zur Bot Mitigation von Link11


Methoden des Social Engineering

Grundsätzlich unterscheidet man Massenbetrügereien von gezielten Betrugsmaschen. 

Massenbetrugsversuch (Phishing)

Typisch ist das Versenden von Mails an hunderttausende Adressen, in denen die Empfänger zu einer bestimmten Aktion aufgefordert werden: 

  • Anklicken eines Links
  • Eingeben bestimmter Daten in Maske
  • Verifizieren von Identität 

Die Methoden sind sehr vielfältig und gehören allesamt zur Kategorie Phishing.

Das Versenden geschieht meistens automatisch und erfordert vergleichsweise wenig Know-how, Mühe und finanzielle Ressourcen. Da die Mails nicht spezifisch auf den Empfänger zugeschnitten sind, werden sie häufig als Betrug erkannt oder landen direkt im Spam-Ordner. Die Erfolgsquote ist daher gering.

Strategischer Betrugsversuch (Spear-Phishing)

Das gezielte Social Engineering erfordert mehr Ressourcen als der Massenbetrug, zum Beispiel für Recherche, Ansprache und das Fingieren von Referenzen und Beweisen. Auch hierbei gibt es ein weites Spektrum: Als gezielter Angriff gilt bereits der Betrugsversuch auf eine bestimmte Gruppe von Angestellten in einer bestimmten Branche. Man nennt die Methode Spear Phishing (Speerfischen), da die Täter nicht wahllos das ganz große Netz auswerfen, sondern gezielte Opfer auswählen.

Profis im Bereich des Social Engineerings gehen aber häufig ein noch gewagteres Risiko ein: Sie visieren wenige ausgewählte Mitarbeiter oder sogar nur Einzelpersonen in einem Unternehmen an, deren Vertrauen sie sich über einen längeren Zeitraum hinweg erschleichen. Dazu bauen sie eine Beziehung zum Betrugsopfer auf, studieren dessen Verhalten und fälschen komplexe Referenzen, um ihre Glaubwürdigkeit zu beweisen. 

Je nach Umfang der Betrügerei kann ein Arbeitsaufwand von Wochen oder Monaten in die Vorbereitungen fließen. Bei diesen ausgefeilten Plänen ist die Erfolgsquote hoch, ansonsten würde sich der intensive Einsatz der Ressourcen nicht rentieren. 

Weitere Strategien und Begriffe im Social Engineering

Social Engineering kann viele Formen annehmen. Fast beeindruckend ist die Kreativität der Angreifer, die scheinbar immer neue Gaunereien erfinden – besonders nachdem in der Presse ausführlich über eine neue, erfolgreiche Methode berichtet wurde. Oft kombinieren Social Engineers gleich mehrere Betrugsmaschen miteinander. Hier finden Sie 

Häufige Begriffe und ihre Bedeutung


BegriffMethode
Phishing
(abgeleitet von to fish, deutsch: fischen)
Massenhafte Versenden von betrügerischen Schreiben oder E-Mails, um an geschützte (private) Informationen zu erhalten 
z. B. PINs, Bankinformationen, Zugangsdaten
Spear Phishing
(deutsch: speerfischen)
Gezielte Phishing-Angriffe auf ausgewählte Personen(gruppen), um Trefferquote zu erhöhen
Vishing
(Kofferwort aus voice fishing)
Fingierte Telefonanrufe mithilfe von Voice over IP-Telefonie
CEO-Fraud/ CEO-Betrug Gezielter Angriff auf Entscheider und Führungskräfte, auch Whaling genannt (deutsch: Walfang, dicke Fische angeln)
Pharming
(Kofferwort aus phishing und farming, deutsch: züchten)
Manipulation von DNS-Anfragen von Webbrowsern
Computer des Opfers wird so manipuliert, dass die Fake-Version einer häufig besuchten Website aufgerufen wird, auf der sich Opfer mit geschützten Zugangsdaten einloggen
Pretexting
(deutsch: Vorwand verwenden) 
Verwenden eines erfundenen Vorwands oder Szenarios, um Informationen vom Betrugsopfer zu erhalten, die es unter normalen Umständen nicht preisgeben würde
z. B. fingierte E-Mails und Anrufe von Behörden, Polizei, Chef, Bank, Versicherer, Arbeitskollegen, Familienmitgliedern
Quid pro Quo
(Gegenleistung einfordern) 
Betrugsmasche, bei dem der Täter dem Opfer etwas anbietet und dann eine kleine Wiedergutmachung einfordert
z. B. IT-Support bietet Hilfe, benötigt aber Passwort zur Verifizierung
Water holing
(deutsch: Wasserloch-Strategie)
Opfer wird zu Fake-Version einer Website umgeleitet, die sie sehr häufig nutzen, dort werden private Daten erfragt oder zum Link-Klick aufgerufen
Betrug basiert auf der Annahme, dass Nutzer auf vertrauten Websites viel bereitwilliger Informationen preisgeben oder Anweisungen folgen
Baiting
(deutsch: ködern) 
Opfer wird mit einem Köder (USB-Stick, CD, SD-Karte von vertrauenswürdiger Quelle oder Werbegeschenk) dazu gebracht, Datenträger zu verwenden, der Malware enthält
Tailgating
(deutsch: Dichtes Auffahren-Strategie)
 Höflichkeit des Opfers wird ausgenutzt, um Zugang zu einem abgesicherten Bereich zu erlangen
 z. B. Tür aufhalten, Handy ausleihen
Dumpster Diving
(deutsch: tauchen im Müllcontainer)
Buchstäbliches Durchsuchen von Mülltonnen und Abfalleimern, um Informationen zu erhalten oder Anhaltspunkte für eine erfolgreiche Betrugsmasche zu finden



Social Engineering Attacken: Vorkommen und Schäden

Social Engineering gehört zu den größten IT-Risiken. Wie oft Verbraucher und Unternehmen täglich zu Opfern von Social Engineers werden, lässt sich nur mutmaßen. Das Phänomen ist so weit verbreitet und kennt so viele Abwandlungen, dass viele Betroffene oft gar nicht bemerken, dass sie einem Betrüger aufgesessen sind. Weiterhin werden viele gescheiterte Betrugsversuche nicht zur Anzeige gebracht. Daher ist von einer hohen Dunkelziffer auszugehen. Laut einer Bitkom-Umfrage im November 2019 waren 15 % der Befragten von digitalem Social Engineering betroffen. Weitere 25 % schätzen, dass sie vermutlich schon Opfer einer Betrugsmasche wurden.


Zur Zero Touch WAF von Link11


Menschliches Versagen stellt großes Risiko dar

Social Engineers nutzen die menschlichen Eigenschaften aus, die unser gesellschaftliches Zusammenleben ermöglichen: Hilfsbereitschaft, Vertrauen und Loyalität gegenüber Kollegen und dem Arbeitgeber werden genauso gegen potenzielle Opfer verwendet wie Angst vor Autoritäten und Rechtstreue gegenüber Behörden. Eine Studie zu Cyber-Sicherheit von Wipro zeigte, dass der Faktor Mensch in vielen Sektoren als Top-Risiko bewertet wird: 

  • Bank/Versicherung/ Finanzen: 73 % 
  • Industrie: 81 % 
  • Kommunikation: 67 % 

Krisenzeiten verschärfen Gefahr

Schlechte Zeiten sind oftmals gute Zeiten für Trickbetrüger. So verzeichneten IT-Experten weltweit einen Anstieg von Cyber-Attacken während dem Ausbruch der Corona-Pandemie (Link11 berichtete). Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete neue Phishing-Methoden, die speziell auf hilfsbedürftige Unternehmer abzielten. Dazu wurden gefälschte Mails mit Sparkassen als Absender verschickt. Mehr zu Social Engineering rund um das Pandemie-Geschehen können Sie in unserer Nachrichtensammlung zum Thema Datenklau finden.

Weitere Schlagzeilen machte Anfang April 2020 eine neue Phishing-Methode, bei der User zu einer imitierten Eingabemaske für Soforthilfe-Anträge des Landes Nordrhein-Westfalen weitergeleitet wurden. Die Täter nutzten die Daten des Unternehmens, um die Finanzhilfen tatsächlich zu beantragen und durch Angabe eines anderen Kontos selbst einzustreichen.

Gegenmaßnahmen

Wiederholtes Lernen, Aufklären und Warnen - nur so können Menschen dauerhaft für die Bedrohung von Social Engineering sensibilisiert werden. Je größer das Bewusstsein für die Bedrohungslage, desto wahrscheinlicher ist die Entwicklung von Automatismen bei der Bewältigung der Arbeit. 

Tipps für die Umsetzung

  • Warnungen zu aktuellen Betrugsmaschen versenden
  • Schulungen zum Thema Social Engineering (verpflichtend) anbieten
  • Klare Sicherheitsvorschriften und -richtlinien für die konkrete Umsetzung im Alltag aufsetzen (z. B. 3-Sekunden-Sicherheitscheck für E-Mails)
  • Unangekündigte Simulationen durchführen

Die technischen IT-Sicherheitsmaßnahmen sollten Hand und Hand mit der Sensibilisierung der Mitarbeiter gehen:

  • Striktes Zugangsmanagement für Anwendungen und Systeme
  • Erforderliche Passwortänderungen in festgelegten Intervallen
  • Update- und Patch-Management
  • Monitoring von Logdaten
  • Netzwerksegmentierung 

Weitere Anwendungssicherheit und Schutz vor Social Engineering bietet eine Web Application Firewall (WAF). Basierend auf einem Regelwerk prüft die WAF in Echtzeit alle Daten-Pakete, die zwischen den Clients ausgetauscht werden und warnt im Falle von Anomalien im Datenverkehr. Außerdem können über eine Blacklist bekannte Phishing-Seiten standardmäßig gesperrt werden.



Quellen:

  • Angriffsziel deutsche Wirtschaft: mehr als 100 Milliarden Euro Schaden pro Jahr, bitkom.org, 6.11.201 
  • Die Lage der IT-Sicherheit in Deutschland 2019, BSI, Oktober 2019
  • State of Cybersecurity Report 2019, Wipro, 2019, S. 9, 15, 17

Neueste Blogbeiträge

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Link11GmbH​

Folgen Sie Link11 auf Twitter