Was ist Social Engineering?

Social Engineering ist eine einfache und gleichzeitig sehr effektive Form der Industriespionage. Die Angreifer stehlen wichtige Unternehmensdaten oder schleusen Viren ein, indem sie die menschliche Unvollkommenheit ausnutzen.

Social Engineering beginnt häufig mit der Recherche zur Zielperson und zum jeweiligen Unternehmen. Die Angreifer sammeln Informationen zu Mitarbeitern, indem sie die sozialen Netzwerke wie Facebook, Twitter, Xing oder LinkedIn nach öffentlichen Informationen durchforsten. Gleichzeitig sammeln sie Informationen auf der Firmen-Website und über Online-Verzeichnisse. Manchmal fragen die Angreifer auch direkt per E-Mail oder Telefon beim Unternehmen an. Die Hintergrundinformationen zu internen Strukturen, Mitarbeitern und Vorgesetzten nutzen die Angreifer anschliessend für das eigentliche Täuschungsmanöver.

Angriff per Telefon, E-Mail oder persönlich vor Ort

Häufig nutzen die Angreifer das Telefon. Sie geben sich beispielsweise als interne IT-Administratoren aus und informieren über eine angebliche Sicherheitslücke, die umgehend geschlossen werden muss. Das rhetorische Geschick und die vertrauensschaffenden Hintergrundinformationen helfen den Angreifern, direkt ans Ziel zu kommen. Die überrumpelten Opfer geben persönliche Daten wie Passwörter weiter und ermöglichen dadurch den Zugriff auf die internen Systeme.

Gelegentlich schleusen sich die Angreifer auch im Unternehmen ein oder bestechen Mitarbeitende. Manche beobachten ihre Opfer bei der Eingabe von Passwörtern oder belauschen sie bei internen Gesprächen. In anderen Fällen hacken die Angreifer die E-Mail-Accounts von Mitarbeitern, versenden von dort E-Mails und fragen dabei nach persönlichen Informationen. Phishing zählt man deshalb auch zu Social-Engineering-Attacken, weil über gefälschte E-Mails oder schädliche Links persönliche Daten gestohlen werden sollen.

So schützen Sie sich und Ihr Unternehmen

Die erwähnten Beispiele zeigen, warum Social Engineering zu den erfolgreichsten Angriffsmethoden gehört: Die Angreifer zielen auf menschliche Schwächen ab und manipulieren ihre Opfer. Diese 7 Tipps helfen, um sich besser vor Angriffen zu schützen:

1. Schulen Sie Mitarbeiter regelmässig über Risiken und mögliche Formen des Social Engineering.

2. Geben Sie keine persönlichen Informationen auf sozialen Netzwerken frei.

3. Verwenden Sie einen Passwortspeicher im Unternehmen.

4. Geben Sie Passwörter nicht in der Gegenwart Dritter ein.

5. Fragen Sie bei Vorgesetzten nach, bevor Sie persönliche Informationen herausgeben.

6. Informieren Sie sich über interne Sicherheitsabläufe.

7. Besprechen Sie firmeninterne Informationen nicht in der Öffentlichkeit.