Social Engineering: Eine wachsende Gefahr?

Im Zusammenhang mit IT-Sicherheit und Cyber-Kriminalität kommt häufig der Begriff "Social Engeneering" auf, viele halten dahinterstehende Methoden für eine der größten Herausforderungen der kommenden Jahre. Doch was genau verbirgt sich hinter dem Begriff Social Engeneering und welches Risiko birgt es für Unternehmen und Privatpersonen?

Social Engineering: Eine wachsende Gefahr?

24. August 2024 von   Kategorie: IT & Sicherheit
manipulierbar durch social engneierung über soziale netzwerke.jpg


Definition


Die Ursprünge des Social Engeneerings finden sich in Karl Poppers Buch "Die offene Gesellschaft und ihre Feinde", aus dem Jahr 1945. Darin beschreibt Popper einen soziologischen Ansatz, Methoden und Techniken, um gesellschaftliche Probleme zu lösen, indem man den Menschen wie eine Maschine oder einen Computer "programmieren" kann, um bestimmte Effekte zu erzielen. Eine deutsche Übersetzung des Begriffs wäre "Soziale Ingenieurskunst", häufig wird aber von "Sozialem Engeneering" verwendet.

Im heutigen Kontext hat sich der Begriff allerdings gewandelt und beschreibt kriminelle Techniken und Methoden, mit denen Menschen gezielt getäuscht und dazu gebracht werden sollen, sensible Informationen weiterzugeben oder bestimmte Aktionen auszuführen. In einer digitalen Welt ergeben sich in diesem Zusammenhang zahllose Ansätze.


Zugang zu sensiblen Informationen erschleichen


Es gibt eine ganze Reihe Methoden und Techniken, die sich Cyber-Kriminelle zunutze machen. Zu den bekannteren zählt beispielsweise das sogenannte "Phishing", wo Informationen sprichwörtlich "abgefischt" werden. Obwohl das Prinzip verblüffend einfach ist, fallen nach wie vor viele auf entsprechende Angriffe herein – häufig schlicht Unwissenheit. Bei einem Phishing-Angriff versenden die Täter beispielsweise eine E-Mail, die den Anschein macht, von einer vertrauenswürdigen Organisation oder einem Unternehmen zu stammen, etwa einem Versandhändler, einem Mobilfunkanbieter oder auch einer Bank. Die gefälschte E-Mail fordert den Empfänger unter einem Vorwand auf, einen Link zu öffnen, der wiederum zu einer täuschend echt aussehenden, aber gefälschten Webseite führt. Hier sollen dann Passwörter, Kontodaten oder andere sensible Daten eingegeben werden, welche – wenn sie denn getätigt werden, direkt bei den Kriminellen landen.

Folgender Link führt zu weiterführenden Informationen über den Ursprung des Begriffs, den geschichtlichen Hintergrund und den verschiedenen Ansätzen des Social Engineering.


Fehlendes Bewusstsein oft Grund für erfolgreiches Social Engeneering


Allein dieses kleine Beispiel zeigt, welchen Schaden Kriminelle mittels entsprechender Social-Engeneering-Attacken verursachen können: Identitätsbetrug mit allen Konsequenzen, Ausspionieren von E-Mails oder Social-Media-Konten, Online-Einkäufe mittels gestohlener Kreditkartendaten – die Liste ist lang. Nicht nur Privatpersonen, auch Unternehmen sind selbstverständlich oft im Visier von Kriminellen, die Beträge – die Unternehmen jedes Jahr an Erpresser zahlen, die sensible Daten gestohlen haben und Schutzgeld fordern, gehen in die Millionenhöhe. Daher ist es sowohl für Privatpersonen, als auch für Unternehmen wichtig, entsprechende Abwehrmaßnahmen gegen Social Engeneering zu treffen, um das Risiko Opfer eines Angriffs zu werden, zu minimieren.


Hierzu zählt vor allem, erst einmal ein Bewusstsein für die Bedrohung und das potenzielle Risiko zu entwickeln und sich der Gefahr bewusst zu sein. Schon immer galt: besondere Vorsicht bei der Weitergabe von sensiblen Informationen. Unternehmen sollten Mitarbeiter diesbezüglich schulen und das Sicherheitsbewusstsein schärfen. Darüber hinaus sollten auch Zugriffssteuerungsrichtlinien im Unternehmen und entsprechende Technologien für Cybersicherheit eingeführt werden.


Fazit


Man kann davon ausgehen, dass Social Engeneering in den kommenden Jahren weiter zunehmen und an Komplexität gewinnen wird. Insbesondere Technologien wie Machine Learning und Künstliche Intelligenz könnten Cyber-Kriminellen helfen, noch raffiniertere und personalisiertere Angriffe zu entwickeln und auf die jeweilige Zielgruppe zuzuschneiden. Gleichzeitig können dieselben Technologien aber auch dazu beitragen, einen höheren Schutz vor entsprechenden Angriffen herzustellen.