Social Engineering – Das Hacken von Menschen!

Blog Cybersicherheit
Pic Source: Siavash Ghanbari via Unsplash

Die meisten Menschen haben den Begriff “Social Engineering” schon einmal gehört. Doch die wenigsten können sich konkret etwas darunter vorstellen. Wir geben Einblicke!

Vereinfacht gesagt, bedeutet Social Engineering die Beeinflussung oder die Täuschung eines Menschen. Auch in der IT-Sicherheit spielt Social Engineering eine große Rolle.

Doch warum?

Hackern geht es wie vielen Menschen. Sie möchten das maximale Ergebnis mit möglichst geringem Aufwand erzielen. Angriffe auf Computer, Betriebssysteme oder -netzwerke sind oftmals aufwendig und sehr umfangreich. Können Cyberkriminelle nicht ohnehin bestehende Sicherheitslücken in Soft- und Hardware ausnutzen, müssen sie viel Aufwand betreiben, um einen Angriff auf ein Unternehmen erfolgreich durchzuführen. Zuerst muss ein lukratives Ziel ausgespäht werden. Anschließend müssen Firewall, VPN und andere Schutzmechanismen überwunden werden. Es müssen Lücken und Exploits gefunden werden und letztlich müssen diese auch noch funktionieren.

Der technische Schutz, den Unternehmen heutzutage aufbringen, um Cyberangriffe abzuwehren ist verhältnismäßig hoch. In dieser Hinsicht wird es Cyberkriminellen durchaus schwer gemacht, Systeme zu überwinden und in das Innere der Unternehmens-IT einzudringen. Um dennoch an ihr Ziel zu kommen, müssen Hacker alternative Angriffsflächen nutzen. Der Mensch rückt dabei ins Visier und dient als ideales Einstiegstor. Im Vergleich zu der technischen Abwehr, wird in den Faktor Mensch nämlich kaum investiert.

Der Faktor Mensch als Sicherheitsrisiko

Cyberkriminellen ist dieses Sicherheitsrisiko bekannt. Sie nutzen dieses aus und greifen Mitarbeiterinnen und Mitarbeiter eines Unternehmens gezielt an. Das kann sowohl direkt durch einen persönlichen Anruf oder auch indirekt durch eine E-Mail geschehen.

Auch interessant: In seiner jüngst veröffentlichten Studie bestätigt der Bitkom, dass eine Vielzahl an Angriffen mit Social Engineering beginnen. 41 Prozent der befragten Unternehmen gaben an, dass es solche Versuche gab: Bei 27 Prozent der Befragten wurden sie per Telefon und bei 24 Prozent per E-Mail kontaktiert.

Das Ziel ist aber immer das gleiche. Der Hacker möchte Zugang zu sensiblen Daten, Dokumenten und Informationen bekommen (z.B. Login-Informationen oder Bankdaten) oder er möchte eine bestimmte Handlung erwirken (z.B. Überweisung einer Geldsumme)*

Warum funktioniert Social Engineering?

Das lässt sich leicht erklären. Cyberkriminelle nutzen, Methoden, die vertraut sind, um Menschen zu manipulieren. Social Engineering begegnet einem fast tagtäglich. Sei es im Umgang mit Freunden, Familienmitgliedern oder auch fremden Menschen. Mit rhetorischen Mitteln oder verschiedenen psychologischen Vorgehensweisen, können Menschen gezielt geleitet und motiviert werden, eine bestimmte Verhaltensweise an den Tag zu legen. Man kann das Social Engineering als psychologische Waffe beschreiben.

Weitere Informationen über die Beeinflussung des menschlichen Verhaltens im Zuge des Social Engineerings, können Sie hier nachlesen.

Dabei muss auf das Gegenüber spezifisch eingegangen werden. Je nach Charakter funktionieren andere Anreize, die Hacker ansprechen können. Ein Mitarbeitender reagiert beispielsweise besonders auf Schmeicheleien, ein anderer auf besondere Wertschätzung und wieder ein anderer reagiert besonders auf Druck. Mit den richtigen Stimuli ist es Cyberkriminellen möglich, Menschen zu beeinflussen, dass sie das gewünschte Ergebnis liefern.

Phishing, die weitverbreitetste Form von Social Engineering

In der IT-Sicherheit kann Social Engineering in ganz verschiedenen Formen auftreten, die unterschiedlicher nicht sein könnten. Neben dem Pretexting, Tailgating oder dem CEO-Fraud, zählt vor allem das Phishing** zu den weitverbreitetsten Arten.

Beim Phishing versuchen Cyberkriminelle mithilfe von E-Mails, gefälschten Internetseiten oder anderen Methoden an sensible und vertrauliche Informationen zu gelangen. Auch beim Phishing werden Mitarbeiterinnen und Mitarbeiter mehr oder weniger persönlich angesprochen. Phishing-Kampagnen sind besonders erfolgreich, wenn der Inhalt der Phishing-E-Mail auf den Adressaten zugeschneidert ist bzw. wenn sich der Empfänger angesprochen fühlt. Laut einer Studie des US-Unternehmens Proof Points, funktionierten folgende Aufhänger 2020/2021 besonders gut:

  1. Phishing-Kampagnen, die sich mit Corona, COVID-19 und damit verbundenen Gesundheitswarnungen befassen
  2. Phishing-Kampagnen, die über eine im Unternehmen genutzten Software informieren, z.B. Microsoft Exchange oder Outlook
  3. Phishing-Kampagnen, die Mitarbeitervorteile anbieten, z.B. kostenloser Monat bei Netflix, oder Gutscheine bei Amazon und Starbucks

Die letzten Monate zeigen es deutlich. Die Bedrohung durch Phishing-Attacken steigt stetig. Laut ENISA-Report ist die Zahl der Phishing-Angriffe via E-Mail Anfang 2020 in einem Monat um mehr als 600 Prozent gestiegen. Auch Perseus kann bestätigen, dass Phishing-Attacken zunehmen. Eine Studie, die Perseus Spätsommer 2020 veröffentlichte, zeigt, dass mehr als die Hälfte der Cyberangriffe im Jahr 2020 auf Phishing zurückgingen.

Die komplette Studie zum Thema Cybersicherheit im Homeoffice können Sie hier kostenlos downloaded.

Wie schützen Unternehmen ihre Mitarbeiterinnen und Mitarbeiter?

Ein nachhaltiger Schutz gegen Social Engineering und u.a. Phishing-Attacken erfordert ein nachhaltiges Cybersicherheits-Konzept. Mit den gleichen Ressourcen, die ein Unternehmen für die technische Abwehr aufbringt, sollte auch in die “menschliche Firewall” investiert werden. Perseus bietet solch ein Awareness Paket an. Mit umfangreichen Online-Trainings, nützlichen Hinweisen und Tipps und vor allem mit automatisierten Phishing-E-Mail-Simulationen werden Mitarbeiterinnen und Mitarbeiter gezielt für Angriffsmuster sensibilisiert, im Umgang mit Phishing-E-Mails geschult und somit das Cybersicherheits-Niveau im Unternehmen spürbar gehoben.

* Quelle: Aktuelle Umfrage des Bitkom | August 2021. Weitere Inhalte erhalten Sie hier.
** Der Begriff Phishing umfasst hier auch Unterarten wir Spear Phishing, Voice Phishing / Vishing, Smishing, Social Media Attacks, Business E-Mail Compromise, etc.

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited