Social Engineering nutzt die Schwachstelle Mensch

Hubit: Social Hacking bleibt gefährlich

12. März 2020, 08:06 Uhr   |  Von Dr. Jörg Schröper.

Hubit: Social Hacking bleibt gefährlich

Es gibt viele verschiedene Methoden, mit denen Hacker versuchen an sensible Daten von Unternehmen, staatlichen Behörden oder Privatpersonen zu gelangen. Nicht immer setzen Betrüger auf rein technische Mittel wie das Hacken von IT-Systemen, sondern manchmal auch ganz gezielt auf die Vertrauenswürdigkeit ihrer Mitmenschen - wie beispielsweise der aus dem Hollywoodfilm "Catch Me If You Can" bekannte Scheckbetrüger Frank William Abagnale Jr. Auch bei der Methode Social Engineering setzen Hacker gezielt beim schwächsten Glied in der Kette des Datenschutzes, dem Menschen, an. "Social Engineering stellt eine zwischenmenschliche Beeinflussung mit dem Ziel dar, bestimmte Verhaltensweisen bei Personen hervorzurufen und an vertrauliche Informationen zu gelangen. Soll über diese Methode in ein fremdes Computersystem eingedrungen werden, spricht man auch von Social Hacking", erklärt Haye Hösel, Geschäftsführer und Gründer von Hubit Datenschutz.

Sogenannte Social Engineers spionieren dabei das persönliche Umfeld ihres Opfers aus oder täuschen Identitäten vor, um beispielsweise an geheime Unternehmensinformationen, persönliche Kennwörter oder PINs zu gelangen. "Mitarbeiter in Unternehmen werden häufig per E-Mail oder auch telefonisch kontaktiert und über einzelne Informationen ausgefragt. Die Hacker geben sich zum Beispiel als Führungsperson oder auch Techniker aus und verlangen vertrauliche Zugangsdaten. Manchmal behaupten die Betrüger auch, ein Kunde oder Lieferant zu sein und sammeln so über einen längeren Zeitraum - dieses Ausspionieren kann auch ein halbes Jahr dauern - verschiedene Daten", berichtet Hösel.

Über öffentlich zugängliche Quellen recherchieren die Angreifer vorab meist kleine Informationsfetzen wie Verfahrensweisen oder Unternehmenshierarchie. Diese helfen dem Hacker, Insiderwissen vorzutäuschen, und erleichtern somit die zwischenmenschliche Manipulation.

Im Privatbereich erfolgt das Social Engineering oft über die sozialen Medien. Täter stellen meist Bekannten des eigentlichen Opfers Freundschaftsanfragen. Haben Personen einer solchen Anfrage zugestimmt, erhält nun auch die Zielperson eine. Da die Bekannten bereits mit dem Betrüger "befreundet" sind und sich so eine scheinbar persönliche Verbindung herstellen lässt, stimmt häufig auch die eigentliche Zielperson zu. "Über Posts, Likes und Fotos sammeln Täter erste Informationen und erfahren etwas über die Persönlichkeit der Zielperson. In Chats können Hacker weitere Informationen erfragen und somit ihre Kenntnisse ergänzen. Manchmal täuschen diese nach einer gewissen Zeit auch einen Notfall vor, um weitere Details zu erfragen, die Menschen im Normalfall nicht preisgeben würden - dies in der Stresssituation jedoch tun", sagt der Datenschutzbeauftragte.

Weitreichende Bekanntheit erlangte diese Methode vor allem durch den US-amerikanischen Hacker Kevin Mitnick, der durch sein Eindringen in fremde Computer zu einer der meistgesuchtesten Personen der Vereinigten Staaten wurde. In seinem Buch beschreibt er, dass Social Engineering deutlich schneller zu gewünschten Informationen führt als rein technische Methoden.

Um sich vor dieser Methode zu schützen, gilt es, sich als Privatperson und Mitarbeiter in Unternehmen für Social Engineering zu sensibilisieren, beispielsweise durch Datenschutzschulungen. "Generell empfiehlt es sich, E-Mails und Anrufen von unbekannten Personen misstrauisch zu begegnen und im Zweifelsfall nie sensible Daten weiterzugeben", rät Hösel und ergänzt: "Auch Links von scheinbar bekannten Absendern, die jedoch von einer fremden E-Mail-Adresse stammen, sollten nicht geöffnet werden. Hacker nutzen immer häufiger bekannte Layouts, beispielsweise von einem Kreditinstitut, die zu einer Login-Seite führen. So sollen Benutzername und Kennwort gestohlen werden. Um die Login-Daten nicht an Betrüger preiszugeben, empfiehlt es sich, wichtige Seiten als Lesezeichen zu speichern und immer diesen Zugang für den Login zu nutzen."

E-Mails, Anrufe oder SMS, die Gewinne versprechen, sobald man persönliche Daten weitergibt, gelte es zu ignorieren. Schließlich habe kaum jemand etwas zu verschenken. Zuletzt stellt das kritische Überdenken vom Teilen privater Inhalte in den sozialen Medien einen einfachen Schritt zu mehr Sicherheit dar.

Weitere Informationen stehen unter www.hubit.de zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Sechs Maßnahmen gegen Cyberattacken auf das Firmen-Management
Sehschule für  wache Augen
40 Prozent gewähren Social Robots unautorisierten Zutritt

Verwandte Artikel

Awareness

Hacking

Phishing