Social Engineering

Social Engineering bezeichnet das Manipulieren von Personen, um unbefugt Zugang zu vertraulichen Informationen oder IT-Systemen zu erhalten. Typisches Werkzeug von Social Engineers ist das Telefon. Persönliches Auftreten wird wegen des höheren Risikos zumeist gescheut, kommt aber ebenfalls vor.

Strategie von Social Engineers

Social Engineers geben sich beispielsweise als Mitarbeiterin bzw. Mitarbeiter, wichtige Kundin bzw. wichtiger Kunde oder EDV-Technikerin bzw. EDV-Techniker aus. Sie täuschen Ihre Opfer durch firmeninternes Wissen oder Kenntnis des speziellen Fachjargons, die sie zuvor durch Telefonate oder Insidergespräche erworben haben. Bei ihren Angriffen appellieren sie als gestresste Kollegin bzw. gestresster Kollege an die Hilfsbereitschaft ihrer Gesprächspartnerinnen und Gesprächspartner oder drohen als Kundin bzw. Kunde mit dem Entzug eines Auftrages. Kommen sie bei einer Mitarbeiterin oder einem Mitarbeiter nicht an ihr Ziel, wiederholen sie den Angriff bei einem oder einer anderen.

Ablauf eines Angriffs

  • Durch gezielte Telefonate werden Insiderinformationen eingeholt, die an sich harmlos sind, deren Kenntnis Social Engineers aber helfen, ihre Rolle überzeugend zu spielen.
  • Oft wird über längere Zeit ein Vertrauensverhältnis aufgebaut, indem die Kriminellen z. B. mehrere Telefonate mit ihrem Opfer führen und unproblematische Anfragen stellen.
  • Der eigentliche Angriff erfolgt nach Recherchen: Wenn die Opfer die Kollegin bzw. den Kollegen oder die Kundin bzw. den Kunden gut zu kennen glauben, gehen Social Engineers zu ihrem eigentlichen Ziel über – und bitten um den entscheidenden „Gefallen“.

Oft wird der Angriff vom Opfer nicht einmal registriert. Social Engineers bleiben unbemerkt und können die Mitarbeiterin bzw. den Mitarbeiter bei anderer Gelegenheit erneut nach vertraulichen Informationen aushorchen.

Wer besonders gefährdet ist

Social Engineering-Attacken können sich gegen jede Mitarbeiterin bzw. jeden Mitarbeiter richten. Am stärksten gefährdet sind

  • neue Mitarbeiterinnen und Mitarbeiter, die mit dem Arbeitsumfeld noch nicht vertraut sind
  • Mitarbeiterinnen und Mitarbeiter mit Kundenverkehr, da sie besonders häufig Kontakt mit unternehmensfremden Personen haben: In diesem Bereich finden sich außerdem häufig mehrere Mitarbeiterinnen und Mitarbeiter mit gleichen Zugriffsrechten, sodass Social Engineers einen fehlgeschlagenen Angriff an einem anderen Opfer wiederholen können.

Maßnahmen gegen Social Engineering

Angriffe dieser Art können nie völlig unterbunden werden. Bitte beachten Sie aber folgende Vorsichtsmaßnahmen:

  • Informieren Sie sich über den Wert und Vertraulichkeitsgrad der Informationen, zu denen Sie Zugang haben.
  • Häufig ist Mitarbeiterinnen und Mitarbeitern infolge des dauernden Umgangs mit sensiblen Informationen nicht mehr bewusst, dass diese geheim sind. Auch fehlen oft klare Regelungen der Geschäftsführung. In jedem Unternehmen sollte – am besten in schriftlicher Form – festgelegt sein, welche Informationen vertraulich zu behandeln sind und welche weitergegeben werden dürfen. Sollte dies in Ihrem Unternehmen nicht der Fall sein, regen Sie eine solche Festlegung an oder klären Sie Ihren Bereich zumindest mit Ihren Vorgesetzten.
  • Bestehen Sie bei Anfragen zu vertraulichen oder geheimen Informationen auf schriftliche Form oder persönliche Vorsprache.
  • Geben Sie über anonyme Kanäle (Telefon, E-Mail, Postfächer) grundsätzlich keine vertraulichen Informationen weiter.

Vertrauliche Informationen sind in diesem Fall nicht nur Passwörter, Kontodaten oder ähnliche sensiblen Daten, sondern auch Unternehmensinterna, wie z. B. Abläufe oder Fachwörter, die Cyberkriminellen helfen könnten.

Legen Sie im Vorhinein Methoden fest, wie Anfragestellerinnen bzw. Anfragesteller sicher authentifiziert werden können: Reicht z. B. die Kundennummer der Gesprächspartnerin bzw. des Gesprächspartners oder ist ein zusätzliches Passwort nötig? So lässt sich Zeitdruck vermeiden, der gern als Hilfsmittel bei Social Engineering-Angriffen eingesetzt wird.

  • Gibt die Gesprächspartnerin bzw. der Gesprächspartner vor, Mitarbeiterin bzw. Mitarbeiter eines Unternehmens zu sein, sollten Sie bei diesem Unternehmen anfragen, ob diese Mitarbeiterin bzw. dieser Mitarbeiter tatsächlich existiert. Dazu muss aber die Telefonnummer aus öffentlichen Quellen (z. B. amtliches Telefonbuch) abgefragt werden – verwenden Sie nicht jene Telefonnummer, die die Anruferin bzw. der Anrufer angegeben hat.
  • Wenn Sie sich bei einer Anfrage nicht sicher sind oder die Anfragestellerin bzw. der Anfragesteller versucht, Sie unter Druck zu setzen, leiten Sie die Anfrage an die Vorgesetzte bzw. den Vorgesetzten weiter. Einschüchterungsversuche dieser Art gehören zum Standardrepertoire des Social Engineering.

Tipp

Besprechen Sie mit Ihren Kolleginnen und Kollegen auffällige oder unzulässige Anfragen und dokumentieren Sie diese Anfragen – so weiß man, ob die Anruferin bzw. der Anrufer es schon bei anderen Kolleginnen bzw. Kollegen versucht hat. Anhand der Aufzeichnungen über derartige Gespräche können auch neue Abwehrmethoden gefunden und ein Gefühl für den Wert der Unternehmensinformationen entwickelt werden.

Letzte Aktualisierung: 14. Oktober 2020

Für den Inhalt verantwortlich: Wirtschaftskammer Österreich, Bundessparte Information und Consulting