6. Social Engineering

Social Engineering bezeichnet das Manipulieren von Personen, um unbefugt Zugang zu vertraulichen Informationen oder IT-Systemen zu erhalten. Typisches Werkzeug des Social Engineers ist das Telefon. Persönliches Auftreten wird wegen des höheren Risikos zumeist gescheut, kommt aber ebenfalls vor.

Strategie des Social Engineers

Ein „Social Engineer“ gibt sich beispielsweise als Mitarbeiterin bzw. Mitarbeiter, wichtige Kundin bzw. wichtiger Kunde oder EDV-Technikerin bzw. EDV-Techniker aus. Sie/Er täuscht ihr/sein Opfer durch firmeninternes Wissen oder Kenntnis des speziellen Fachjargons, die sie/er zuvor durch Telefonate oder Insidergespräche erworben hat. Bei ihren/seinen Angriffen appelliert sie als „gestresste Kollegin“ bzw. er als „gestresster Kollege“ an die Hilfsbereitschaft ihrer Geschäftspartnerinnen bzw. seiner Gesprächspartner oder droht als „Kundin“ bzw. „Kunde“ mit dem Entzug eines Auftrages. Kommt sie/er bei einer Mitarbeiterin oder einem Mitarbeiter nicht an ihr/sein Ziel, wiederholt sie/er den Angriff bei einem oder einer anderen.

Häufig verlaufen diese Angriffe mehrstufig:

  • Durch gezielte Telefonate werden Insiderinformationen eingeholt, die an sich harmlos sind, deren Kenntnis dem Social Engineer aber hilft, ihre/seine Rolle überzeugend zu spielen.
  • Oft wird über längere Zeit ein Vertrauensverhältnis aufgebaut, indem die Angreiferin/der Angreifer z.B. mehrere Telefonate mit ihrem/seinem Opfer führt und unproblematische Anfragen stellt.
  • Der eigentliche Angriff erfolgt nach diesen Recherchen: Wenn die Opfer die „Kollegin“/den „Kollegen“ oder die „Kundin“/den „Kunden“ gut zu kennen glauben, geht der Social Engineer zu seinem eigentlichen Ziel über – und bittet um den entscheidenden „Gefallen“.

Oft wird der Angriff vom Opfer nicht einmal registriert. Der Social Engineer bleibt unbemerkt und kann die Mitarbeiterin/den Mitarbeiter bei anderer Gelegenheit erneut nach vertraulichen Informationen aushorchen.

Wer besonders gefährdet ist

Social Engineering-Attacken können sich gegen jede Mitarbeiterin/jeden Mitarbeiter richten. Am stärksten gefährdet sind

  • neue Mitarbeiterinnen und Mitarbeiter, die mit den Verhältnissen noch nicht vertraut sind
  • Mitarbeiterinnen und Mitarbeiter mit Kundinnen- bzw. Kundenverkehr, da sie besonders häufig Kontakt mit unternehmensfremden Personen haben. Hier finden sich außerdem häufig mehrere Mitarbeiterinnen und Mitarbeiter mit gleichen Zugriffsrechten, sodass der Social Engineer einen fehlgeschlagenen Angriff an einem anderen Opfer wiederholen kann.

Maßnahmen gegen Social Engineering

Angriffe dieser Art können nie völlig unterbunden werden. Bitte beachten Sie aber folgende Vorsichtsmaßnahmen:

  • Informieren Sie sich über den Wert und Vertraulichkeitsgrad der Informationen, zu denen Sie Zugang haben.
  • Häufig ist Mitarbeiterinnen und Mitarbeitern infolge des dauernden Umgangs mit sensiblen Informationen nicht mehr bewusst, dass diese geheim sind. Auch fehlen oft klare Regelungen der Geschäftsführung. In jedem Unternehmen sollte – am besten in schriftlicher Form – festgelegt sein, welche Informationen vertraulich zu behandeln sind und welche weitergegeben werden dürfen. Sollte dies in Ihrem Unternehmen nicht der Fall sein, regen Sie eine solche Festlegung an oder klären Sie Ihren Bereich zumindest mit Ihren Vorgesetzten.
  • Bestehen Sie bei Anfragen zu vertraulichen oder geheimen Informationen auf schriftliche Form oder persönliche Vorsprache.
  • Geben Sie über anonyme Kanäle (Telefon, E-Mail, Postfächer) grundsätzlich keine vertraulichen Informationen weiter.

Vertrauliche Informationen sind in diesem Fall nicht nur Passwörter, Kontodaten oder ähnliche sensiblen Daten, sondern auch Firmeninterna, wie z.B. Abläufe oder Fachwörter, die einer Angreiferin/einem Angreifer helfen könnten.

Legen Sie im Vorhinein Methoden fest, wie Anfragestellerinnen bzw. Anfragesteller sicher authentifiziert werden können: Reicht z.B. die Kundinnen- bzw. Kundennummer der Gesprächspartnerin bzw. des Gesprächspartners oder ist ein zusätzliches Passwort nötig? So lässt sich Zeitdruck vermeiden, der gern als Hilfsmittel bei Social Engineering-Angriffen eingesetzt wird.  

  • Gibt die Gesprächspartnerin/der Gesprächspartner vor, Mitarbeiterin/Mitarbeiter eines Unternehmens zu sein, sollten Sie bei diesem Unternehmen anfragen, ob diese Mitarbeiterin/dieser Mitarbeiter existiert. Dazu muss aber die Telefonnummer aus öffentlichen Quellen (z.B. amtliches Telefonbuch) abgefragt werden – verwenden Sie nicht jene Telefonnummer, die die Anruferin/der Anrufer angegeben hat.
  • Wenn Sie sich bei einer Anfrage nicht sicher sind oder die Anfragestellerin/der Anfragesteller versucht, Sie unter Druck zu setzen, leiten Sie die Anfrage an die Vorgesetzte/den Vorgesetzten weiter. Einschüchterungsversuche dieser Art gehören zum Standardrepertoire des Social Engineering.

TIPP: Besprechen Sie mit Ihren Kolleginnen und Kollegen auffällige oder unzulässige Anfragen und dokumentieren Sie diese Anfragen – so weiß man, ob die Anruferin/der Anrufer es schon bei anderen Kolleginnen/Kollegen versucht hat. In solchen Gesprächen können auch neue Abwehrmethoden gefunden und ein Gefühl für den Wert der Firmeninformationen entwickelt werden.

> rechtlicher Hinweis

< zurück

Datum der Veröffentlichung: 09.09.2012

Für den Inhalt verantwortlich:
  • Wirtschaftskammer Österreich, Bundessparte Information und Consulting