Social Engineering ist eine Manipulationstechnik, bei der Angreifer psychologische Taktiken nutzen, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder unsichere Handlungen durchzuführen. Im Gegensatz zu technischen Angriffen zielt Social Engineering nicht auf Systeme ab, sondern auf die Schwachstelle des menschlichen Verhaltens. Angreifer nutzen Vertrauen, Autorität, Dringlichkeit oder emotionale Manipulation, um ihre Opfer zu beeinflussen.
Der Angreifer sammelt Informationen über das Ziel: Social Media, LinkedIn, Unternehmenswebsite, öffentliche Verzeichnisse.
Eine glaubwürdige Tarnung wird erstellt: IT-Support, Vorgesetzter, Lieferant oder Behörde – je nach Kontext.
Der Angreifer nimmt Kontakt auf – per E-Mail, Telefon oder persönlich – und spielt die vorbereitete Rolle.
Durch persönliche Details aus der Recherche wirkt der Angreifer glaubwürdig und vertrauenswürdig.
„Ihr Konto wird in 10 Minuten gesperrt!" – Zeitdruck schaltet kritisches Denken aus und erzwingt schnelles Handeln.
Das Opfer gibt Passwort, Zugang oder Geld heraus – ohne zu merken, dass es manipuliert wurde.
Beispiel 1 - Pretexting: Ein Angreifer ruft dich an und gibt sich als dein IT-Support aus.
Er behauptet, dass es ein Sicherheitsproblem mit deinem Konto gibt und fordert dich auf,
dein Passwort durchzugeben, um das System zu "überprüfen".
Beispiel 2 - Baiting: Ein USB-Stick oder eine externe Festplatte mit der Bezeichnung "Gehaltslisten"
wird an öffentlichen Orten hinterlassen. Ein Opfer findet den Stick und steckt ihn in seinen Computer,
wodurch Malware auf dem System installiert wird.
Beispiel 3 - Tailgating/Piggybacking: Ein Angreifer folgt einem Mitarbeiter durch die Sicherheitstür eines Unternehmens,
indem er vorgibt, dieser zu sein oder eine Lieferung zu tragen. So erhält er Zugang zu geschützten Bereichen.
Social Engineering kann zu schwerwiegenden Konsequenzen führen: Diebstahl von Zugangsdaten und vertraulichen Informationen, Installation von Malware oder Ransomware auf Unternehmensgeräten, Unbefugter Zugriff auf sensible Daten und Systeme, Finanzielle Verluste durch betrügerische Transaktionen, Beschädigung des Unternehmensrufs und Verlust von Kundenvertrauen.
1. Sei skeptisch bei unerwarteten Kontakten: Hinterfrage immer Anrufe oder E-Mails,
die nach persönlichen Informationen oder Zugangsdaten fragen. Selbst wenn der Absender seriös wirkt.
2. Verifiziere die Identität: Bei verdächtigen Anrufen, hänge auf und rufe die Nummer direkt an
(nachschauen in offiziellen Verzeichnissen), um die Identität zu bestätigen.
3. Gib niemals Passwörter oder PINs weiter: Kein legitimes Unternehmen wird dich je nach deinem Passwort oder
einer PIN fragen. Diese sind streng vertraulich.
4. Schule dich weiterhin: Bleibe auf dem Laufenden über neue Social Engineering Taktiken und Trends.
Viele Unternehmen bieten Sicherheitsschulungen an.
5. Schütze deine Informationen: Teile persönliche Informationen nicht leichtfertig in sozialen Medien.
Begrenzte Privatsphäre-Einstellungen können helfen, deine Daten zu schützen.
Wähle in jedem Szenario die richtige Reaktion – teste dein Bewusstsein gegen Social Engineering.