Netzlexikon S wie Social Engineering
Hacker suchen stets die Schwachstelle in einem System. Beim Social Engineering ist es der Mensch, der als schwächstes Glied manipuliert wird, um an sensible Daten heranzukommen. Aber man kann sich gegen diese Attacken schützen.
Was ist Social Engineering?
Social Engineering ist eine Technik, die man auch als soziale Manipulation oder als soziales Hacken bezeichnet. Gewiefte Hacker, die Social Engineering betreiben, wollen gezielt das Vertrauen einer bestimmten Person erschleichen. Denn mit dem Vertrauen eines Opfers kommt man als Hacker in vielen Fällen leichter und schneller an vertrauliche Daten heran, als aufwändig Firewalls zu bezwingen oder Passwörter zu knacken. Bei Experten für Computersicherheit gibt es einen Spruch: "Das größte Sicherheitsrisiko in der IT ist der Mensch." Genau darauf setzen Social Engineers und haben damit auch oft Erfolg.
Wie funktioniert Social Engineering genau?
Die Hacker suchen sich gezielt ein Opfer aus, etwa den Admin einer Firma oder einen Bankangestellten, der Zugriff auf wichtige Konten hat. Das Opfer wird zuallererst genau unter die Lupe genommen. Alle Daten, die frei im Netz zu finden sind, werden gesammelt und ausgewertet. Aber auch andere Informationen spielen eine Rolle: In welcher Abteilung arbeitet die Person genau, wie heißen die Kollegen, was tut sich gerade am Arbeitsplatz des Opfers, welche Abkürzungen werden dort verwendet?
Erst wenn ein umfassendes Profil erstellt ist, schlagen Social Engineers zu. Am liebsten mit Hilfe eines Telefons. Bei einem Gespräch wird das Opfer derart getäuscht, dass es meint, mit einem Kollgen aus der Firmenzentrale, einem IT-Techniker oder der Vorzimmerdame von der Chefetage zu telefonieren. Bei diesem Gespräch geht es dann irgendwann darum, dass das Opfer gebeten wird, sensible Daten preiszugeben, etwa sein Systempasswort. Eine fiese Masche, die natürlich auch mit gut gemachten Phishing-Mails oder verseuchten Fake-Websites funktioniert. Social Engineers beherrschen die Macht der Täuschung so perfekt, dass selbst Angestellte mit dem besten Sicherheitstraining schwach werden können. Die Opfer von Social Engineering geben dem Dieb quasi freiwillig den Schlüssel für den Einbruch in ihr Haus.
Wie kann man sich gegen Social Engineering schützen?
Indem man immer misstrauisch bleibt. In der Regel ist das aber leichter gesagt als getan. Denn im Alltag hat man nicht immer den Nerv, jeden unbekannten Anrufer zu bitten, sich genau zu identifizieren, oder Mails und Links in aller Ruhe zu überprüfen. Als Faustregel gilt: Niemals ein Passwort am Telefon durchgeben oder sonst wie übertragen. Außerdem nie auf Mail-Anhänge oder Links klicken, bei denen man sich unsicher ist - auch wenn sie noch so verführerisch daher kommen. Wer außerdem seine Privatsphären-Einstellungen bei sozialen Netzwerken streng konfiguriert und darauf achtet, dass keine Unbekannten mitlesen können, ist klar im Vorteil.