Seiteninhalt
09.12.2019

Alles Wichtige auf einen Blick

BSI warnt vor Social-Engineering-Angriffen

Beim Social-Engineering erschleichen sich Angreifer das Vertrauen der Opfer, indem sie eine falsche Identität vortäuschen. Die Opfer übergeben den vermeintlichen Kunden oder Vorgesetzten im guten Glauben vertrauliche Daten oder den Zugang zu besagten Daten. Rein technische Sicherheitsmaßnahmen reichen in diesen Fällen nicht aus, um die Mitarbeiter und Kunden vor potentiellem Datenmissbrauch zu schützen. Stattdessen müssen die Opfer die psychologischen Tricks der Angreifer kennen, um sich gegen ihre Maschen zu behaupten. Diese Informationen vermittelt das Kommunale Rechenzentrum Minden-Ravensberg/Lippe (krz) all seinen Mitarbeitern durch Pflichtschulungen zum Datenschutz und zur Informationssicherheit im Rahmen der BSI-Zertifizierung.

Die gängigste Erscheinungsform des Social-Engineering sind Phishing Mails, angebliche E-Mails vom eigenen Systemadministrator, der alle Passwörter zurücksetzen muss, oder die Word-Datei mit den aktuellen Kontoauszügen der eigenen Bank, hinter der sich ein Trojaner verbirgt. Dabei zielen die Angreifer darauf ab die Empfänger durch angekündigten Zeitdruck, den angedrohten Verlust ihrer Daten, oder gefälschte Embleme von offiziellen Vertrauensorganisationen wie Banken oder Onlineanbietern zu schnellem und unbedachtem Handeln zu verleiten.

Zu diesem Zweck werden menschliche Eigenschaften statt technischer Schwächen ausgenutzt:

Die Methoden „Herdentrieb“ und „Zeitdruck“ wollen dem Empfänger einreden, dass bspw. alle anderen Mitarbeiter fristgerecht ihr Passwort geändert haben und das Opfer dies nun auch tun muss, bevor die Frist abläuft.

Mit Methoden bei denen auf die angebliche „Autorität“ des Senders und das „Pflichtbewusstsein“ des Empfängers gesetzt werden, enthält das Opfer bspw. eine angebliche Aufforderung von seiner Bank, als guter Bürger eine gescheiterte Überweisung zu wiederholen und dafür gefälschte Empfangsdaten zu verwenden.

Bei der radikaleren Methode der „Drohung“ hat der Social-Engineer angeblich sensible, private Daten erbeutet und droht diese zu löschen oder zu veröffentlichen, wenn das Opfer sich weigert seinen Aufforderungen nachzukommen.

Bei der Aufklärung von Mitarbeiterinnen und Mitarbeitern über die Methoden der Datendiebe ist es wichtig, sie dafür zu sensibilisieren, dass digitale Identitäten, unabhängig vom Kommunikationskanal, gefälscht sein können, sofern die Identität nicht durch technische Zusatzmaßnahmen kontrolliert wird. Social-Engineering funktioniert nicht nur über E-Mails und Webseiten, sondern auch über das Telefon, Chat-Dienste oder die klassische Briefpost. Angreifer können Mitarbeiterinnen und Mitarbeiter also sogar am Telefon oder im persönlichen Gespräch dazu verleiten vertrauliche Daten preiszugeben.

Durch eine aufklärende Sensibilisierung der Mitarbeiterinnen und Mitarbeiter, in Kombination mit Anti-Phishing-Filtern für Webbrowser und E-Mail-Clients sowie Online-Scanner die Links vor dem Gebrauch überprüfen, kann die Sicherheitslücke „Mensch“ jedoch stark minimiert werden.

Quelle: https://www.datenschutz-praxis.de/fachartikel/social-engineering-wie-nutzer-selbst-gehackt-werden/