10 Tipps zum Schutz vor Social Engineering

WAS IST Social Engineering?

Social Engineering (Soziale Manipulation) ist eine Vorgehensweise, bei der es darum geht, die Hilfsbereitschaft, Gutgläubigkeit oder Unsicherheit von Personen auszunutzen, um an vertrauliche Informationen zu gelangen oder die Opfer zu einer bestimmten Handlung zu bewegen. Zum Beispiel die Verbreitung von Malware-Infektionen, die Gewährung von Zugang zu eingeschränkten Systemen oder sogar CEO-Betrug.

Wie gehen Social Engineers vor?

Die Gefahr von Social Engineering ist im privaten wie auch im geschäftlichen Bereich vorhanden. Besonders attraktiv sind Mitarbeitende von Firmen, um Informationen über die Firma zu erhalten und so durch Erpressung oder Betrug, Geld oder Daten zu erschleichen.

• Ein Angreifer kann zum Beispiel mittels Social Engineering versuchen, an Ihren Benutzernamen und Ihr Passwort zu gelangen, indem er sich am Telefon als Systemadministrator oder Sicherheitsspezialist ausgibt.
• Jeder Social Engineering Angriff beginnt mit umfangreicher Recherchearbeit. Je besser der Angreifer sein Opfer kennt und je mehr Informationen er über eine Firma im Vorfeld sammelt, desto erfolgreicher kann er einzelne Mitarbeitende später manipulieren.
• Wichtige Quellen sind in diesem Zusammenhang z.B. Jahresberichte, Marketingbroschüren oder Zeitungsartikel. Noch einfacher lassen sich Informationen im Internet finden, insbesondere in sozialen Netzwerken wie z.B. Facebook oder LinkedIn.
  

8 GÄNGIGE ARTEN VON SOCIAL-ENGINEERING-ANGRIFFEN

Einer der ersten Schritte zur Verhinderung von Social-Engineering-Angriffen besteht darin, zu wissen, womit Sie oder Ihr Unternehmen es zu tun haben. Hier sind die 8 gängigsten Angriffe. 

• Phishing Attack, 
• Baiting,
• Quid pro quo,
• Pretexting, 
• Tailgating,
• DNS spoofing.

10 Tipps zur Vermeidung von Social Engineering Attacken

Es gibt Methoden, wie Sie Ihr Unternehmen und sich selbst vor Social Engineering Angriffen schützen können.

TIPP 1: SICH NICHT UNTER DRUCK SETZEN LASSEN. SICHERHEIT IST WICHTIGER ALS HÖFLICH ZU SEIN.

Social Engineers sind normalerweise sehr freundlich und kontaktfreudig. Durch Vortäuschen von Firmenkenntnissen (Name des Vorgesetzten, Prozesse usw.) bearbeiten sie das Opfer so lange, bis es die gesuchte Information preisgibt.

TIPP 2: SICH NICHT ÜBERREDEN LASSEN

Lassen Sie sich nicht dazu überreden, eine bestimmte Webseite zu besuchen oder eine bestimmte Software zu installieren. Die Webseite und die Software könnten mit Malware infiziert sein.

TIPP 3: UMGANG MIT ZWEIFELHAFTEN ANFRAGEN

Stellen Sie bei zweifelhaften Anfragen immer die Identität und Berechtigung des Fragenden sicher. Erkundigen Sie sich nach dem Grund für die Anfrage. Sprechen Sie im Zweifelsfall mit Ihrem Vorgesetzten oder der Person, über die Sie Auskunft erteilen sollen. Und fragen Sie nach, ob Ihnen der Absender bekannt ist.

TIPP 4: WEITERGABE VON INFORMATIONEN

Geben Sie NIE interne oder vertrauliche Informationen (Kunden- und Mitarbeiterdaten, Projektinformationen etc.) weiter. Weder am Telefon noch per E-Mail oder Briefpost.

TIPP 5: KONTAKTAUFNAHME VON „DIENSTLEISTUNGSANBIETERN“

Kein seriöser Dienstleistungsanbieter wird je nach einem Passwort und Zugangsdaten fragen. Auch nicht Systemadministratoren oder Sicherheitsspezialisten.

TIPP 6: VORSICHT AM TELEFON UND MIT E-MAILS

Versucht ein Social Engineer via Anruf an Informationen zu gelangen, nennt man dies „Phishing-Anrufe“. Angreifer geben sich hier als vertrauenswürdige Quelle aus. Mit sogenannten Phishing-E-Mails versuchen Betrüger, Informationen ihrer Opfer zu erlangen. Achten Sie daher auf folgende Merkmale, um eine Phishing-E-Mail erkennen zu können:

1. Merkwürdiger Absender,
2. Unübliche / Dubiose Mailanhänge,
3. Unpersönliche Ansprache.
   
   

TIPP 7: VORSICHT IN SOZIALEN MEDIEN

Social Engineering kann auch über die sozialen Medien erfolgen. Zum Beispiel werden private Nachrichten mit Links auf verseuchte Webseiten versendet oder Posts mit Links auf solche Seiten gepostet. Je mehr private Daten ein Mitarbeiter über sich veröffentlicht, desto leichter wird es auch Informationen über Ihn oder ein Unternehmen zu sammeln. Achten Sie also auf das, was Sie im Internet hinterlassen (wollen) und passen Sie gegebenenfalls Ihre Einstellungen zur Privatsphäre an.

TIPP 8: VORSICHT MIT MOBILEN DATENTRÄGERN

Kennen Sie noch USB-Sticks oder externe Laufwerke? Diese sind nicht mehr so oft in Gebrauch, dennoch stellen sie realistische Gefahrenquellen dar. Malware kann auch über mobile Datenträger verbreitet werden. Dieser Vorgang wird als Baiting bezeichnet.

TIPP 9: PASSWÖRTER UND UPDATES

Achten Sie auf sichere abwechslungsreiche Passwörter und aktualisieren Sie diese hin und wieder. Es hilft auch, Ihre Systeme regelmäßig zu aktualisieren und auf dem neuesten Stand zu halten, um Sicherheitslücken zu vermeiden.

TIPP 10: VORSICHT BEI PERSÖNLICHER KONTAKTAUFNAHME

Die wohl extremste Art des Social Engineerings ist das persönlich in Kontakt treten mit dem Opfer. Kann ein Social Engineer über die anderen Kanäle seine Zielperson nicht erreichen, kann es sein, dass persönlich Kontakt aufgenommen wird.

Sicheres Verhalten ist lernbar

Social Engineering ist eine ständige Bedrohung, der sowohl Privatpersonen als auch Unternehmen ausgesetzt sind. In einem ansonsten gut geschützten Sicherheitsnetzwerk wird beim Social Engineering der Mensch als schwächstes Glied der Sicherheitskette als Opfer ausgemacht. 

Unternehmen können durch die Schulung und Sensibilisierung der Mitarbeiter, verbunden mit entsprechenden IT-Sicherheitsvorkehrungen, die Gefährdung durch Social Engineering geringhalten.