Social Engineering: Wie Hacker die „Schwachstelle Mensch“ ausnutzen

Ein Beispiel für Vertrauen in andere Menschen gibt der aus dem Hollywoodfilm „Catch Me If You Can“ bekannte Scheckbetrüger Frank William Abagnale Jr. Auch bei der Methode Social Engineering setzen Hacker gezielt beim schwächsten Glied in der Kette des Datenschutzes, dem Menschen, an. „Social Engineering stellt eine zwischenmenschliche Beeinflussung mit dem Ziel dar, bestimmte Verhaltensweisen bei Personen hervorzurufen und an vertrauliche Informationen zu gelangen. Soll über diese Methode in ein fremdes Computersystem eingedrungen werden, spricht man auch von Social Hacking“, erklärt Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH.

Social Engineering: Langwieriges Datensammeln

Sogenannte Social Engineers spionieren dabei das persönliche Umfeld ihres Opfers aus oder täuschen Identitäten vor, um beispielsweise an geheime Unternehmensinformationen, persönliche Kennwörter oder PIN-Nummern zu gelangen. „Mitarbeiter in Unternehmen werden häufig per E-Mail oder auch telefonisch kontaktiert und über einzelne Informationen ausgefragt. Die Hacker geben sich zum Beispiel als Führungsperson oder auch Techniker aus und verlangen vertrauliche Zugangsdaten. Manchmal behaupten die Betrüger auch, ein Kunde oder Lieferant zu sein und sammeln so über einen längeren Zeitraum – dieses Ausspionieren kann auch ein halbes Jahr dauern – verschiedene Daten“, berichtet Hösel.

Quelle: Hubit DatenschutzQuelle: Hubit Datenschutz

Über öffentlich zugängliche Quellen werden vorab meist kleine Informationsfetzen wie Verfahrensweisen oder Unternehmenshierarchie recherchiert. Diese helfen dem Hacker, Insiderwissen vorzutäuschen, und erleichtern somit die zwischenmenschliche Manipulation.

Vorsicht bei Nutzung von sozialen Netzwerken

Im Privatbereich erfolgt das Social Engineering oft über soziale Medien. Täter stellen meist Bekannten des eigentlichen Opfers Freundschaftsanfragen. Haben Personen einer solchen Anfrage zugestimmt, erhält nun auch die Zielperson eine. Da die Bekannten bereits mit dem Betrüger „befreundet“ sind und sich so eine scheinbar persönliche Verbindung herstellen lässt, stimmt häufig auch die eigentliche Zielperson zu.

„Über Posts, Likes und Fotos sammeln Täter erste Informationen und erfahren etwas über die Persönlichkeit der Zielperson. In Chats können Hacker weitere Informationen erfragen und somit ihre Kenntnisse ergänzen. Manchmal täuschen diese nach einer gewissen Zeit auch einen Notfall vor, um weitere Details zu erfragen, die Menschen im Normalfall nicht preisgeben würden – dies in der Stresssituation jedoch tun“, sagt der Datenschutzbeauftragte.

Weitreichende Bekanntheit erlangte diese Methode vor allem durch den US-Hacker Kevin Mitnick, der durch sein Eindringen in fremde Computer zu einer der meistgesuchtesten Personen der Vereinigten Staaten wurde. In seinem Buch beschreibt er, dass Social Engineering deutlich schneller zu gewünschten Informationen führt als rein technische Methoden.

Social Engineering: Prävention durch Sensibilisierung

Um sich vor dieser Methode zu schützen, gilt es, sich als Privatperson und Mitarbeiter in Unternehmen für Social Engineering zu sensibilisieren, beispielsweise durch Datenschutz-Schulungen. „Generell empfiehlt es sich, E-Mails und Anrufen von unbekannten Personen misstrauisch zu begegnen und im Zweifelsfall niemals sensible Daten weiterzugeben“, rät Hösel.

„Auch Links von scheinbar bekannten Absendern, die jedoch von einer fremden Mailadresse stammen, sollten nicht geöffnet werden. Hacker nutzen immer häufiger bekannte Layouts, beispielsweise von einem Kreditinstitut, die zu einer Login-Seite führen. So sollen Benutzername und Kennwort gestohlen werden. Um die Login-Daten nicht an Betrüger preiszugeben, empfiehlt es sich, wichtige Seiten als Lesezeichen zu speichern und immer diesen Zugang für den Login zu nutzen“, so Hösel weiter.

E-Mails, Anrufe oder SMS, die Gewinne versprechen, sobald man persönliche Daten weitergibt, gilt es zu ignorieren. Schließlich hat kaum jemand etwas zu verschenken. Zuletzt stellt das kritische Überdenken vom Teilen privater Inhalte in den sozialen Medien einen einfachen Schritt zu mehr Sicherheit dar.

Die Hubit Datenschutz GmbH berät Unternehmen unterschiedlichster Branchen bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Gegründet wurde Hubit Datenschutz von dem zertifizierten Datenschutzbeauftragten Haye Hösel. Er arbeitet auch als externer Fachberater für den TÜV Süd im Bereich Datenschutz. Das zwölfköpfige Team setzt sich aus zertifizierten Datenschutzbeauftragten, Juristen und IT-Experten zusammen und entwickelt individuelle Datenschutzkonzepte. (sg)

Lesen Sie auch: Cybersicherheit in der Corona-Krise: 7 Tipps für sichere Remote-Arbeitsplätze