Die neue vernetzte Welt hat uns viele Vorteile und Annehmlichkeiten gebracht, birgt aber auch Gefahren. Eine davon ist das Social Engineering, bei dem Hacker versuchen, mithilfe deiner privaten Informationen von sozialen Netzwerken dein Passwort zu erbeuten oder Schadsoftware einzuschleusen. Wir erklären dir in diesem Artikel, wie genau Social Engineering funktioniert und wie du dich davor schützen kannst. Das ist nicht nur für dich als Privatperson sehr wichtig, sondern auch für das Unternehmen, bei dem du angestellt bist.
Was ist Social Engineering und wie hat es sich entwickelt?
Viele von uns erinnern sich sicherlich noch an die ersten Versuche von Hackern, an unsere Passwörter und Informationen zu kommen. Dabei handelte es sich meistens um seltsam formulierte E-Mails mit der Bitte auf einen Link zu klicken, um dort dann Nutzernamen und Passwort einzugeben. Oft hieß es, man hätte etwas gewonnen oder das Passwort sollte geändert werden, und die eingegebenen Infos landeten dann direkt bei den Hackern.
Doch heutzutage sind die meisten bereits auf diese Art von Mails oder Scam vorbereitet. Aber was ist, wenn die E-Mail von einem „Bekannten” kommt? Plötzlich steigt die Wahrscheinlichkeit, auf den Link zu klicken, rapide an – schließlich kennt man den Absender. Man vertraut darauf, dass die bekannte Person einem nichts Böses will und Hacker wollen genau diese Schwachstelle gnadenlos ausnutzen. Denn Cyber-Kriminelle bedienen beim Social Engineering zunehmend den privaten Informationen einer Person, mit der sie dann manipulieren.
Welche Art von Angriffen gibt es?
Beliebte Angriffe mithilfe von Social Engineering umfassen zum Beispiel:
- Phishing: E-Mail mit einem Link zu einer gefälschten Seite, auf der man seine Daten eingibt. Die greift der Hacker dann ab und nutzt sie selbst für den Zugang auf der richtigen Seite (z. B. PayPal).
- Ransomware: E-Mail mit einem Anhang, den man öffnen soll, doch die Ransomware verschlüsselt und sperrt den Computer. Der Hacker möchte dann Geld für die Entsperrung.
- Impersonation: Der Cyber-Kriminelle gibt sich als Freund oder Verwandter aus, der in Notlage ist und dringend Geld braucht, z. B. weil er im Ausland ist und die Geldbörse verloren hat.
- CEO-Fraud: Der Hacker gibt sich als CEO der Firma aus und will Mitarbeiter unter Druck setzen, möglichst schnell viel Geld zu überweisen. Die Mitarbeiter sind dadurch leicht einzuschüchtern.
Diese Angriffe gibt es zwar schon seit der Entstehung des Internets. Doch mithilfe sozialer Netzwerke nehmen sie jetzt viel persönlichere Formen an und sind somit wesentlich gefährlicher als je zuvor.
Wie nutzen Cyber-Kriminelle Social Engineering aus?
Die gelisteten Angriffe funktionieren wesentlich besser, wenn sie private Informationen enthalten, die der Person vorgaukeln, es handele sich um einen Bekannten. Genau das nutzen die Hacker gnadenlos aus, indem sie auf sozialen Medien und im Internet gezielt nach Informationen suchen. Danach lässt sich ganz einfach eine ‘vertrauenswürdige’ E-Mail-Adresse erstellen, die schadhafte Links oder Anhänge enthält, z. B. mit dem Namen eines Freundes, den man auf Facebook findet.
Auf LinkedIn oder Xing hingegen findet ein Hacker relativ schnell den IT-Administrator oder sogar den CEO einer Firma. Hier gibt so ziemlich jeder den richtigen Jobtitel an – sonst kann man ja gar nicht vernünftig netzwerken. Kennt der Täter jedoch erst mal den Namen, kann er gezielt Angriffe auf Mitarbeiter starten, um sie so zur Herausgabe von Zugangsdaten zu bewegen. Vorwände lassen sich viele finden: Das System muss beispielsweise gewartet werden oder weil es einen Hacker-Angriff gab.
Genau das macht das Social Engineering heute auch so gefährlich. Die Täter nutzen zunehmend persönliche Beziehungen und Gefühle aus, um so Menschen gezielt zu manipulieren. Während bei den klassischen Phishing-Angriffen eine gesunde Skepsis bereits gereicht hat, findet man sich bei Angriffen durch ‘Bekannte’ fast in einem moralischen Dilemma wieder. Was ist, wenn es wirklich der Freund oder sogar die Chefin ist, die gerade Hilfe braucht?
So kannst du dich vor Angriffen schützen
Um sich vor Social Engineering und Angriffen zu schützen, sollte man einige Grundregeln beachten. Eine davon ist es, so wenige Informationen wie nötig auf sozialen Netzwerken preiszugeben. Viele Netzwerke erlauben es einem auch einzustellen, dass nur eigene Kontakte die privaten Informationen einsehen können. Kontaktanfragen sollten dann nicht blind bestätigt werden.
Man sollte auch niemals Zugangsdaten und Passwörter über E-Mail oder Telefon teilen. Kein seriöses Unternehmen fragt seine Kunden oder Mitarbeiter nach deren Zugangsdaten, sondern verweist immer auf den Login auf der Website. Sollte ein Link in einer dubiosen Mail erscheinen, dann gib lieber die Webseite selbst in der Adressleiste des Browsers ein oder folge einem Lesezeichen, das du zuvor gesetzt hast. Damit kannst du sichergehen, im Zweifelsfall nicht deine Daten auf einer gefälschten Webseite einzugeben.
Nutze unterschiedliche Passwörter auf verschiedenen Seiten und 2-Faktor-Authentifizierung. Viele Dienste rund um Bezahlung bieten 2-Faktor-Authentifizierung an, die es Hackern fast schon unmöglich macht, das Konto zu leeren. Selbst, wenn sie die Zugangsdaten erbeuten. Eine starke IT-Sicherheitssoftware kann zudem noch generell gegen Schadsoftware helfen.
Und zuletzt sollte man im Zweifel auch immer den Bekannten auf einem anderen Kanal kontaktieren, ehe man auf die Anfrage eingeht. Bekommt man eine E-Mail, die einem seltsam vorkommt, dann vergewissere dich einfach beim Absender persönlich, ob diese E-Mail auch wirklich von ihm oder ihr kam.
Fazit: Sei auf der Hut vor Social-Engineering-Angriffen
Social Engineering wird in Zukunft weiterhin eine große Rolle im Bereich Cyber-Kriminalität spielen. Denn Informationen finden sich dank der Beliebtheit von sozialen Netzwerken immer einfacher. So lassen sich schnell falsche Identitäten vortäuschen, um an Zugangsdaten und Geld zu gelangen.
Deswegen solltest du stets mit einer gesunden Skepsis unterwegs sein, besonders wenn jemand dich nach deinen Daten oder sogar Geld fragt. Folge am besten unseren Tipps und gehe auf Nummer sicher.
Du hast Lust, die Zukunft der IT Security aktiv mitzugestalten und die Digitalisierung in Deutschland voranzutreiben? Dann ist ein Job bei uns mit Sicherheit das Richtige für dich! Schau’ dich gerne mal bei unseren Stellenangeboten um oder melde dich zum digitalen IT-Praktikum an!