Social Engineering
Social Engineering zielt darauf ab, Beschäftigte gezielt anzusprechen, um an Informationen und Daten zu gelangen. Im Gegensatz zu den technischen Mitteln von Cyberbetrug (Schadsoftware, Überwinden von Sicherheitsmechanismen und Ausnutzen von technischen Sicherheitslücken) ist für die Angreifer hier also der Mensch das „Eingangstor“.
Kriminelle analysieren (oft unter Zuhilfenahme von Datensammlungen) die Verhaltensweisen von Mitarbeitern, deren persönliche Beziehungen, ihr Persönlichkeitsprofil und erkennen dadurch Schwachstellen, die sie zum Erreichen ihres Ziels verwenden können. Auch über persönlichen Kontakt, etwa vermeintlich „zufällige“ Begegnungen am Bahnhof oder Flughafen und ein hierbei geschickt geführtes Gespräch, werden Informationen über das Unternehmen, bei dem das Opfer angestellt ist, erlangt. Je mehr Insiderwissen ein Angreifer hat, desto ausgeklügelter kann dieser eine Attacke auf die IT-Infrastruktur der Organisation planen.
- Beispiel 1: Ein Angreifer sammelt kompromittierendes Material über Beschäftigte einer Firma, um diese anzuschließend zu erpressen. Falls keine Zahlung erfolgt, droht der Erpresser damit, das Material an die*den Vorgesetzte*n weiterzuleiten.
- Beispiel 2: Ein Angreifer gibt sich als Mitarbeiter eines IT-Dienstleisters aus und bietet seinen Opfern Hilfestellung bei der Bearbeitung von bestimmten Aufgaben oder Problemen im Gegenzug zur Bereitstellung von Unternehmensinformationen an.
- Beispiel 3: Der Betrüger gibt sich als Mitarbeiter einer anderen Uni aus, welche bald ein Buchhaltungs-Programm einführen möchte, das an der Uni Vechta bereits im Einsatz ist. Er würde gerne mit Ihnen über Ihre Erfahrungen mit dem Programm sprechen. Gerne helfen Sie Ihrem Kollegen und berichten ausführlich über alles, was er wissen möchte. Durch geschickte Nachfragen gelangt der Angreifer aber an sensible Informationen zu betrieblichen Abläufen, die er später zu seinem Vorteil nutzen wird.
Schützen Sie sich vor Social Engineering, indem Sie folgende Hinweise beachten:
- Geben Sie Fremden gegenüber keine internen Details über Ihre Arbeit bekannt.
- Seien Sie vorsichtig bei der Wahl Ihrer Gesprächspartner – insbesondere bei denjenigen, die neugierig gegenüber Details über Ihre Arbeitsstelle sind.
- Lassen Sie sich nicht unter Druck setzen.
- Überprüfen Sie ggf. die Identität von Anrufern oder Mailabsendern.
- Informieren Sie Vorgesetzte über mögliche Versuche des Social Engineering.