Social Engineering

Unter dem Begriff „Social Engineering“ ist das Erlangen vertraulicher Informationen durch Annäherung an Personen mittels sozialer Kontakte zu verstehen. Als Synonym wird häufig der Begriff „Social Hacking“ verwendet.

Im Prinzip bildeten sich zwei Vorgehensweisen heraus. Beim „Computer-Based Social Engineering“ werden erforderliche Informationen mit technischen Hilfsmitteln beschafft. Dazu zählen manipulierte Internetseiten, Mailanhänge oder Popup-Fenster mit Eingabefeldern. Im Gegensatz dazu werden beim „Human-Based Social Engineering“ die über die soziale Annäherung an Personen beschafft.

Beide haben die Mitarbeiter eines Unternehmens oder auch generell natürliche Personen zum Ziel. Nur Mitarbeiter und Anwender, die für Social Engineering sensibilisiert sind und über ein hohes Maß an Sicherheitsbewusstsein verfügen, können Angriffe frühzeitig erkennen, sich wehren und andere Kollegen oder die Geschäftsleitung warnen.

Beliebte Zielobjekte von Social Engineers sind:

  • – Telefonlisten/ Mitarbeiterlisten
  • – Organigramme und Hierarchiestrukturen
  • – Dienstleister und Zulieferer
  • – Raumpläne
  • – Dienst- und Schichtpläne
  • – Memos und Briefe
  • – Netzpläne, Computernamen, Netzwerkadressen
  • – Funktionsweise von Zugangskontrollsystemen
  • – Prozessbeschreibungen besonders aus dem Bereich IT-Support
  • –  Arbeitsanweisungen und Policies
  • – Entsorgung von Datenträgern

Bei der Vorbereitung eines Angriffs besorgt sich der Social Engineer im Vorfeld so viele Informationen über das Zielunternehmen wie nur irgend möglich. Je mehr er gesammelt hat, desto höher sind die Aussichten auf Erfolg. Die Informationsbeschaffung ist der wichtigste Schritt bei einem Social-Engineering-Angriff.

Die unterschiedlichen Angriffsformen führen dazu, dass der Social Engineer sein Opfer einschüchtert, an dessen soziale Kompetenz appelliert, Mitleid erregt, augenscheinlich firmeninternes Wissen präsentiert oder – insbesondere unterstützt durch technische Maßnahmen mangelndes Sicherheitsbewusstsein bzw. Fachkenntnis von Anwendern ausnutzt.

In großen Firmen fällt es dem Social Engineer in der Regel leichter, ein passendes Opfer zu finden als bei einem kleinen Unternehmen mit geringer Personalfluktuation, in dem sich alle Mitarbeiter untereinander kennen.

Um schneller ihr Ziel zu erreichen, kombinieren Social Engineers ihre Methoden mit technischen Angriffsvarianten. Phishing-Mails, Popup-Fenster, Hoaxes, präparierte Webseiten oder Mailanhänge dienen allesamt als flankierende Maßnahmen bei der Durchführung von Angriffen.

Social Engineering kann also durchaus als interdisziplinäre Angriffsform gesehen werden. Kombiniert mit dem Können eines Social Engineers sind die technischen Unterstützungsmaßnahmen meist am effektivsten, da diese sehr gezielt zum Einsatz kommen.

Ein wichtiger Baustein bei der Abwehr von Social Engineering Angriffen ist die Überprüfung der aktuellen Sicherheitslage.

Wie auch bei klassischen Security-Technologien denken sich Social Engineers immer wieder neue Techniken und Tricks aus. Deshalb ist es wichtig, dass Sie und Ihre Mitarbeiter das Wissen um diese Tricks und Vorgehensweisen ständig aktualisieren.

Wenn Sie hier an Ihre Grenzen stoßen, sollten Sie sich auf professionelle Hilfe verlassen, denn so speziell wie das Thema ist auch das Know-how, welches man benötigt, um das Sicherheitsbewusstsein seiner Mitarbeiter zu schärfen.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s