Was ist Social Engineering?

Mit Social Engineering machen sich Cyberkriminelle die menschliche Psychologie zunutze. Das sollten Sie zum Thema wissen.
Von  und
CSO | 15. November 2021 08:00 Uhr
Mit Social-Engineering-Techniken manipulieren Cyberkriminelle die menschliche Psyche. Lesen Sie, wie das funktioniert und wie Sie sich schützen können.
Mit Social-Engineering-Techniken manipulieren Cyberkriminelle die menschliche Psyche. Lesen Sie, wie das funktioniert und wie Sie sich schützen können.
Foto: sp3n - shutterstock.com

Selbst wenn Sie bei der Absicherung Ihres Rechenzentrums, Ihrer Cloud-Implementierungen und der physischen Sicherheit Ihres Firmengebäudes alle Register ziehen - mit Hilfe von Social Engineering finden gewiefte Cyberkriminelle meistens einen Weg, diese Maßnahmen zu umgehen.

Social Engineering - Definition

Social Engineering bezeichnet die "Kunst", menschliche Schwächen auszunutzen, um sich Zugang zu Gebäuden, Systemen oder Daten zu verschaffen. Anstatt zu versuchen, eine Software-Schwachstelle zu finden und auszunutzen, wird ein Social Engineer beispielsweise einen Mitarbeiter anrufen und sich als IT-Support-Angestellter ausgeben, um ihn zur Herausgabe seines Passworts zu bewegen.

Der bekannte Hacker Kevin Mitnick hat den Begriff Social Engineering in den 1990er Jahren entscheidend mitgeprägt. Die Grundidee, sich menschliches Verhalten zunutze zu machen und die Techniken dahinter, gibt es allerdings schon so lange, wie es Betrüger gibt.

Social Engineering - Techniken

Social Engineering hat sich für Cyberkriminelle als besonders erfolgreich erwiesen, wenn es darum geht in Unternehmen einzudringen. Sobald ein Angreifer das Passwort eines vertrauenswürdigen Mitarbeiters erbeutet hat, kann er sich damit einloggen und sensible Daten auslesen. Mit einer Zugangskarte oder einem Code, der physischen Zugang gewährt, können Cyberkriminelle sogar noch größeren Schaden anrichten.

Im Artikel "Social Engineering: Anatomy of a Hack" beschreibt ein Penetrationtester, wie er aktuelle Ereignisse, öffentlich verfügbare Informationen aus sozialen Netzwerken und ein Hemd mit Cisco-Logo aus einem Second-Hand-Laden dazu nutzte, illegal in ein Unternehmen einzudringen. Das vier Dollar teure Gebrauchthemd half ihm, die Rezeptionisten und andere Mitarbeiter davon zu überzeugen, dass er im Auftrag von Cisco technischen Support leisten müsste. Einmal eingedrungen, war es für ihn ein Leichtes, auch anderen Teammitgliedern Zutritt zu verschaffen. Darüber hinaus gelang es dem Ethical Hacker, mehrere mit Malware verseuchte USB-Sticks in den Räumen zu platzieren und sich in das Unternehmensnetzwerk zu hacken. All das lief vor den Augen der Mitarbeiter ab.

Um einen erfolgreichen Social-Engineering-Angriff zu fahren, müssen Sie nicht unbedingt zuerst in einen Second-Hand-Laden gehen, diese Angriffe funktionieren ebenso gut per E-Mail, Telefon oder über soziale Netzwerke. Allen Angriffsarten ist dabei gemein, dass sie menschliche Eigenschaften zu ihrem Vorteil nutzen - beispielsweise Gier, Angst, Neugier oder auch das Bedürfnis, anderen zu helfen.

Social Engineering - Beispiele

Cyberkriminelle nehmen sich oft Wochen oder Monate Zeit, um ein Ziel auszukundschaften, bevor Sie einen Besuch oder einen Anruf tätigen. Zu den Vorbereitungen kann beispielsweise gehören, eine Telefonliste oder ein Organigramm des Unternehmens zu finden und die Mitarbeiter über soziale Netzwerke zu recherchieren.

  • Am Telefon: Ein Social Engineer könnte anrufen und vorgeben, ein Mitarbeiter oder eine vertrauenswürdige externe Autorität zu sein (zum Beispiel ein Strafverfolgungsbeamter oder ein Wirtschaftsprüfer).

  • Im Büro: "Können Sie mir die Tür aufhalten? Ich habe meinen Schlüssel/ meine Zugangskarte vergessen." Diesen Satz haben Sie sicher auch schon einmal so vernommen. Auch wenn die fragende Person nicht verdächtig erscheinen mag - das ist eine beliebte Taktik beim Social Engineering.

  • Online: Soziale Netzwerke erleichtern es, Social-Engineering-Angriffe zu fahren. Über Plattformen wie LinkedIn lassen sich schnell und einfach die meisten Mitarbeiter eines Unternehmens finden. Oft kommen noch viele andere Informationen dazu, die unter Umständen für weitere Angriffe nützlich sein können.

Beim Social Engineering werden regelmäßig auch aktuelle Ereignisse, Feiertage oder auch Popkultur-Phänomene dazu eingesetzt, Opfer in die Falle zu locken. Dabei passen die Cyberkriminellen ihre Phishing-Angriffe so an, dass sie auf bestimmte Interessen (Musik, Sport, Politik, etc.) abzielen. Das erhöht die Chance, dass die mit Malware verseuchten Anhänge angeklickt werden.

Um ein Gefühl dafür zu bekommen, auf welche Social-Engineering-Taktiken Sie besonders achten sollten, empfiehlt sich ein Blick auf erfolgreiche Angriffe der Vergangenheit. Hierbei konzentrieren wir uns auf drei spezifische Social-Engineering-Techniken, die für Cyberkriminelle besonders einträglich waren:

Etwas anbieten

Jeder Trickbetrüger weiß: Am einfachsten ist es, aus der menschlichen Gier Profit zu schlagen. Das bildet die Grundlage des klassischen nigerianischen 419-Scams: Hierbei gaukeln Betrüger ihren Opfern vor, sie müssten hohe, unrechtmäßig erworbene Geldsummen aus dem eigenen Land zu einer sicheren Bank im Ausland transferieren. Dazu bräuchten sie Unterstützung: Gegen die Zahlung vermeintlicher Provisions-, Verwaltungs- oder Versicherungsgebühren könnten die Opfer einen Gutteil des oft millionenschweren Geldbetrags abbekommen, so dass betrügerische Versprechen.

Angriffe dieser Art sind seit Jahrzehnten bekannt und eigentlich eine Lachnummer, aber nichtsdestotrotz immer noch eine effektive Social-Engineering-Technik, auf die Menschen hereinfallen: Im Jahr 2007 überwies der Schatzmeister eines dünn besiedelten Bezirks im US-Bundesstaat Michigan einem solchen Betrüger 1,2 Millionen Dollar an öffentlichen Geldern - in der Hoffnung abkassieren zu können.

Ein weiterer gängiger Köder ist die Aussicht auf einen neuen, besseren Job: Im Rahmen einer äußerst peinlichen Kompromittierung traf es im Jahr 2011 das Sicherheitsunternehmen RSA auf diese Weise. Mindestens zwei Mitarbeiter öffneten eine Malware-verseuchte Datei, die an eine Phishing-E-Mail angehängt war. Der Dateiname: "2011 recruitment plan.xls".

Fake it till you make it

Eine der simpelsten - und überraschenderweise auch erfolgreichsten - Social-Engineering-Techniken besteht darin, sich als ratlosen Mitarbeiter auszugeben. Bei einem seiner legendären frühen Betrugsversuche verschaffte sich Kevin Mitnick Zugang zu den Betriebssystem-Entwicklungsservern der Digital Equipment Corporation. Sein Vorgehen: Er rief bei DEC an, gab sich als leitender Entwickler aus und behauptete, er habe Probleme mit dem Login. Er wurde postwendend mit neuen Logindaten versorgt. Das spielte sich schon 1979 ab - man sollte also meinen, die Dinge hätten sich seitdem verbessert. Das ist allerdings nicht der Fall: Im Jahr 2016 erlangte ein Hacker die Kontrolle über ein E-Mail-Konto des US-Justizministeriums und nutzte es, um sich wie seinerzeit Mitnick Zugangsdaten zu verschaffen.

Zwar haben viele Organisationen Barrieren aufgebaut, die diese Art des dreisten Betrugs verhindern sollen, aber oft ist es nicht besonders schwer, sie zu umgehen. Als Hewlett-Packard (HP) im Jahr 2005 Privatdetektive damit beauftragte herauszufinden, welche Vorstandsmitglieder Informationen an die Presse durchstachen, versorgte das Unternehmen die Schnüffler mit den letzten vier Ziffern der Sozialversicherungsnummer ihrer Zielpersonen. Diese Daten akzeptierte der technische Support von HPs TK-Provider AT&T als Identitätsnachweis und händigte den Detektiven detaillierte Anrufprotokolle aus.

Autorität spielen

Viele Menschen sind daran gewöhnt, Autoritäten zu respektieren. Das wissen auch Cyberkriminelle. Sie spielen sich als Vorgesetzte oder Führungskräfte aus, um an ihr Ziel zu gelangen. So überwiesen im Jahr 2015 Finanzmitarbeiter von Ubiquiti Networks Firmengelder in Millionenhöhe an Social-Engineering-Betrüger, die sich als Führungskräfte des Unternehmens ausgegeben und ihre Glaubwürdigkeit mit gefälschten E-Mail-Absendern unterstrichen hatten.

Ein anderes Beispiel: Zur Jahrtausendwende gehörte es für (manche) britische Boulevard-Journalisten zum guten Ton, sich Zugang zu den Voicemail-Konten von für sie interessanten Personen zu verschaffen. So überzeugte ein Journalist den TK-Anbieter Vodafone davon, die Voicemail-PIN der Schauspielerin Sienna Miller zurückzusetzen, indem er dort anrief und sich als "Kollege John aus der Credit-Control-Abteilung" ausgab.

Ein weiteres prominentes Beispiel ist John Podesta, Hillary Clintons ehemaliger Wahlkampfleiter, der 2016 von russischen Spionen gehackt wurde. Die Cyberkriminellen hatten ihm im Vorfeld eine Phishing-E-Mail zugestellt, die als Nachricht von Google getarnt war und eine Aufforderung enthielt, sein Passwort zurückzusetzen. Statt sein Konto zu schützen, gab er damit seine Anmeldedaten preis.

Social Engineering - Attacken & Trends 2021

Die aktuelle ISACA-Studie "State of Security 2021, Part 2" (eine weltweite Umfrage unter knapp 3.700 Cybersecurity-Experten) kommt zu dem Ergebnis, dass Social Engineering die häufigste Ursache für Sicherheitsverletzungen in Unternehmen ist. Der vierteljährliche "Threat Trends and Intelligence Report" von PhishLabs zeigt einen Anstieg des Volumens von Phishing-Angriffen in der ersten Hälfte 2021 um 22 Prozent (im Vergleich zum gleichen Zeitraum im Jahr 2020). Auch Verizons "Data Breach Investigations Report 2021" hebt Social Engineering als häufigste Angriffsmethode bei Datenschutzverletzungen hervor und stellt fest, dass 85 Prozent der Angriffe den Menschen als schwächstes Glied in der Cybersicherheitskette ausnutzen. Darüber hinaus zeigen aktuelle Untersuchungen der Unternehmensberatung Gemini, dass Cybergangster Social-Engineering-Techniken auch dazu nutzen, bestimmte Sicherheitsprotokolle wie 3D Secure zu umgehen, um Zahlungsbetrug zu begehen.

Trends bei Social-Engineering-Angriffen kommen und gehen mit schöner Regelmäßigkeit. Für Nader Henein, Research Vice President bei Gartner, ist es ein signifikanter Trend, dass Social Engineering zu einem Standardelement größerer Angriffs-Toolboxen geworden ist. Es werde in Kombination mit anderen Tools im Rahmen eines professionellen und wiederholbaren Ansatzes gegen Einzelpersonen und Organisationen eingesetzt. "Ein Großteil dieser Fähigkeiten, sei es Phishing oder die Verwendung von Deepfakes, wird in Kombination als Service - inklusive SLAs und Support - angeboten." Infolgedessen würden immer mehr Unternehmen entsprechende Sicherheitsschulungen forcieren, so der Gartner-Mann.

Jack Chapman, Vice President of Threat Intelligence bei Egress, verweist auf die jüngste Zunahme von Social-Engineering-Angriffen durch "Missed Messaging": "Der Angreifer begibt sich in eine Chefrolle und schickt einem 'untergebenen' Kollegen eine E-Mail, in der er ihn auffordert, eine abgeschlossene Arbeit, etwa einen Bericht, zu übermitteln", erklärt er. Um zusätzlichen Druck zu erzeugen, behaupte der vermeintliche Vorgesetzte, den Bericht früher schon einmal per E-Mail angefordert zu haben. Das lasse den Empfänger glauben, er habe eine wichtige E-Mail verpasst und somit eine wichtige Aufgabe nicht erledigt: "Das ist ein sehr effektiver Weg, um - insbesondere in Remote-Work-Umgebungen - Handlungsdruck zu erzeugen."

Manche Angreifer setzen auch auf Schmeicheleien, um die Opfer zum Klick auf bösartige Links zu verleiten, weiß Chapman: "Ein überraschender Trend, den wir beobachten konnten: Kriminelle Hacker verschicken Geburtstagskarten. Mit Hilfe von OSINT Tools finden Sie heraus, wann die Zielperson Geburtstag hat und versenden dann pünktlich einen Link, der vermeintlich zu einer Grußkarte führt, in Wahrheit aber dem Phishing dient."

Laut Renan Feldman, CISO beim Sicherheitsanbieter Neosec, erfolgen die meisten Social-Engineering-Angriffe heutzutage über offene Schnittstellen (APIs): "In der heutigen Welt läuft das Geschäft über Anwendungsplattformen - die Angreifer versuchen also, sich Zugang zu APIs zu verschaffen, statt zu Geräten und Netzwerken. Das liegt auch daran, dass es im Vergleich wesentlich einfacher ist, eine API zu kompromittieren. Es ist daher sehr wahrscheinlich, dass diese Vorgehensweise in den nächsten Jahren in Kombination mit Erpressungstrojanern an Popularität gewinnen wird. Weil immer mehr Geschäftsdaten über APIs übertragen werden, verschärfen Unternehmen ihre Anti-Ransomware-Kontrollen."

Social Engineering - Angriffe abwehren

Wir haben fünf Tipps zur Abwehr von Social-Engineering-Attacken für Sie zusammengestellt:

1. Security Awareness

Security-Awareness-Schulungen sind der beste Weg, um Social Engineering zu verhindern. Nur wenn die Mitarbeiter wissen, welche Gefahr ihnen droht, können sie sich gegen solche Angriffe wappnen. Erarbeiten Sie ein umfassendes Schulungsprogramm, dass zu mehr Sicherheitsbewusstsein führt! Es sollte regelmäßig aktualisiert werden, um sowohl allgemeinen Phishing-Bedrohungen als auch neuen, gezielten Bedrohungen angemessen begegnen zu können.

Dabei sollten Sie von einer tiefgehenden Erklärung technischer Schwachstellen und Details absehen und stattdessen Beispiele nennen, die die Methoden der Angreifer in den Fokus stellen. Auch interaktive Elemente wie ein Quiz können dazu beitragen, Mitarbeiter vorzubereiten.

2. Security-Briefing für Mitarbeiter in Schlüsselpositionen

Unternehmen sollten Führungskräfte und leitende Angestellte in ihre Bemühungen einbeziehen, da sie für Cyberkriminelle die attraktivsten Social-Engineering-Ziele darstellen. Wichtig ist es auch Mitarbeiter, die die Berechtigung zu Finanztransaktionen haben, regelmäßig über die Gefahren aufzuklären.

3. Bestehende Prozesse prüfen

Für finanzielle und andere wichtige Transaktionen bietet es sich an, zusätzliche Kontrollmaßnahmen einzuziehen. Dabei gilt es im Auge zu behalten, dass einige Schutzmaßnahmen, beispielsweise eine Aufgabentrennung, sinnlos werden könnten, wenn es sich um eine Insider-Bedrohung handelt. Eine regelmäßige Risikoanalyse ist zu empfehlen.

4. Neue Richtlinien für dringende Anfragen

Sendet der Vorstandsvorsitzende eine E-Mail von seinem Gmail-Konto, sollte das bei den Mitarbeitern Alarmsignale auslösen. Um vorschnelle Reaktionen zu vermeiden, die ins Unglück führen können, sollten Mitarbeiter ein klar definiertes Notfallverfahren an die Hand bekommen und im Zweifel direkt mit dem Absender kommunizieren können.

5. Incident Management

Überprüfen, verfeinern und testen Sie regelmäßig Ihre Incident-Management-Systeme. Dazu bieten sich Übungen mit der Geschäftsleitung und den wichtigsten Mitarbeitern an, in denen Kontrollmechanismen und potenzielle Schwachstellen auf den Prüfstand kommen.

Social Engineering - Toolkits

Es gibt am Markt einige Tools und Services, die Unternehmen bei Awareness-Kampagnen und Phishing-Simulationen unterstützen:

  • Das Social Engineering Toolkit von TrustedSec steht als kostenloser Download zur Verfügung und hilft bei der Automatisierung von Penetrationstests. Zu den Features gehören neben Social Engineering auch Spear Phishing, Fake Websites und USB-basierte Angriffe.

  • Das Social Engineering Framework ist eine weitere gute Ressource. Laut Aussage der Macher enthält es "aktuelle wissenschaftliche, technische und psychologische Informationen" zum Thema. Das Ziel sei es, "eine Informationssammlung für Sicherheitsexperten, Penetrationstester und Enthusiasten zu schaffen". Das Framework wird regelmäßig aktualisiert.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Josh Fruhlinger ist freier Autor in Los Angeles.
Florian maier beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.