Was ist Social Engineering?

thumbnail

Der Begriff Social Engineering beschreibt die Manipulation bzw. Beeinflussung von Menschen durch andere Menschen, die über teilweise kriminelle Methoden an Informationen gelangt sind, zu denen sie unter normalen Umständen keinen Zugriff hätten.

Ein Beispiel für diese Manipulation wäre es, zu wissen, dass jemand zu einem bestimmten Zeitpunkt einen Anruf erwartet. Dieser Anruf wird dann vorgetäuscht, um an weitere Informationen zu gelangen. Weiter wird versucht die betroffenen Personen zu Entscheidungen zu bewegen, die sie sonst nicht getroffen hätten. Das kann der Kauf eines Produktes oder das Unterschreiben eines Vertrags sein. Social Engineering bezeichnet daher ein Anknüpfen an sozialwissenschaftliche bzw. sozialpsychologische und psychologische Methoden und Kenntnisse.
Kurz: Es handelt sich bei Social Engineering um Betrug über Sympathie und Vertrauensgenerierung.

Das ist insofern eigentlich nichts Neues. Betrug und Beeinflussung hat es schon immer gegeben. Doch es hat sich eine entscheidende Sache geändert, nämlich die Möglichkeit des Zugriffs zu den Informationen. Zum einen sind wir durch Internet und Handy nun alle nahezu jederzeit erreichbar und laden eine Vielzahl an Daten (manchmal auch ohne unser Wissen) ins Netz. Dieser Umstand ermöglicht es durch Social Engineering, dass wildfremde Personen Informationen von uns bekommen, ohne dass wir davon wissen. Gleichzeitig lassen wir uns oft auf Gespräche mit Fremden ein. Denn wir haben es nahezu jeden Tag mit fremden Menschen zu tun, so dass Kommunikation mit Fremden zu unserem Alltag gehört. Zwar haben wir immer noch unsere Alarmsignale und werden in bestimmten Situationen skeptisch gegenüber fremden Menschen. Aber der Social Engineer versucht genau diese Skepsis methodisch auszuschalten und das ohne dass wir das Ausschaltungsmanöver bemerken, so dass weitere Informationen preisgegeben werden.

Social Engineering: Mögliche Maßnahmen

Schnell taucht dann die Frage auf: Was tun gegen Social Engineering? Man könnte den einfachen Weg gehen und einfach den Nutzer wegen seiner Naivität verurteilen und Präventionsseminare geben.
Für Organisationen mag das sinnvoll sein, damit die Organisation sich gegen Datenklau schützen kann. Aber von Privatpersonen zu erwarten, dass sie sich präventiv gegen Social Engineering schützen ist utopisch. Social Engineering ist natürlich nicht die einzige Gefahr, die uns im Alltag begegnen kann. Menschen haben grundsätzlich zu viele Dinge im Kopf, um sich über alle möglichen Gefahren und Risiken Gedanken zu machen. Man könnte ebenso fordern, wie wichtig es sei einen Erste Hilfe Kurs zu machen, denn auch den machen nicht alle. Gleichzeitig gibt es Studien, die aufzeigen, dass solche Präventivmaßnamen nur bedingt hilfreich sind. Eine andere Möglichkeit wäre es sich über Schadensbegrenzung und Recovery Gedanken zu machen. Diese Überlegung ist allerdings auch nur für Organisationen hilfreich.

Ist bei Privatpersonen ein Schaden durch Social Engineering entstanden, würde die Frage nach Recovery lauten: Wie bekommt man sein Geld zurück? Das ist dann eine rechtliche Angelegenheit und die Frage, auf die es hinausläuft ist, ob man den Täter ausfindig machen und beweisen kann, dass er es war. Die entwendeten Daten können zwar gelöscht (wie auch immer man das anstellen will), aber die Informationen wohl kaum vergessen werden. Privatpersonen haben also schlechte Chancen, sich gegen Social Engineering zu schützen und man könnte dann argumentieren, dass der Staat doch dagegen vorgehen soll. Nur woher soll man wissen, dass jemand gerade eine Straftat begeht? Das kann man nur im Nachhinein in Erfahrung bringen, wenn der Schaden bereits entstanden ist.

 

Social Engineering und Aufklärung als Hamsterrad

Man wird also zunächst nichts Anderes tun können, als das Problem Social Engineering zu akzeptieren. Wenn man also nicht nur auf Prävention, Aufklärung und das Schüren von Misstrauen setzen kann, muss man nach Alternativen fragen. Sowohl das Internet als auch das Fernsehen sind voll von informativen Beiträgen bezüglich Betrugsschutz. Wenn man argumentiert, dass noch nicht alle bezüglich der Problematik aufgeklärt sind, kann das Aufklärungsspiel von vorne beginnen. Das bedeutet nicht, dass Informationen über potentielle Gefahren obsolet sind. Es bedeutet nur, dass Präventivmaßnamen allein unzureichend sind und nach weiteren Lösungen gefragt werden muss. Eine dieser Möglichkeiten, sich gegen Social Engineering zu schützen, wäre der Abschluss einer Versicherung gegen unkalkulierbare Risiken. Diese zahlen in der Regel bis zu einem Schadensersatz von 10.000€. Allerdings ist die Geldfrage nur eine der relevanten Fragen.

Unter Umständen ist nicht nur ein finanzieller Schaden entstanden, sondern auch ein Imageschaden. Bei einer solchen Versicherung, die vor Baiting, Phishing, Hacking, Pretexting finanziell schützt, wird ein weiteres Strukturproblem bezüglich der Gefahrenantizipation deutlich. Schließt er diese Versicherung ab, kann im Prinzip davon ausgegangen werden, dass sich der Kunde bereits der Gefahr von Social Engineering bewusst ist. Im Moment des Vertragsabschlusses aber verabschiedet er sich von diesem Bewusstsein wieder. Denn nun hat er ja eine Versicherung dagegen. Es wird klar, dass alleine die Konzentration auf den User nicht ausreicht, um die Probleme durch Social Engineering zu lösen. Der Hinweis auf die Gefahr bleibt nur kurze Zeit in den Köpfen der Menschen, nach kurzer Zeit wenden sie sich wieder dem Alltagsgeschäft zu. Zudem werden die Lebensumstände und Handlungsumstände nicht berücksichtigt. Mal hat man einen schlechten Tag oder ist gestresst und man denkt in gewissen Momenten gar nicht an einen möglichen Betrug.

Wir können diesen Beitrag nun als Aufklärung über Social Engineerings sehen und vielleicht ein Problembewusstsein wecken.

Unerläßlich für das moderne Leben: ein PC oder Laptop

  • Wir haben PCs zu unschlagbaren Preisen im Angebot – vom Gaming PC bis zum Office-Rechner und sogar selbst konfigurierbare PCs.
  • Natürlich führen wir auch Laptops – fertig konfiguriert oder selbst konfigurierbar, um maximale Flexibilität zu gewährleisten.
  • DAILY EXPRESS: Unsere vorkonfigurierten DAILY EXPRESS Systeme werden bei Zahlungseingang bis 14:00 noch am gleichen Tag mit GO! Express abgeschickt, so dass der Artikel schon am nächsten Werktag (außer Samstag) bei Dir eintrifft.
  • Megadeals: Unser Technikteam kalkuliert diese Spitzenangebote mit spitzem Bleisitft – hier werden Schnäppchenjäger fündig. Diese Angebote sind so lange online, wie der Vorrat reicht. Du bekommst hier stark reduzierte PCs zu unschlagbaren Preisen!
  • Hot Seller of the Week: Diese von unserem Technikteam ausgewählten und zusammengestellten PC-Systeme zum Bestpreis stehen jeweils nur für kurze Zeit zur Verfügung

Du siehst: Ankermann bietet etwas für jeden Interessenten.

Ankermann.de