Definition

Social Engineering

Der Begriff „Social Engineering“ bezeichnet eine Vorgehensweise, bei der die Schwachstelle Mensch ausgenutzt wird. Oft werden dabei Mitarbeiter eines Unternehmens mit einem Trick überredet, die normalen Sicherheitsvorkehrungen zu umgehen und sensible Informationen preiszugeben.

Die von einem Angreifer hier angewandte Technik wurde früher als „Trickbetrug“ bezeichnet. Um sich mithilfe von Social Engineering Zugang zu einem Computer-Netzwerk zu verschaffen, könnte der Angreifer beispielsweise folgendermaßen vorgehen: Er versucht, das Vertrauen eines autorisierten Nutzers zu gewinnen und diesen dazu zu verleiten, ihm vertrauliche Informationen über die Netzwerk-Sicherheit zu geben. Genauso oft wie auf die Hilfsbereitschaft von Mitarbeitern setzen Social Engineers dabei auf deren Schwächen. So kontaktieren sie beispielsweise einen legitimen Nutzer per Telefon und bringen ein angeblich dringendes Problem vor, das nur durch den sofortigen Zugriff auf das Netzwerk behoben werden kann. Eine weitere typische Vorgehensweise von Social Engineers ist das Ausnutzen von Eitelkeit, Autoritätshörigkeit oder Gier bei ihren Zielpersonen. Abgesehen davon gelangen sie oft auch mit herkömmlichen Lausch-Angriffen ans Ziel.

Bei vielen, wenn nicht sogar bei den meisten Exploits, kommt eine Form des Social Engineering zum Tragen. So nutzen die Autoren von Computer-Viren oft Techniken des Social Engineering, um den Empfänger einer E-Mail zum Herunterladen eines mit Viren verseuchten Anhangs zu bewegen. Bei Betrugsversuchen mit Phishing-Mails sollen Menschen mithilfe von Social Engineering zur Herausgabe vertraulicher Informationen verleitet werden. Die Programmierer von „Scareware“ wiederum setzen Techniken ein, um Nutzern so in Angst zu versetzen, dass sie eine im besten Fall harmlose und im schlimmsten Fall gefährliche Software ausführen.

Bei einer anderen Variante des Social Engineering vertraut der Betrüger auf die Unkenntnis oder das Unvermögen der Menschen, mit der sich schnell entwickelnden Informationstechnologie Schritt zu halten. So sind sich manche Personen gar nicht bewusst, wie wertvoll die Informationen in ihrem Besitz sind und gehen dementsprechend nachlässig damit um. Häufig durchsucht ein Social Engineer schlicht den Müll-Container seines Ziels nach verwertbaren Informationen oder merkt sich die Zugangsdaten eines Mitarbeiters, indem er ihm über die Schulter sieht, während sich dieser am System anmeldet. Ebenfalls von Vorteil für einen Social Engineer ist die Angewohnheit vieler Menschen, Passwörter zu wählen, die für sie bedeutungsvoll und damit oft auch leicht zu erraten sind.

Laut Sicherheitsexperten stellt Social Engineering die größte Gefahr für jedes Sicherheitssystem dar, weil unsere Abhängigkeit von Informationen immer mehr zunimmt. Als Gegenmaßnahme empfiehlt es sich, Mitarbeitern den Wert von Informationen ins Gedächtnis zu rufen, sie entsprechend zu schulen und zu schützen. Zudem muss das Bewusstsein hinsichtlich der Vorgehensweise von Social Engineers geschärft werden.

Artikel wurde zuletzt im Oktober 2006 aktualisiert

Erfahren Sie mehr über Anwendungsangriffe (Cross-Site Scripting, Buffer Overflows)

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

File Extensions and File Formats

Powered by:

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close