23. März 2015 - Sicherheitslücke Mensch

Social Engineering: Wie Nutzer „gehackt“ werden

Eine neue Studie gibt Einblick in besonders erfolgreiche Social-Engineering-Methoden der Datendiebe. Nutzen Sie diese Erkenntnisse für Ihre Datenschutzunterweisung, damit der Mensch nicht zum Hacker-Ziel Nummer 1 wird.

Social Engineering: neue Studie Social Engineering nimmt das schwächste Glied in der Sicherheitskette ins Visier: den Nutzer (Bild: frankpeters/iStock/Thinkstock)

Social Engineering, also die Angriffsmethode, das Vertrauen der Nutzer auszunutzen und die Anwender ungewollt zu einer Datenweitergabe zu verleiten, wird immer beliebter unter den Datendieben. Der Grund: Nutzer lassen sich nicht so einfach automatisch absichern, wie dies bei Hard- und Software zumindest teilweise möglich ist. Ihre Datenschutzunterweisung sollte daher immer wieder einmal das Thema Social Engineering aufgreifen, auch dann, wenn Sie bereits darüber berichtet haben.

Viele IT-Sicherheitsforscher halten die Nutzer sogar für die größte Schwachstelle überhaupt. Die „Sicherheitslücken“ bei den Nutzern lassen sich auch nicht automatisch durch Einspielen von Patches beheben. Tatsächlich sind Sie es als Datenschutzbeauftragte oder Datenschutzbeauftragter, die oder der eine Behebung der menschlichen „Schwachstellen“ vornehmen sollte, und zwar mit der Sensibilisierung der Nutzer in der Datenschutzunterweisung.

Das „menschliche Betriebssystem“

Eine aktuelle Studie von Intel Security behandelt genau das Thema Social Engineering und spricht von dem Hacken des „menschlichen Betriebssystems“. Diese Studie kann Ihnen helfen, die besonders erfolgreichen und deshalb gefährlichen Varianten des Social Engineering vorzustellen und zu erklären. Denn kennen die Nutzer die Methoden der Datendiebe besser, werden sie vorsichtiger und weniger vertrauensvoll sein, wenn sie in eine der erläuterten Situationen geraten.

Wie das Hacking von Nutzern funktioniert

Das Thema Social Engineering mag einigen Teilnehmern Ihrer Datenschutzunterweisung bekannt sein, doch es existieren viele falsche Vorstellungen. Das beginnt bereits damit, dass viele Nutzer glauben, die Hacker würden – wenn überhaupt – nur über E-Mails und Webseiten versuchen, Daten zu stehlen, würden also auf Phishing-E-Mails und gefälschte Login-Seiten setzen. In Wirklichkeit aber nutzen die Datendiebe jede Form der Kommunikation, um ihre Täuschung anzubringen.

Social Engineering funktioniert nicht nur über E-Mails und Webseiten, sondern auch

  • über Chat-Dienste,
  • über das Telefon,
  • über Fax-Nachrichten,
  • mit der klassischen Briefpost und sogar
  • von Angesicht zu Angesicht.

Die Mitarbeiterinnen und Mitarbeiter könnten also auch am Telefon oder per Brief dazu verleitet werden, vertrauliche Daten oder Wege zu ihnen preiszugeben.

Anzeige

Mitarbeiterschulung Datenschutz Tipp der Redaktion: Mitarbeiterschulung Grundlagen des Datenschutzes

Sie haben keine Zeit, die Mitarbeiter per Präsenzschulung zu unterweisen? Dann testen Sie doch einmal ein Computer based Training zum Datenschutz!

Kostenlos testenJetzt kostenlos testen!


Die Psychologie des Social Engineering verstehen

Die Täuschung selbst ist ebenfalls weitaus facettenreicher als die oftmals zitierte E-Mail der Bank, man müsse sich wegen bestimmter Probleme umgehend auf der Online-Banking-Seite anmelden, die natürlich gefälscht ist und dazu dient, die Anmeldedaten abzugreifen. Es kann auch der angebliche Pizza-Bote am Empfang sein, das Fax des scheinbar neuen Vertriebspartners oder die Chat-Nachricht des angeblichen Freundes. Die Zahl der Beispiele ist im Prinzip endlos. Deshalb ist es wichtig, die Methode hinter der Täuschung zu verstehen, die psychologischen Tricks der Datendiebe. Hier gibt die Studie von Intel Security „Hacking die Human OS“ nützliche Hinweise, die Sie kennen und nutzen sollten.

Zum einen sollten die Nutzer wissen, dass die Angreifer sich zunehmend Mühe geben, die Opfer kennenzulernen, also Angriffspunkte und Zugangswege zu finden. Hier bieten die Profile in den sozialen Netzwerken meist genug Material, um eine für das Opfer passende Geschichte zu erfinden, die die Basis der Attacke bildet.

Die Hebel, die dann auf den Nutzer angewendet werden, sind insbesondere

  • ein angeblicher Gefallen, der dem Opfer gegenüber erwiesen wird,
  • eine künstliche Verknappung der Zeit, damit schnelle, unüberlegte Entscheidungen getroffen werden müssen,
  • ein Hinweis auf eine angebliche Verpflichtung des Opfers,
  • das Ausnutzen von scheinbarer Attraktivität und Sympathie,
  • das Vorspielen von Autorität gegenüber dem Opfer und
  • der Hinweis darauf, dass alle anderen etwas Bestimmtes tun, das das Opfer ebenfalls nun tun sollte.

Die Arbeitshilfe Übersicht über Social-Engineering-Methoden liefert Ihnen eine Übersicht über diese Hebel und nennt Beispiele, die Sie in Ihrer Datenschutzunterweisung genau beleuchten sollten.

Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln