15. Juni 2011 - Social Engineering

Wer für Betrugsversuche besonders anfällig ist

Selbst gut geschulte Anwender fallen massenhaft auf Betrugsversuche und Social Engineering herein. Lohnen sich Datenschutz-Schulungen also überhaupt? Und wer ist für Betrugsversuche im Internet besonders anfällig?

wer-fur-betrugsversuche-besonders-anfallig-ist.jpeg
Selbst Personen, die in Sachen Datenschutz gut geschult sind, lassen sich durch Betrugsversuche und Social Engineering täuschen (Bild: Thinkstock)

Experiment belegt Betrugsrisiko durch Social Engineering

Wie gefährlich und für die Internetkriminellen erfolgreich eine betrügerische Social-Engineering-Attacke sein kann, zeigen die jüngsten Fälle von Datendiebstahl zum Beispiel bei dem Sicherheitsanbieter RSA.

Ein aktuelles Experiment von Trusteer unterstreicht das Betrugsrisiko zusätzlich: Selbst gut geschulte Anwender fallen auf Angriffe herein, bei denen ihr Vertrauen und ihre Neugierde ausgenutzt werden.

Neuer Job des Bekannten macht neugierig

Das Sicherheitsunternehmen Trusteer schickte 100 ausgewählten Personen eine angebliche Statusnachricht des sozialen Netzwerks LinkedIn. Darin teilte ihnen das soziale Netzwerk scheinbar mit, dass ein Bekannter eine neue Stellung angetreten hat, bei einem Wettbewerber des jeweiligen Opfers.

Updates aus sozialen Netzwerken sind nicht unüblich, für viele Anwender sogar alltäglich. Das angebliche Update konnte Trusteer sehr einfach erstellen, aus den Angaben zu persönlichen Kontakten der Opfer und aus den beruflichen Positionen und hinterlegten Fotos der Kontakte. Für die 100 individuellen Betrugsmails brauchte Trusteer nur 17 Stunden Aufwand.

Social-Engineering-Attacke mit durchschlagendem Erfolg

Dafür erzielte Trusteer einen großen Erfolg. Von den 100 in Fragen der Datensicherheit gut geschulten Personen klickten 41 auf den potenziell verseuchten Link innerhalb der ersten 24 Stunden, 52 reagierten innerhalb der ersten 48 Stunden, nach einer Woche hatten 68 Personen auf den Link in der Statusmeldung geklickt.

Der Rest hatte nach Rückfrage und Auflösung des Experiments mitgeteilt, die E-Mail übersehen zu haben oder an Updates aus dem sozialen Netzwerk nicht interessiert zu sein.

Aus Sicherheitsgründen hatte scheinbar keiner auf den Klick verzichtet, um zu erfahren, was sich genau bei dem Bekannten geändert hatte.

Versagen Schulungen bei Datensicherheit?

Aus diesem Experiment wurden interessante Schlüsse gezogen: So glaubt Trusteer, dass die Abwehr von Social Engineering weniger durch Schulungen, sondern vielmehr durch eine Kombination aus technischen Lösungen erfolgen sollte. Denn das Experiment habe gezeigt, dass jeder Anwender, auch der geschulte Nutzer leicht betrogen werden kann, um Daten zu stehlen.

Abgesehen davon, dass Sicherheitsanbieter ihren eigenen technischen Lösungen vertrauen und diese deshalb empfehlen wollen, sollten Sie trotzdem nicht auf Datenschutz-Schulungen verzichten, die Social Engineering behandeln, im Gegenteil.

Jeder ist in Gefahr und braucht eine Schulung

Tatsächlich besteht für jeden Nutzer das Risiko, mit einer Social-Engineering-Attacke konfrontiert zu werden. Gezielte Angriffe gelten zwar vornehmlich dem Management oder den IT-Administratoren, da die Kriminellen dort die lohnenden Daten vermuten.

Doch viele Angriffe beginnen mit einer Betrugsmasche für den normalen Anwender. Dessen gestohlene Identität wird dann missbraucht, um Personen mit höheren Benutzerprivilegien zu täuschen und auszutricksen.

Schulung und Technik ergänzen sich

Wie gerade die Attacken der jüngsten Vergangenheit zeigen, reicht weder eine technische Absicherung noch reines Risikobewusstsein aus, um den raffinierten Angriffen auf personenbezogene Daten zu entgehen.

So hätte die Datenschutz-Schulung in dem beschriebenen Experiment zum Beispiel durch einen aktuellen Link-Scanner ergänzt werden müssen, um den Erfolg der Betrugsmails zu minimieren. Solche Link-Scanner machen auf mögliche Gefahren auf Webseiten aufmerksam, noch bevor man die Links anklickt.

Da jedoch Social Engineering jeden Kommunikationsweg, sei es E-Mail, Anruf, Fax, SMS oder persönliches Gespräch, nutzen kann, kann ein Link-Scanner ein gutes Datenschutzbewusstsein nicht ersetzen.

Machen Sie Social Engineering deshalb verstärkt zum Thema Ihrer Datenschutz-Schulung, der aktuelle Download: Anzeichen für Betrugsversuche hilft Ihnen dabei, ebenso Ihre eigene Datenschutz-Zeitung und gezielte Datenschutz-Kampagnen.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln