Social Engineering

Wenn die Cyberattacke den Arbeitsplatz erreicht

03. Juni 2015
Peter Ilg ist freier Journalist in Aalen.
Social Engineering ist der Versuch Krimineller, sich das Vertrauen von Mitarbeitern in einem Unternehmen zu erschleichen. Dabei geht es um Wirtschaftsspionage oder schlicht Geld.

Social Engineering ist nicht neu: Schon die "Bösen" in Hänsel und Gretel sowie beim Wolf und den sieben Geißlein wenden psychologische Tricks an, um zu manipulieren. Social Engineering hat sich in den vergangenen Jahren weiterentwickelt. Es findet heute häufiger statt und führt dabei fast immer zum Ziel.

Social Engineering wird für Unternehmen eine immer größere Bedrohung.
Social Engineering wird für Unternehmen eine immer größere Bedrohung.
Foto: Deymos.HR_shutterstock.com

Steigende Gefahr für Unternehmen

Social-Engineering-Angriffe werden ausgefeilter, qualitativ besser und deshalb erfolgreicher. "Das stellen wir fest, wenn unsere IT-Spezialisten herausgefunden haben, dass Unberechtigte in Unternehmensnetzwerke eingedrungen sind", sagt Dirk Reimers. Er ist Bereichsleiter bei Secunet in Hamburg, einem IT-Sicherheitsunternehmen und zuständig für Konzeption und Durchführung von Social-Engineering-Maßnahmen bei Kunden. Als Social Engineering werden die Versuche bezeichnet, sich Vertrauen bei Beschäftigten in Unternehmen zu ergaunern, um an Informationen wie Passwörter zu kommen oder Regelverstöße zu provozieren, um etwa Zugang zu Räumen zu bekommen.

Gefälschte Absender 2.0

Vor Jahren waren die Angriffs-Versuche mit E-Mails noch plump, in radebrechendem Deutsch und unglaubwürdig. Zum Beispiel als Witwe aus Uganda getarnt, die Millionen US-Dollars parken will. Heute kommen die Mails mit gefälschtem Absender - etwa vom Postversand DHL mit der Frage, wohin das Paket geliefert werden soll weil niemand zu Hause ist. Die Mails sind in tadellosem Deutsch geschrieben und lesefreundlich formatiert, einschließlich Link zum Versandstatus. Wer den anklickt, installiert unbemerkt eine Software, die Passwörter ausspäht. "Der gesamte Vorgang ist perfekt, so dass ein ungeschulter Mitarbeiter nicht merkt, dass er auf einen Angreifer hereinfällt", sagt Reimers.