Was ist Social Engineering?

Im digitalen Zeitalter stehen Unternehmen einer Vielzahl von Cyber-Bedrohungen gegenüber. Die Gefahr geht jedoch nicht nur von Hackerangriffen aus, die Systemschwachstellen ausnutzen, um mittels Schadsoftware sensible Daten zu stehlen. Auch digitale Betrugsmaschen, die darauf abzielen, Mitarbeitende zu täuschen und sie durch Manipulation zu bestimmten Handlungen zu verleiten, stellen eine erhebliche Bedrohung dar. Der in diesem Zusammenhang verwendete Fachbegriff ist Social Engineering.

Was genau ist Social Engineering und wie gefährlich ist es für Unternehmen? Welche Methoden nutzen Angreifer beim Social Engineering? Was sind bekannte Beispiele für erfolgreiche Angriffe? Dieser Artikel gibt einen Überblick über Social Engineering und die damit verbundenen Risiken für Unternehmen.

Social Engineering ist eine Cyber-Angriffsart, die darauf abzielt, den Menschen als Schwachstelle auszunutzen. Durch psychologische Manipulationstechniken werden die Opfer zur Weitergabe vertraulicher Informationen oder zum Ausführen bestimmter Handlungen (z. B. das Tätigen einer Überweisung vom Unternehmenskonto) gebracht.

Auch wenn sich die Vorgehensweise beim Social Engineering grundlegend von anderen Arten von Cyber-Angriffen unterscheidet, verfolgen die Cyber-Kriminelle dieselben Ziele. Sie wollen sensible Daten stehlen (z. B. Kundeninformationen oder Systemzugänge) und sich finanzielle Vorteile verschaffen (z. B. durch Erpressung mit den gestohlenen Daten oder durch Manipulation von Beschäftigten mit Zugriff auf die Unternehmenskonten).

Social Engineering bedeutet übersetzt “soziale Manipulation” und beschreibt damit treffend die Funktionsweise dieser Art von Cyber-Angriffen. Durch das Ausnutzen menschlicher Eigenschaften wie Vertrauen, Hilfsbereitschaft, Angst oder auch Respekt vor Autoritätspersonen versuchen die Täter ihre Opfer so zu manipulieren, dass sie beispielsweise sensible Daten preisgeben, Schadsoftware installieren oder Überweisungen tätigen.

Die Täter täuschen ihre Opfer dabei in zweifacher Hinsicht: einerseits in Bezug auf ihre Identität und andererseits in Bezug auf die Absicht, die sie verfolgen. Schauen wir uns den Ablauf eines Social-Engineering-Angriffs an einem Beispiel an.

Ein Cyber-Krimineller gibt sich am Telefon als potenzieller Kunde aus und bringt durch geschicktes Ausfragen eines Mitarbeitenden den Namen eines Geschäftspartners des Unternehmens in Erfahrung. Nach gründlicher Recherche über den besagten Geschäftspartner schickt der Angreifer ein gefälschtes Schreiben an das Unternehmen, das mit dem Logo und dem Briefkopf des Geschäftspartners versehen ist, um authentisch zu wirken.

Das Schreiben ist ein Dankesbrief für die gute geschäftliche Zusammenarbeit und enthält daneben einen mit Firmenlogo versehenen USB-Stick als kleines Dankeschön. Bei dem USB-Stick handelt es sich jedoch nicht um ein harmloses Werbegeschenk, sondern um einen Datenträger, der mit Schadsoftware infiziert ist. Nach Anschluss des Sticks infiziert die Schadsoftware das verwendete Gerät und breitet sich von dort aus über das gesamte Firmennetzwerk aus.

Auch wenn viele Unternehmen die Gefahr unterschätzen, stellt Social Engineering eine ernsthafte Bedrohung dar. Gegen Unachtsamkeit und Gutgläubigkeit von Mitarbeitenden bieten selbst die besten IT-Sicherheitsmaßnahmen keinen Schutz. Infolgedessen kann es zu millionenschweren Schäden kommen, wie die beiden folgenden Beispiele verdeutlichen.

• Der amerikanische Netzwerktechnologiekonzern Ubiquiti Networks Inc. erlitt infolge eines Phishing-Angriffs einen Schaden von rund 46,7 Millionen Dollar. Cyber-Kriminelle hatten sich als hochrangige Manager des Unternehmens ausgegeben und unter deren Identität gefälschte E-Mails an Mitarbeitende geschickt, in denen sie diese dazu aufforderten, Geld auf von den Hackern kontrollierte Konten zu überweisen.
• Ein weiteres Beispiel für einen erfolgreichen Social-Engineering-Angriff ist der Deepfake-Angriff auf das britische Ingenieurunternehmen Arup, der sich im Mai 2024 ereignete. Nach einem Videocall mit dem vermeintlichen CFO des Unternehmens tätigte ein Mitarbeiter der Niederlassung in Hong Kong mehrere Überweisungen im Gesamtwert von über 20 Millionen Euro auf das Konto von Betrügern. Im Nachhinein stellte sich heraus, dass der Videocall mit einem Deepfake, also einer KI-generierten, täuschend echt wirkenden Videoaufzeichnung, durchgeführt worden war.

Social Engineering ist nach wie vor sehr erfolgversprechend und wird daher häufig von Cyber-Kriminellen genutzt, um einen Erstzugriff auf die Systeme eines Unternehmens zu erlangen, um darauf aufbauend einen weiteren Cyber-Angriff zu starten.

Für ein ganzheitliches Cyber-Sicherheitskonzept braucht es daher neben technischen Sicherheitsmaßnahmen auch gezielte Präventionsmaßnahmen für Angriffe, die die Mitarbeitenden ins Visier nehmen. Hier sind einige Best Practices für Unternehmen.

• Mitarbeiterschulung zu Social Engineering: Unternehmen sollten ihre Mitarbeitenden regelmäßig für die Gefahren von Social Engineering sensibilisieren, um sie zu mehr Achtsamkeit zu motivieren. Dabei sollten gängige Angriffsszenarien ausführlich erläutert werden.
• Klare Sicherheitsrichtlinien erstellen und kommunizieren: Mitarbeitende für die Risiken von Social Engineering zu sensibilisieren reicht allein nicht aus. Um sich effektiv gegen digitale Manipulationsversuche zu schützen, müssen Unternehmen ihren Beschäftigten klare Sicherheitsrichtlinien für den Umgang mit Unternehmensinformationen, Kundendaten und IT-Geräten entwickeln.
• Prüfung externer Geräte vor Nutzung: Externe Geräte wie USB-Sticks sollten nur nach eingehender vorheriger Prüfung genutzt werden. Sie könnten mit Malware infiziert sein und bei Anschluss an das Firmennetzwerk verheerende Schäden anrichten.
• Priorisierung der Cyber-Sicherheit: Cyber-Sicherheit ist Chefsache. Das Bewusstsein für die bestehenden Bedrohungen und die Notwendigkeit umfassender Cyber-Sicherheitsmaßnahmen muss in der obersten Führungsebene verankert sein und dort entsprechend hoch priorisiert werden.
• Multi-Faktor-Authentifizierung (MFA): Sich gegen Social Engineering zu schützen, bedeutet nicht nur entsprechende Präventionsmaßnahmen zu ergreifen, sondern auch Vorkehrungen zu treffen für den Fall, dass es Kriminellen gelingt, über Manipulation an Zugangsdaten zu kommen. Das Einführen einer Multi-Faktor-Authentifizierung (MFA) kann helfen, den Schaden durch versehentliche Weitergabe von Passwörtern oder Zugangsdaten zu begrenzen.

Digitale Kommunikationskanäle und Künstliche Intelligenz schaffen neue Möglichkeiten für Kriminelle, um ihre Social-Engineering-Betrugsmaschen effektiver zu gestalten und die Erfolgsaussichten deutlich zu verbessern.

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge ermöglicht der Einsatz von KI eine “nie dagewesene Qualität” bei Cyber-Angriffen, die den Mensch als Schwachstelle ausnutzen, um Cyber-Sicherheitsfunktionen zu umgehen. Insbesondere wenn es um Phishing-Attacken geht.

Für Unternehmen ist es daher umso wichtiger, ihre Mitarbeitenden zu sensibilisieren und sie auf mögliche Social-Engineering-Angriffe vorzubereiten. Hier ist eine Übersicht verschiedener Anzeichen, die auf einen Betrugsversuch hindeuten können:

• Unbekannter Absender
• Ungewöhnliche Betreffzeile
• Fehlende persönliche Anrede
• Aufforderung zur Eingabe persönlicher Daten oder eines PINs
• Inszenierte Dringlichkeit

Daneben können auch die folgenden Verhaltensregeln hilfreich sein, um nicht auf Betrugsmaschen hereinzufallen:

• Niemals Passwörter per E-Mail oder Telefon preisgeben
• Anhänge im Zweifelsfall nicht öffnen
• Bei ungewöhnlichen Anfragen oder Anweisungen per E-Mail immer den Absender der E-Mail genau prüfen
• Bei Verdacht auf Social Engineering eine zweite Meinung von Kollegen einholen oder per Anruf beim angeblichen Absender der verdächtigen E-Mail nachfragen, ob das Anliegen legitim ist
• Nicht unter Druck setzen lassen bei Arbeitsanweisungen, die Zahlungsvorgänge betreffen
• Skepsis zeigen gegenüber nicht vertrauten Anrufern oder Absendern

Was ist Social Engineering einfach erklärt?

Social Engineering ist eine Cyber-Angriffsart, die auf psychologische Manipulation setzt, um die Opfer dazu zu bringen, Passwörter oder Zugangsdaten preiszugeben, bestehende Sicherheitsfunktionen außer Kraft zu setzen oder bestimmte Handlungen auszuführen. Dabei setzen die Angreifer auf das Vortäuschen einer falschen Identität und einer falschen Absicht für ihr Handeln.

Welche Methoden sind bei Social Engineering beliebt?

Angreifer nutzen verschiedene Methoden, um ihre kriminellen Ziele mittels Social Engineering zu erreichen. Zu den häufigsten Methoden gehören Phishing-Mails, Spear-Phishing-Angriffe, die Fake-President-Methode und E-Mail-Hacking. Beim E-Mail-Hacking verschaffen sich Angreifer Zugriff auf ein E-Mail-Konto, um von der gehackten Adresse E-Mails mit Schadsoftware an die bestehenden Kontakte zu verschicken.

Welche Mittel nutzen Kriminelle für Social Engineering Angriffe?

Social Engineering, also soziale Manipulation zum eigenen Vorteil, ist an sich nichts Neues. Im digitalen Zeitalter eröffnen sich für Kriminelle jedoch ganz neue Möglichkeiten, ihre Ziele über Manipulationstechniken zu erreichen. Zu den häufigsten Mitteln für das Durchführen von Social-Engineering-Angriffen gehören E-Mails, Telefonanrufe und der Einsatz von KI (z. B. in Form eines Deep Fake bei einem Videocall). Auch Soziale Netzwerke werden von Cyber-Kriminellen häufig als Mittel genutzt, um Informationen über einzelne Personen für gezielte Angriffe zu sammeln.

Warum sind Unternehmen häufig Ziel von Social-Engineering-Angriffen?

Es gibt mehrere Faktoren, die Unternehmen zu beliebten Zielen von Social-Engineering-Attacken machen. Zum einen sorgt die Tatsache, dass Unternehmen häufig große Mengen an wertvollen Daten und in der Regel mehr finanzielle Mittel haben als Privatpersonen dafür, dass Firmen und andere Organisationen lukrative Angriffsziele darstellen. Zum anderen erhöhen komplexe interne Hierarchiestrukturen und die Vielzahl möglicher Opfer (im Prinzip alle Mitarbeitenden des Unternehmens) die Erfolgsaussichten eines Angriffs erheblich.

Welche Rolle spielen Mitarbeitende bei der Abwehr von Social Engineering? 

Die Mitarbeitenden spielen eine entscheidende Rolle bei der Abwehr von Social-Engineering-Angriffen. Durch das Ausnutzen menschlicher Unachtsamkeit lässt sich jedes noch so ausgeklügelte Sicherheitssystem überwinden. Deshalb ist es für Unternehmen umso wichtiger, sich nicht nur auf die Stärkung ihrer IT-Sicherheit zu konzentrieren, sondern sich auch der Risiken bewusst zu sein, die von den Mitarbeitenden ausgehen.

Welche rechtlichen Konsequenzen können bei einem Social-Engineering-Angriff entstehen?

Werden bei einem Social-Engineering-Angriff sensible Daten kompromittiert, können verschiedene rechtliche Konsequenzen drohen. Diese reichen von Strafen und Bußgeldern wegen Datenschutzverletzungen über Klagen von betroffenen Kunden bis hin zu Vertragsstrafen, wenn in der Folge des Angriffs vertrauliche Daten aus einer Geschäftsbeziehung geleakt wurden.

Wie können sich Unternehmen gegen Social Engineering schützen?

Eine effektive Sicherheitsstrategie gegen Social Engineering kombiniert präventive Maßnahmen mit konkreten Sicherheitsprotokollen und Notfallplänen für den Fall eines erfolgreichen Betrugsversuchs. 

Zu den wichtigsten Präventivmaßnahmen gehören regelmäßige Mitarbeiterschulungen, um ein größeres Bewusstsein für die bestehenden Gefahren zu schaffen, klare Verhaltensregeln für den Umgang mit Unternehmens- und Kundendaten und Meldeprotokolle für verdächtige Aktivitäten. 

Technologische Schutzmaßnahmen wie das Einrichten von E-Mail-Filtern können ebenfalls zu mehr Schutz gegen Betrugsmaschen wie Phishing und Fake President beitragen.