Social Engineering ist ein sehr moderner Begriff für eine uralte Betrugsmasche. Social Engineering Beispiele, auch aus der Zeit, als es noch gar keine Computer und kein Internet gab, sind nichts anderes als der Heiratsschwindler und der Enkeltrick-Betrüger. Charakteristisch für die Social Engineering Methoden ist immer die Tatsache, dass eine Person ihre Identität verschleiert, um das Vertrauen und die Gutgläubigkeit – durchaus aber auch die Angst und Unsicherheit – einer anderen Person auszunutzen und sich dadurch zu bereichern. Man kann den Begriff eigentlich wörtlich übersetzen, um ihm auf den Grund zu kommen: Social Engineering ist eine „Sozial-Technik“, die auf Betrug aus ist.

Im Zeitalter der digitalen Kommunikation nehmen nun die Social Engineering Methoden Dimensionen an, die erhöhte Aufmerksamkeit erfordern. Denn jetzt sind nicht mehr nur Privatpersonen Ziele der Cyberattacken, sondern ganze Unternehmen und Konzerne. Dabei muss der Angreifer noch nicht einmal programmieren können wie ein Hacker, er braucht lediglich ein wenig Geduld und psychologische Tricks.

Social Engineering: Beispiele für Vorgehensweisen

Im Wesentlichen muss ein Social Hack gut vorbereitet sein. Der Angreifer muss sich bestimmte Kenntnisse über ein Unternehmen verschaffen, die er für sein Social Engineering benutzen kann. Entweder er selbst war einmal Mitarbeiter dieses Unternehmens, arbeitet mit einem (Ex-) Mitarbeiter zusammen oder kundschaftet aktiv die Struktur der Zielfirma aus, um folgendes zu erfahren: Welche Personen befinden sich in Führungspositionen? Wer entscheidet über welche Vorgänge? Wer tätigt Überweisungen? Wann ist der Chef im Haus, wann nicht? Und wer sind Kunden des Unternehmens? Eine der Social Engineering Methoden ist dann, mithilfe einer gefälschten E-Mail-Adresse, die der eines Vorgesetzten besonders ähnelt, einen für finanzielle Transaktionen befugten Mitarbeiter mit dem Ausdruck der Dringlichkeit und Wichtigkeit mit einer Überweisung zu beauftragen. So sind Unternehmen schon Schäden in Millionenhöhe entstanden.

Eine weitere der vielen Social Engineering Methoden ist es auch, in großen Unternehmen, wo sich Mitarbeiter untereinander nicht unbedingt alle persönlich kennen, als vermeintlicher Mitarbeiter der IT-Abteilung eine E-Mail an einen Mitarbeiter der Buchhaltung zu schreiben, um auf ein vermeintliches Sicherheitsrisiko hinzuweisen, das es abzuwenden gilt, indem der Buchhalter dem IT-Experten seine Zugangsdaten mitteilt. Auf diese Weise gelangt der Betrüger ohne großen Aufwand in das Datensystem des Betriebes.

Hier anknüpfend seien als Social Engineering Beispiele die Phishing Mails erwähnt. Sie täuschen vor, von namhaften, bekannten und vertrauenswürdigen Unternehmen wie Banken, Versicherungen oder Providern zu stammen, und fordern den Empfänger auf, aus zumeist sehr alarmierenden Gründen, seine Passwörter und Zugangsdaten zu übermitteln. Tut er dies, wird daraufhin sein Konto gehackt.

Schutz vor Social Engineering

Täter im Social Engineering nutzen es aus, dass Menschen einerseits das tief verwurzelte Bedürfnis haben, anderen zu helfen, wenn sie können, andererseits die in uns lauernde Angst vor Unannehmlichkeiten und Gefahren haben. Interessanterweise bringt gerade die Angst vor Betrügern viele Menschen dazu, auf Phishing Mails zu reagieren. Hier macht die Masse den Erfolg, denn wenn ein Social Engineering Täter seine Phishing Mail an 100.000 Empfänger verschickt, was technisch kein Problem darstellt, und es reagieren nur 0,5 Prozent der Angeschriebenen, so hat er immer noch 500 Mal Erfolg gehabt.

Wie können Sie sich vor den Social Engineering Methoden im Internet schützen? Eigentlich ist das gar nicht schwer:

1. Misstrauen Sie unbekannten Absendern! Gibt es auch nur das kleinste Verdachtsmoment, dass es sich um Betrug handeln könnte, reagieren Sie nicht!
2. Seriöse Firmen werden Sie niemals per E-Mail oder Telefon auffordern, persönliche Daten oder gar Passwörter weiterzugeben.
3. Kontaktieren Sie im Zweifel den Absender und vergewissern Sie sich, dass er oder sie diese Mail geschrieben hat.
4. Checken Sie bei eingehenden E-Mails Absender, Betreff und Anhang, um zu prüfen, ob die Mail konsistent ist.
5. Geben Sie beruflich und privat keine vertraulichen Informationen in sozialen Netzwerken oder über E-Mail und Telefon weiter.