Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Wie gefährlich ist Social Hacking für Unternehmen?

Volker Bentz | 30.08.2017 13:40:01 | Lesezeit ca. 3,5 Minuten

Social Engineering (auchsoziale Manipulation“) bezeichnet das Manipulieren des menschlichen Betriebssystems. Das menschliche Betriebssystem, also das Gehirn, weist vermutlich mehr Sicherheitslücken auf als jedes technische Systemund das nutzen Cyberkriminelle gezielt aus. Denn diese machen sich von Social Engineering Gebrauch, um in fremde Computersystem einzudringen und vertrauliche Daten einzusehen. Man spricht dann auch von Social Hacking. Aber wie gefährlich ist das für Unternehmen?

 

Was ist Social Hacking?

Allgemein bezeichnet Social Engineering das zwischenmenschliche Beeinflussen von Personen, um diese zu einem bestimmten Verhalten zu bewegen. Wenn Social Engineering dazu benutzt wird, sich Zugang zu einem fremden Computersystem zu verschaffen, spricht man von Social Hacking. Dabei werden vermeintlich positive menschliche Eigenschaften zu einem erheblichen Sicherheitsrisiko. Vertrauen, Autoritätshörigkeit und Sympathie werden so beispielsweise gnadenlos ausgenutzt, um Systeme anzugreifen. Ein weiterer wichtiger Bestandteil des Social Hackings ist oft auch ein gewisses Maß an Spionage, um ausreichend Informationen zu erhalten, die dazu dienen, das Opfer zu täuschen oder den Cyberangriff zu starten.

 

IT-Security Ratgeber

 

Arten von Social Hacking

Phishing-Mails

Die heutzutage am weitesten verbreitete Variante des Social Hacking sind die Phishing-Mails. Dabei soll der Nutzer so getäuscht werden, dass er Informationen direkt preisgibt oder einen Fehler begeht, den die Kriminellen ausnutzen können. Die E-Mail soll den Nutzer beispielsweise dazu bringen, seine Daten auf einer gefälschten Webseite einzugeben oder sie direkt per E-Mail an den Kriminellen zu senden. Dies wird erreicht, indem sich der Angreifer zum Beispiel als Administrator ausgibt, der ein technisches Problem entdeckt hat und nun die Login-Daten des Nutzers braucht.

 

Gefälschte Telefonanrufe

Der Klassiker beim Social Hacking sind gefälschte Telefonanrufe, bei denen sich Kriminelle zum Beispiel als Mitarbeiter der IT-Abteilung ausgeben, um so die Daten des Nutzers zu erhalten. Das Problem hierbei ist, dass die Täuschungen immer besser werden, da die Kriminellen viel mehr Daten zur Verfügung haben. Kleine und vermeintlich unwichtige Informationen lassen sich unter anderem aus sozialen Netzwerken entnehmen und machen den Betrugsversuch viel gefährlicher. Mit all den Informationen, die der Angreifer eventuell schon im Vorfeld gesammelt hat und einigen allzu menschlichen Eigenschaften lässt sich so eine äußerst effektive Angriffstaktik erstellen.

So verfügt der Angreifer zum Beispiel über Informationen, die das Unternehmen oder Kollegen betreffen. Sie können sich sicher vorstellen wie vertrauenserweckend das sein kann. Oft reicht dazu schon ein Smalltalk über einen Kollegen, der sich derzeit im Urlaub befindet, aus. (Ein Mitarbeiter denkt vielleicht: der Anrufer weiß, dass Kollege X in Urlaub ist, also muss er in unserem Unternehmen arbeiten. In Wahrheit hat der Kriminelle aber in sozialen Netzen Urlaubsfotos des Kollegen X gefunden und daraus Rückschlüsse gezogen).

Ferner kann der Kriminelle Ihre Mitarbeiter durch Fachsprache relativ leicht verwirren und so an Daten kommen. Auch die Autoritätshörigkeit lässt sich ausnutzen, indem sich der Kriminelle als jemand ausgibt, der in der Unternehmenshierarchie höher steht. Das eigentlich angebrachte Misstrauen wird dann aus Respekt eher selten gezeigt.

 

Wie reagieren Ihre Mitarbeiter auf Social Hacking Angriffe? Machen Sie jetzt den Test!

 

Wie kann man sich vor Social Hacking schützen?

Wie so oft in der IT Sicherheit gibt es auch gegen Social Hacking keinen vollkommen sicheren Schutz. Aber das Risiko, dass Ihre Mitarbeiter oder gar Sie selbst „gehackt“ werden, lässt sich durch Sensibilisierungsmaßnahmen und Security Awareness Trainings erheblich senken. Da eine Kette nur so stark wie ihr schwächstes Glied ist, reicht es natürlich nicht aus, nur die Kollegen der IT-Abteilung zu schulen. Jeder Mitarbeiter stellt ein potenzielles Sicherheitsrisiko für das Unternehmen dar!

Bei E-Mails sollte stets darauf geachtet werden, dass die Identität des Absenders bekannt ist. Im Zweifel sollten Ihre Mitarbeiter den Administrator kontaktieren. Dieser kann oft weiterhelfen. Selbst auf den ersten Blick unwichtige Daten dürfen nicht an Fremde weitergegeben werden. Außerdem kann man verdächtige Links aus Phishing-Mails über die Suche bei Google ganz einfach auf einen kriminellen Hintergrund hin überprüfen.

 

Fazit: Schulen Sie Ihre Mitarbeiter!

Sie sehen, dass Social Hacking eine ernstzunehmende Gefahr für Ihr Unternehmen darstellt. Sie können noch so viel Geld für technische Sicherheitsmaßnahmen ausgegeben haben und dennoch gefährdet sein, da Ihre Mitarbeiter ebenfalls ein Angriffsziel für Cyberkriminelle darstellen! Denn: Viele Cyberangriffe werden nur durch menschliche Unachtsamkeit erfolgreich. In den meisten Systemen ist nicht die Technologie die Schwachstelle, sondern der Mensch!

Am effektivsten lässt sich dieses Risiko durch Schulungen und Sensibilisierung in Kombination mit modernen Sicherheitstechnologien senken. Im Optimalfall können Ihre Mitarbeiter dann einen Angriffsversuch erkennen oder zumindest die Lage richtig einschätzen und professionelle Hilfe bei Ihrem Administrator anfordern.

 

Sie möchten mehr zum Thema Security Awareness Training erfahren? Dann informieren Sie sich auf unserem neuen Produktportfolio!

Mehr erfahren

Themen: IT Security Awareness, Cyberkriminalität

Autor: Volker Bentz

Volker Bentz ist seit 1989 im IT-Business tätig. Als Gründer und Gesellschafter prägt er seit über 25 Jahren die Geschicke der BRANDMAUER IT GmbH. Der IT-Experte berät, erstellt und implementiert IT-Lösungen für Unternehmen und Organisationen. Seine langjährigen Erfahrungen im Bereich des IT-Outsourcings und der IT Security machen Ihn zu einem Kenner der Thematik und ersten Ansprechpartner.

Telefon: (+49) 7272 92975 200
E-Mail: v.bentz@brandmauer.de

Aktuellste Beiträge

IT Sicherheits-Quickcheck BRANDMAUER IT
IT Sicherheits-Quickcheck
Mehr erfahren
AdobeStock_@-opolja_262007320_550x300px_190531

Keine freien IT Ressourcen?

myBIT Managed IT-Servicesdesk

Mehr erfahren
Serverlandschaft_ IT Services_550x300_170526

Keine Planungs- und Betriebssicherheit?

Managed IT Services

Mehr erfahren

Blog abonnieren

Gratis Downloads für Ihre IT Sicherheit