<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=286961978467565&amp;ev=PageView&amp;noscript=1">
Skip to content
    Quick Links
    Jetzt Beratungstermin vereinbaren!

    Blogs

    Weitere Leistungen

    Engagement

    Sonstiges

    ,

    Wie gefährlich ist Social Hacking für Unternehmen?

    Picture of Volker Bentz
    2
    min. read
    Wie gefährlich ist Social Hacking für Unternehmen?

    Social Engineering (auchsoziale Manipulation“) bezeichnet das Manipulieren des menschlichen Betriebssystems. Das menschliche Betriebssystem, also das Gehirn, weist vermutlich mehr Sicherheitslücken auf als jedes technische Systemund das nutzen Cyberkriminelle gezielt aus. Denn diese machen sich von Social Engineering Gebrauch, um in fremde Computersystem einzudringen und vertrauliche Daten einzusehen. Man spricht dann auch von Social Hacking. Aber wie gefährlich ist das für Unternehmen?

     

    Was ist Social Hacking?

    Allgemein bezeichnet Social Engineering das zwischenmenschliche Beeinflussen von Personen, um diese zu einem bestimmten Verhalten zu bewegen. Wenn Social Engineering dazu benutzt wird, sich Zugang zu einem fremden Computersystem zu verschaffen, spricht man von Social Hacking. Dabei werden vermeintlich positive menschliche Eigenschaften zu einem erheblichen Sicherheitsrisiko. Vertrauen, Autoritätshörigkeit und Sympathie werden so beispielsweise gnadenlos ausgenutzt, um Systeme anzugreifen. Ein weiterer wichtiger Bestandteil des Social Hackings ist oft auch ein gewisses Maß an Spionage, um ausreichend Informationen zu erhalten, die dazu dienen, das Opfer zu täuschen oder den Cyberangriff zu starten.

     

    Jetzt Security Ratgeber kostenlos downloaden!

     

    Arten von Social Hacking

    Phishing-Mails

    Die heutzutage am weitesten verbreitete Variante des Social Hacking sind die Phishing-Mails. Dabei soll der Nutzer so getäuscht werden, dass er Informationen direkt preisgibt oder einen Fehler begeht, den die Kriminellen ausnutzen können. Die E-Mail soll den Nutzer beispielsweise dazu bringen, seine Daten auf einer gefälschten Webseite einzugeben oder sie direkt per E-Mail an den Kriminellen zu senden. Dies wird erreicht, indem sich der Angreifer zum Beispiel als Administrator ausgibt, der ein technisches Problem entdeckt hat und nun die Login-Daten des Nutzers braucht.

     

    Gefälschte Telefonanrufe

    Der Klassiker beim Social Hacking sind gefälschte Telefonanrufe, bei denen sich Kriminelle zum Beispiel als Mitarbeiter der IT-Abteilung ausgeben, um so die Daten des Nutzers zu erhalten. Das Problem hierbei ist, dass die Täuschungen immer besser werden, da die Kriminellen viel mehr Daten zur Verfügung haben. Kleine und vermeintlich unwichtige Informationen lassen sich unter anderem aus sozialen Netzwerken entnehmen und machen den Betrugsversuch viel gefährlicher. Mit all den Informationen, die der Angreifer eventuell schon im Vorfeld gesammelt hat und einigen allzu menschlichen Eigenschaften lässt sich so eine äußerst effektive Angriffstaktik erstellen.

    So verfügt der Angreifer zum Beispiel über Informationen, die das Unternehmen oder Kollegen betreffen. Sie können sich sicher vorstellen wie vertrauenserweckend das sein kann. Oft reicht dazu schon ein Smalltalk über einen Kollegen, der sich derzeit im Urlaub befindet, aus. (Ein Mitarbeiter denkt vielleicht: der Anrufer weiß, dass Kollege X in Urlaub ist, also muss er in unserem Unternehmen arbeiten. In Wahrheit hat der Kriminelle aber in sozialen Netzen Urlaubsfotos des Kollegen X gefunden und daraus Rückschlüsse gezogen).

    Ferner kann der Kriminelle Ihre Mitarbeiter durch Fachsprache relativ leicht verwirren und so an Daten kommen. Auch die Autoritätshörigkeit lässt sich ausnutzen, indem sich der Kriminelle als jemand ausgibt, der in der Unternehmenshierarchie höher steht. Das eigentlich angebrachte Misstrauen wird dann aus Respekt eher selten gezeigt.

     

    Wie kann man sich vor Social Hacking schützen?

    Wie so oft in der IT Sicherheit gibt es auch gegen Social Hacking keinen vollkommen sicheren Schutz. Aber das Risiko, dass Ihre Mitarbeiter oder gar Sie selbst „gehackt“ werden, lässt sich durch Sensibilisierungsmaßnahmen und Security Awareness Trainings erheblich senken. Da eine Kette nur so stark wie ihr schwächstes Glied ist, reicht es natürlich nicht aus, nur die Kollegen der IT-Abteilung zu schulen. Jeder Mitarbeiter stellt ein potenzielles Sicherheitsrisiko für das Unternehmen dar!

    Bei E-Mails sollte stets darauf geachtet werden, dass die Identität des Absenders bekannt ist. Im Zweifel sollten Ihre Mitarbeiter den Administrator kontaktieren. Dieser kann oft weiterhelfen. Selbst auf den ersten Blick unwichtige Daten dürfen nicht an Fremde weitergegeben werden. Außerdem kann man verdächtige Links aus Phishing-Mails über die Suche bei Google ganz einfach auf einen kriminellen Hintergrund hin überprüfen.

     

    Fazit: Schulen Sie Ihre Mitarbeiter!

    Sie sehen, dass Social Hacking eine ernstzunehmende Gefahr für Ihr Unternehmen darstellt. Sie können noch so viel Geld für technische Sicherheitsmaßnahmen ausgegeben haben und dennoch gefährdet sein, da Ihre Mitarbeiter ebenfalls ein Angriffsziel für Cyberkriminelle darstellen! Denn: Viele Cyberangriffe werden nur durch menschliche Unachtsamkeit erfolgreich. In den meisten Systemen ist nicht die Technologie die Schwachstelle, sondern der Mensch!

    Am effektivsten lässt sich dieses Risiko durch Schulungen und Sensibilisierung in Kombination mit modernen Sicherheitstechnologien senken. Im Optimalfall können Ihre Mitarbeiter dann einen Angriffsversuch erkennen oder zumindest die Lage richtig einschätzen und professionelle Hilfe bei Ihrem Administrator anfordern.

     

    Sie möchten mehr zum Thema Security Awareness Training erfahren? Dann informieren Sie sich auf unserem Produktportfolio!

    Jetzt über das myBIT Managed IT-Security Training informieren!