Glossar: Social Engineering

Der Begriff Social Engineering ist der englische Begriff für Soziale Manipulation und bezeichnet das Erlangen vertraulicher Informationen durch Annäherung an Geheimnisträger mittels gesellschaftlicher Kontakte. Social Engineering wird oft im Zusammenhang mit Computerkriminalität verwendet. Dabei bittet dann z.B. ein vermeintlicher Kollege aus einer anderen Filiale des Unternehmens einen Mitarbeiter um seine Benutzerdaten, da er z.B. Wartungen am Server durchführen müsse. Gerne sucht sich der Social Engineer aber auch zunächst die ’schwachen‘ Mitglieder, wie z.B. die Putzfrau oder Sekretärin, eines Unternehmens aus. Hier schafft er eine vertrauliche Basis, um später dann einen einfacheren Kontakt zu den Personen zu bekommen, die die Daten haben die ihn interessieren. Angriffe durch Social Engineering werden zumeist kaum in der Öffentlichkeit bekannt. Zum einen ist es für viele Firmen peinlich, derartige Zugriffe zuzugeben, zum anderen geschehen viele Angriffe so geschickt, dass diese nicht oder erst viel später aufgedeckt werden.

Social Engineering – Was ist Social Enigneering, und welche Gefahren gehen davon aus?

Der englische Begriff Social Engineering steht für soziale Manipulation. Im Bereich der Sicherheit bzw. (Computer-)Kriminalität umfasst Social Engineering (soziale Manipulation) verschiedene Taktiken der zwischenmenschlichen Beeinflussung mit dem Ziel, vertrauliche Informationen zu erlangen oder sich Zugang zu geheimen Daten zu verschaffen. Die soziale Manipulationbeim Social Engineering besteht darin, dass der Social Engineer sich dem Geheimnisträger bzw. einer autorisierten Person in freundlicher, glaub- und vertrauenswürdiger Form annähert, sich dabei in aller Regel als jemand anders mit einer erfundenen Geschichte ausgibt und seine wahren Absichten und Ziele verbirgt. 

Die Annäherung beim Social Engineering kann auf verschiedene Arten geschehen, z. B.:

  • Der Social Engineer gibt sich als Kollege aus einer anderen Filiale aus, der bestimmte Zugangsrechte benötigt.
  • Der Social Engineer beschafft sich Zugang zur Firmen-IT, indem er vorgibt, als Techniker, Administrator o. Ä. Wartungsarbeiten durchführen zu müssen, für die er bestimmte Benutzerdaten (z. B. Zugangscodes) braucht. 
  • Der Social Engineer knüpft außerhalb des Unternehmens freundschaftliche Kontakte zu Mitarbeitern mit bestimmten Zugangsrechten, z. B. Reinigungskraft (Schlüssel, Zeitpläne) oder Sekretärin (Passwörter, vertrauliche Informationen, Kontakte zu Vorgesetzten/Geheimnisträgern).

Soziale Manipulation erfordert Strategie: Meist agiert der Täter nicht einfach ‚aus dem Bauch heraus‘, sondern weiß, was er durch soziale Manipulation von Mitarbeitern erfahren kann. So ist es in aller Regel auch für Außenstehende problemlos möglich, sich einen gewissen Fundus an Hintergrundwissen über ein Unternehmen, dessen Geschäftspartner und tägliche Abläufe anzueignen, um als ‚Insider‘ glaubhaft auftreten zu können. Auch der tägliche ‚Flurfunk‘, der viele Ansätze für soziale Manipulation bietet, ist oft mehr oder weniger öffentlich, weil viele Mitarbeiter sich per Social Media darüber zwanglos austauschen. Und nicht zuletzt kann ein charmanter Social Engineer – gleich welchen Geschlechts – auch soziale Manipulation betreiben, indem er sich über einen Flirt, ein vermeintlich gemeinsames Hobby oder sogar eine Liebesgeschichte in Herz und Vertrauen eines Firmenmitarbeiters einschleicht. 

Geht der Plan auf, können durch soziale Manipulation erhebliche Mengen wertvoller Daten gestohlen und für eigene Zwecke verwendet werden, bevor jemand Verdacht schöpft. Und weil es vielen Unternehmen peinlich ist, zuzugeben, dass ihnen durch Social Engineering Schaden entstanden ist, bleiben in diesem Bereich viele Fälle ungesühnt. Die Täter selbst gehen bei diesem taktischen Spiel oft mit erstaunlichem Geschick vor und können darum nur durch ein mindestens ebenso klug geplantes und geschicktes Gegenspiel enttarnt werden. 

Schnell handeln beim Verdacht auf Social Engineering

Daten gehen auf unerklärliche Weise verloren, gut gehütete Betriebsgeheimnisse sind plötzlich der Konkurrenz bekannt, jemand entdeckt ein unbekanntes Kleingerät in einer sonst ungenutzten Buchse des Arbeitsrechners? Es gibt sehr viele subtile und einige deutliche Zeichen, die auf Social Engineering hinweisen können. Besteht ein Verdacht auf soziale Manipulation, ist es wichtig, diesem schnell nachzugehen. Hier lohnt es sich, eine Detektei einzuschalten, die mit den modernen Formen der Wirtschaftskriminalität vertraut ist und bei Verdacht auf Social Engineering rasch und gleichzeitig diskret ermittelt. So muss unter anderem abgeklärt werden, ob es sich überhaupt um Social Engineering handelt oder um klassische Industriespionage, einen Hackerangriff, einen Fehler in der IT oder grobe Fahrlässigkeit beim Umgang mit Passwörtern und Firmendaten. 

Es geht also zunächst darum, die ‚undichte Stelle‘ zu finden. Sollte das tatsächlich ein Mitarbeiter sein, der geschicktem Social Engineering zum Opfer gefallen ist, ist es wichtig, den dahinterstehenden Social Engineer dingfest zu machen und möglichst für seine Taten zur Rechenschaft zu ziehen, ohne dabei zu viel Staub aufzuwirbeln. Dabei die richtige Vorgehensweise zu wählen und alle geeigneten Mittel rechtssicher einzusetzen, erfordert Expertenwissen im IT-Bereich, eine profunde Kenntnis der aktuellen Gesetzeslage und außerdem viel Erfahrung und Fingerspitzengefühl beim Ermitteln.

Unsere qualifizierten Fachberater und /Detektive können Sie und das Personal in Ihrer Firma hierfür schulen und sensibilisieren.



Über den Autor: Alexander Malien

Alexander Malien

Der 33jährige ehemalige Bundeswehrsoldat Alexander Malien ist seit 2009 in der Detektei Lentz GmbH & Co. Detektive KG als Privatermittler tätig, absolvierte von 2010 – 2012 die Ausbildung zum ZAD geprüften Privatermittler – IHK und ist überwiegend in der Mandantenbetreuung und im taktischen Observationsdienst im In- und Ausland tätig und leitet hierbei Detektiv-Teams von bis zu fünf Detektiven.

In seiner Freizeit fährt er gern Motorrad, spielt Fußball in seinem Verein.

Nehmen Sie Kontakt auf.

Zurück zum Glossar

Hier kommen die zu Wort, die es wirklich wissen müssen: unsere Mandanten

KundenstimmeSehr kompetent, zuverlässig und zielorientiert. Positiv auch, dass der Ansprech­partner ständig online erreichbar und über den aktuellen Sach­stand informiert war.
Dorothee S., Waiblingen
KundenstimmeSelten sieht man einen so derart guten Dienstleister, der sich mit Herz einsetzt. Sehr engagiert, professionell und mitfühlend und ist auch nach Abschluss für einen da. Kann ich mit gutem Gewissen weiterempfehlen! Note 1*. Alles Gute
Jürgen Harms, Berlin
KundenstimmeMit unglaublichem Biss und dem Anspruch nicht verlieren zu wollen hat die Detektei Lentz von Anfang an einen roten Faden verfolgt, der schluss­endlich den Erfolg für uns gebracht hat.
K.H. Reichelt, Wolfsburg
Top Dienstleister 2024 - ausgezeichnet.org
Mandantenbewertung

Im Detail sehen die Bewertungen durch unsere Mandanten wie folgt aus:

Beratungsqualitätdurchschn. Bewertung: 5
Auftragsbearbeitungdurchschn. Bewertung: 5
Ergebnisqualitätdurchschn. Bewertung: 5
Tätigkeitsberichtedurchschn. Bewertung: 5
Transparenzdurchschn. Bewertung: 5
Vertragsgestaltungdurchschn. Bewertung: 5
Erreichbarkeitdurchschn. Bewertung: 4
Zuverlässigkeitdurchschn. Bewertung: 5
Gesamtdurchschn. Gesamtnote: 4,91
Eigene Ansprechpartner – kein Callcenter!
Eigene Ansprechpartner – kein Callcenter!
Überdurchschnittlich hohe Aufklärungsquoten
Überdurchschnittlich hohe Aufklärungsquoten
Bei Bedarf rund um die Uhr im Einsatz
Bei Bedarf rund um die Uhr im Einsatz
Nur qualifizierte ZAD geprüfte Privatermittler - IHK
Nur qualifizierte ZAD geprüfte Privatermittler - IHK
Niemals Subunternehmer!
Niemals Subunternehmer!

Hinweis: Die Lentz GmbH & Co. Detektive KG macht ausdrücklich darauf aufmerksam, dass es sich nicht bei allen im Webauftritt namentlich aufgeführten Städten und Ländern um Büros, oder Niederlassungen handelt, sondern größtenteils auch um von der nächstgelegenen Betriebsstätte unserer Detektei aus ständig betreuten und für die beschriebenen Observationen und Ermittlungen einmalig, oder regelmäßig aufgesuchte Einsatzorte; dies gilt insbesondere ausdrücklich für alle unsere Einsatzorte im Ausland. Nicht in allen genannten Städten werden Betriebsstätten unterhalten. Die beschriebenen Einsätze sind real und authentisch. Alle Fälle haben sich so tatsächlich wie beschrieben ereignet. Die Namen von beteiligten Personen, oder Unternehmen, bzw. Detailangaben wurden jedoch geändert, soweit hierdurch die Persönlichkeitsrechte der Betroffenen verletzt worden wären und Rückschlüsse auf ihre Identität möglich gewesen wäre. Die Veröffentlichung der Fallbeispiele erfolgte mit freundlicher Genehmigung der jeweiligen Mandanten. Die Inhalte dieser Webseite sind niemals und zu keinem Zeitpunkt Bestandteil eines Vertrages zwischen der Detektei und einem Mandanten. Maßgebend sind allein und ausschließlich die in der Auftrags- und Honorarvereinbarung niedergelegten und dokumentierten Vereinbarungen und Absprachen, bzw. etwaige sonstige Nebenabreden und Vereinbarungen, sofern jeweils wechselseitig schriftlich bestätigt. Mündliche Nebenabreden bedürfen zu ihrer Wirksamkeit immer der wechselseitigen, schriftlichen Bestätigung zwischen Detektei und Mandant. Dieser Hinweis ist ausdrücklich als ständiger Teil unseres Webauftrittes zu verstehen und gültig für alle Seiten, auf denen er eingeblendet wird.