Glossar: Social Engineering

Der Begriff Social Engineering ist der englische Begriff für Soziale Manipulation und bezeichnet das Erlangen vertraulicher Informationen durch Annäherung an Geheimnisträger mittels gesellschaftlicher Kontakte. Social Engineering wird oft im Zusammenhang mit Computerkriminalität verwendet. Dabei bittet dann z.B. ein vermeintlicher Kollege aus einer anderen Filiale des Unternehmens einen Mitarbeiter um seine Benutzerdaten, da er z.B. Wartungen am Server durchführen müsse. Gerne sucht sich der Social Engineer aber auch zunächst die "schwachen" Mitglieder, wie z.B. die Putzfrau oder Sekretärin, eines Unternehmens aus. Hier schafft er eine vertrauliche Basis, um später dann einen einfacheren Kontakt zu den Personen zu bekommen, die die Daten haben die ihn interessieren. Angriffe durch Social Engineering werden zumeist kaum in der Öffentlichkeit bekannt. Zum einen ist es für viele Firmen peinlich, derartige Zugriffe zuzugeben, zum anderen geschehen viele Angriffe so geschickt, dass diese nicht oder erst viel später aufgedeckt werden.

Social Engineering - Was ist Social Enigneering, und welche Gefahren gehen davon aus?

Der englische Begriff Social Engineering steht für soziale Manipulation. Im Bereich der Sicherheit bzw. (Computer-)Kriminalität umfasst Social Engineering (soziale Manipulation) verschiedene Taktiken der zwischenmenschlichen Beeinflussung mit dem Ziel, vertrauliche Informationen zu erlangen oder sich Zugang zu geheimen Daten zu verschaffen. Die soziale Manipulationbeim Social Engineering besteht darin, dass der Social Engineer sich dem Geheimnisträger bzw. einer autorisierten Person in freundlicher, glaub- und vertrauenswürdiger Form annähert, sich dabei in aller Regel als jemand anders mit einer erfundenen Geschichte ausgibt und seine wahren Absichten und Ziele verbirgt. 

Die Annäherung beim Social Engineering kann auf verschiedene Arten geschehen, z. B.:

  • Der Social Engineer gibt sich als Kollege aus einer anderen Filiale aus, der bestimmte Zugangsrechte benötigt.
  • Der Social Engineer beschafft sich Zugang zur Firmen-IT, indem er vorgibt, als Techniker, Administrator o. Ä. Wartungsarbeiten durchführen zu müssen, für die er bestimmte Benutzerdaten (z. B. Zugangscodes) braucht. 
  • Der Social Engineer knüpft außerhalb des Unternehmens freundschaftliche Kontakte zu Mitarbeitern mit bestimmten Zugangsrechten, z. B. Reinigungskraft (Schlüssel, Zeitpläne) oder Sekretärin (Passwörter, vertrauliche Informationen, Kontakte zu Vorgesetzten/Geheimnisträgern).

Soziale Manipulation erfordert Strategie: Meist agiert der Täter nicht einfach "aus dem Bauch heraus", sondern weiß, was er durch soziale Manipulation von Mitarbeitern erfahren kann. So ist es in aller Regel auch für Außenstehende problemlos möglich, sich einen gewissen Fundus an Hintergrundwissen über ein Unternehmen, dessen Geschäftspartner und tägliche Abläufe anzueignen, um als "Insider" glaubhaft auftreten zu können. Auch der tägliche "Flurfunk", der viele Ansätze für soziale Manipulation bietet, ist oft mehr oder weniger öffentlich, weil viele Mitarbeiter sich per Social Media darüber zwanglos austauschen. Und nicht zuletzt kann ein charmanter Social Engineer - gleich welchen Geschlechts - auch soziale Manipulation betreiben, indem er sich über einen Flirt, ein vermeintlich gemeinsames Hobby oder sogar eine Liebesgeschichte in Herz und Vertrauen eines Firmenmitarbeiters einschleicht. 

Geht der Plan auf, können durch soziale Manipulation erhebliche Mengen wertvoller Daten gestohlen und für eigene Zwecke verwendet werden, bevor jemand Verdacht schöpft. Und weil es vielen Unternehmen peinlich ist, zuzugeben, dass ihnen durch Social Engineering Schaden entstanden ist, bleiben in diesem Bereich viele Fälle ungesühnt. Die Täter selbst gehen bei diesem taktischen Spiel oft mit erstaunlichem Geschick vor und können darum nur durch ein mindestens ebenso klug geplantes und geschicktes Gegenspiel enttarnt werden. 

Schnell handeln beim Verdacht auf Social Engineering

Daten gehen auf unerklärliche Weise verloren, gut gehütete Betriebsgeheimnisse sind plötzlich der Konkurrenz bekannt, jemand entdeckt ein unbekanntes Kleingerät in einer sonst ungenutzten Buchse des Arbeitsrechners? Es gibt sehr viele subtile und einige deutliche Zeichen, die auf Social Engineering hinweisen können. Besteht ein Verdacht auf soziale Manipulation, ist es wichtig, diesem schnell nachzugehen. Hier lohnt es sich, eine Detektei einzuschalten, die mit den modernen Formen der Wirtschaftskriminalität vertraut ist und bei Verdacht auf Social Engineering rasch und gleichzeitig diskret ermittelt. So muss unter anderem abgeklärt werden, ob es sich überhaupt um Social Engineering handelt oder um klassische Industriespionage, einen Hackerangriff, einen Fehler in der IT oder grobe Fahrlässigkeit beim Umgang mit Passwörtern und Firmendaten. 

Es geht also zunächst darum, die "undichte Stelle" zu finden. Sollte das tatsächlich ein Mitarbeiter sein, der geschicktem Social Engineering zum Opfer gefallen ist, ist es wichtig, den dahinterstehenden Social Engineer dingfest zu machen und möglichst für seine Taten zur Rechenschaft zu ziehen, ohne dabei zu viel Staub aufzuwirbeln. Dabei die richtige Vorgehensweise zu wählen und alle geeigneten Mittel rechtssicher einzusetzen, erfordert Expertenwissen im IT-Bereich, eine profunde Kenntnis der aktuellen Gesetzeslage und außerdem viel Erfahrung und Fingerspitzengefühl beim Ermitteln.

Unsere qualifizierten Fachberater und /Detektive können Sie und das Personal in Ihrer Firma hierfür schulen und sensibilisieren.

Zurück zum Glossar

Hier kommen die zu Wort, die es wirklich wissen müssen: unsere Mandanten

Kundenbewertungen für Detektei Lentz & Co. GmbH
Kundenbewertungen für Detektei Lentz & Co. GmbH
4.9 / 5 aus 488 Meinungen
KundenstimmeMitarbeiter­beobachtung wurde ohne Ein­schränkung zu unserer vollsten Zu­frieden­heit an vier Be­obachtungs­tagen durchgeführt. Aus der schriftlichen und der Bild­doku­men­tation wird deutlich, dass hier echte Profis tätig sind.
S. Mesner, Herne
KundenstimmeMeine Ansprechpartnerin überzeugte mich. Sie ist ruhig, klar deutlich und sachlich in der Beratung, sowie in der Leitung des Einsatzes. Ich fühle mich von Ihr und den Ermittlern sehr gut bedient, eine sympathische Detektei "zum Anfassen".
Maximilian Breuer, Düsseldorf
KundenstimmeKompetent, zielstrebig, verlässlich und vor allen Dingen vertragstreu.
Dr. Werner G., München

Eigene Ansprechpartner – kein Callcenter!

Überdurchschnittlich hohe Aufklärungsquoten

Bei Bedarf rund um die Uhr im Einsatz

Nur qualifizierte ZAD geprüfte Privatermittler - IHK

Niemals Subunternehmer!