Zum Inhalt springen

Glossar: Social Engineering

Der Begriff Social Engineering ist der englische Begriff für Soziale Manipulation und bezeichnet das Erlangen vertraulicher Informationen durch Annäherung an Geheimnisträger mittels gesellschaftlicher Kontakte. Social Engineering wird oft im Zusammenhang mit Computerkriminalität verwendet. Dabei bittet dann z.B. ein vermeintlicher Kollege aus einer anderen Filiale des Unternehmens einen Mitarbeiter um seine Benutzerdaten, da er z.B. Wartungen am Server durchführen müsse. Gerne sucht sich der Social Engineer aber auch zunächst die ’schwachen‘ Mitglieder, wie z.B. die Putzfrau oder Sekretärin, eines Unternehmens aus. Hier schafft er eine vertrauliche Basis, um später dann einen einfacheren Kontakt zu den Personen zu bekommen, die die Daten haben die ihn interessieren. Angriffe durch Social Engineering werden zumeist kaum in der Öffentlichkeit bekannt. Zum einen ist es für viele Firmen peinlich, derartige Zugriffe zuzugeben, zum anderen geschehen viele Angriffe so geschickt, dass diese nicht oder erst viel später aufgedeckt werden.

Social Engineering – Was ist Social Enigneering, und welche Gefahren gehen davon aus?

Der englische Begriff Social Engineering steht für soziale Manipulation. Im Bereich der Sicherheit bzw. (Computer-)Kriminalität umfasst Social Engineering (soziale Manipulation) verschiedene Taktiken der zwischenmenschlichen Beeinflussung mit dem Ziel, vertrauliche Informationen zu erlangen oder sich Zugang zu geheimen Daten zu verschaffen. Die soziale Manipulationbeim Social Engineering besteht darin, dass der Social Engineer sich dem Geheimnisträger bzw. einer autorisierten Person in freundlicher, glaub- und vertrauenswürdiger Form annähert, sich dabei in aller Regel als jemand anders mit einer erfundenen Geschichte ausgibt und seine wahren Absichten und Ziele verbirgt. 

Die Annäherung beim Social Engineering kann auf verschiedene Arten geschehen, z. B.:

  • Der Social Engineer gibt sich als Kollege aus einer anderen Filiale aus, der bestimmte Zugangsrechte benötigt.
  • Der Social Engineer beschafft sich Zugang zur Firmen-IT, indem er vorgibt, als Techniker, Administrator o. Ä. Wartungsarbeiten durchführen zu müssen, für die er bestimmte Benutzerdaten (z. B. Zugangscodes) braucht. 
  • Der Social Engineer knüpft außerhalb des Unternehmens freundschaftliche Kontakte zu Mitarbeitern mit bestimmten Zugangsrechten, z. B. Reinigungskraft (Schlüssel, Zeitpläne) oder Sekretärin (Passwörter, vertrauliche Informationen, Kontakte zu Vorgesetzten/Geheimnisträgern).

Soziale Manipulation erfordert Strategie: Meist agiert der Täter nicht einfach ‚aus dem Bauch heraus‘, sondern weiß, was er durch soziale Manipulation von Mitarbeitern erfahren kann. So ist es in aller Regel auch für Außenstehende problemlos möglich, sich einen gewissen Fundus an Hintergrundwissen über ein Unternehmen, dessen Geschäftspartner und tägliche Abläufe anzueignen, um als ‚Insider‘ glaubhaft auftreten zu können. Auch der tägliche ‚Flurfunk‘, der viele Ansätze für soziale Manipulation bietet, ist oft mehr oder weniger öffentlich, weil viele Mitarbeiter sich per Social Media darüber zwanglos austauschen. Und nicht zuletzt kann ein charmanter Social Engineer – gleich welchen Geschlechts – auch soziale Manipulation betreiben, indem er sich über einen Flirt, ein vermeintlich gemeinsames Hobby oder sogar eine Liebesgeschichte in Herz und Vertrauen eines Firmenmitarbeiters einschleicht. 

Geht der Plan auf, können durch soziale Manipulation erhebliche Mengen wertvoller Daten gestohlen und für eigene Zwecke verwendet werden, bevor jemand Verdacht schöpft. Und weil es vielen Unternehmen peinlich ist, zuzugeben, dass ihnen durch Social Engineering Schaden entstanden ist, bleiben in diesem Bereich viele Fälle ungesühnt. Die Täter selbst gehen bei diesem taktischen Spiel oft mit erstaunlichem Geschick vor und können darum nur durch ein mindestens ebenso klug geplantes und geschicktes Gegenspiel enttarnt werden. 

Schnell handeln beim Verdacht auf Social Engineering

Daten gehen auf unerklärliche Weise verloren, gut gehütete Betriebsgeheimnisse sind plötzlich der Konkurrenz bekannt, jemand entdeckt ein unbekanntes Kleingerät in einer sonst ungenutzten Buchse des Arbeitsrechners? Es gibt sehr viele subtile und einige deutliche Zeichen, die auf Social Engineering hinweisen können. Besteht ein Verdacht auf soziale Manipulation, ist es wichtig, diesem schnell nachzugehen. Hier lohnt es sich, eine Detektei einzuschalten, die mit den modernen Formen der Wirtschaftskriminalität vertraut ist und bei Verdacht auf Social Engineering rasch und gleichzeitig diskret ermittelt. So muss unter anderem abgeklärt werden, ob es sich überhaupt um Social Engineering handelt oder um klassische Industriespionage, einen Hackerangriff, einen Fehler in der IT oder grobe Fahrlässigkeit beim Umgang mit Passwörtern und Firmendaten. 

Es geht also zunächst darum, die ‚undichte Stelle‘ zu finden. Sollte das tatsächlich ein Mitarbeiter sein, der geschicktem Social Engineering zum Opfer gefallen ist, ist es wichtig, den dahinterstehenden Social Engineer dingfest zu machen und möglichst für seine Taten zur Rechenschaft zu ziehen, ohne dabei zu viel Staub aufzuwirbeln. Dabei die richtige Vorgehensweise zu wählen und alle geeigneten Mittel rechtssicher einzusetzen, erfordert Expertenwissen im IT-Bereich, eine profunde Kenntnis der aktuellen Gesetzeslage und außerdem viel Erfahrung und Fingerspitzengefühl beim Ermitteln.

Unsere qualifizierten Fachberater und /Detektive können Sie und das Personal in Ihrer Firma hierfür schulen und sensibilisieren.



Über den Autor: Robin Schellberg

Robin Schellberg

Robin Schellberg ist seit vier Jahren, nach erfolgreichem Abschluss seiner Ausbildung als Fachinformatiker als Detektiv-Sachbearbeiter tätig, verfügt über mehrjährige praktische Observations- und Ermittlungserfahrung in ganz Deutschland und Europa

Herr Schellberg spricht neben deutsch auch englisch fließend und ist in ihrer Freizeit begeisterter Motorradfahrer.

Nehmen Sie Kontakt auf.

Zurück zum Glossar

Das sagen unsere unsere Mandanten

Kundenstimme
Ich bin sehr zufrieden und fühlte mich gut aufgehoben und fair behandelt
Volker R., Heppenheim
Kundenstimme
Mit unglaublichem Biss und dem Anspruch nicht verlieren zu wollen hat die Detektei Lentz von Anfang an einen roten Faden verfolgt, der schluss­endlich den Erfolg für uns gebracht hat.
K.H. Reichelt, Wolfsburg
Kundenstimme
In einer augen­scheinlich aussichts­losen Situation, konnten die vier Detektive ein schier unglaubliches Ergebnis erzielen. Das wäre auch sechs Sterne Wert!!!!
Wilhelm R., Leipzig
Eigene Ansprechpartner – kein Callcenter!
Eigene Ansprechpartner – kein Callcenter!
Überdurchschnittlich hohe Aufklärungsquoten
Überdurchschnittlich hohe Aufklärungsquoten
Bei Bedarf rund um die Uhr im Einsatz
Bei Bedarf rund um die Uhr im Einsatz
Nur qualifizierte ZAD geprüfte Privatermittler - IHK
Nur qualifizierte ZAD geprüfte Privatermittler - IHK
Niemals Subunternehmer!
Niemals Subunternehmer!