Januar 2026

Social Engineering

Dieser Beitrag ist der Start einer kleinen Reihe von Themen rund um Social Engineering.Die erste Reihe befasst sich mit der Frage:

Was ist Social Engineering

Ich nehme an, dass sie einige bekannte Tricks in diesem Bereich schon kennen, vor allem: der Betrug an älteren Menschen durch absurde Telefonate, die dazu führen, dass größere Geldbeträge abgegriffen werden.

In der heutigen, digitalen Welt bekommen Betrüger ganz vielseitige Möglichkeiten und Gelegenheiten. Dann spricht man von Social Engineering. Dadurch können Menschen in die Irre geführt und zu Handlungen veranlasst werden, die sie eigentlich nicht tun würden.

Computersysteme werden durch Firewall, verschlüsselte Kommunikation oder anderen Einschränkungen geschützt. Um trotzdem in diese Systeme reinzukommen, bereiten sich Angreifen und Hacker, meist mit weiter Voraussicht, darauf vor.

Dafür werden psychologische Tricks und menschliche Eigenschaften ausgenutzt:

• Angst – zum Beispiel durch die Drohung, dass Daten unwiderruflich gelöscht werden
• Zeitdruck – so soll beispielweise eine angeblich wichtige Überweisung schnell überwiesen werden, wobei das Geld beim Angreifer landet.
• Hilfsbereitschaft – ein nett gemeintes Türaufhalten kann dazu führen, dass unbefugte Personen Zugang zum Unternehmensgelände bekommen.
• Vertrauen in Personen, die man kennt – oft geben Täter sich als Freunde oder Bekannte aus.
• Respekt und Vertrauen in Autoritätspersonen – z.B. gegenüber dem Chef oder Beamten, was dazu führen kann, dass man bei seltsamen E-Mails nicht nachfragt.
• Täuschung - Hacker können in E-Mails und Telefonaten leicht die Identität von anderen Personen annehmen.

Das Ziel ist dabei:

• Vertrauliche Daten zu bekommen, wie z.B. Passwörter oder
• Den Benutzer, dazu zu bringen Schadcode auf einem Rechner auszuführen, z.B. durch Anklicken eines Links oder einer fingierten Webseite

Arten von Social Engineering:

• Phishing, Smishing, Vishing – „Abfischen von Passwörtern“
• Eavesdropping – „Lauschangriff in der Öffentlichkeit“
• Dumpster Diving – „Vertrauliche Informationen aus dem Müll zaubern“
• USB Dropping – „Das neue trojanische Pferd“
• Tailgating – „Unberechtigter Zutritt durch Hindurchschlüpfen“
• Shoulder Surfing – „Ungewolltes Mitlesen“
• CEO Fraud – „Überweisung von hohen Geldbeträgen“

Dabei passieren solche Informationssammlung oft schon Wochen oder Monate vorher, durch E-Mail oder Telefonate. Dabei sind soziale Medien, wie z.B. Xing oder LinkedIn, eine gute Adresse. So sind Informationen wie bspw. Strukturen von Organisationen, Mitarbeiter und deren Funktion oder aktuelle Projekte des Unternehmens, oft im Internet frei zugänglich.

Wie kann man sich dagegen schützen?

Zum einen sind Sie durch die Kenntnis dieser psychologischen Tricks und Möglichkeiten des Social Engineerings, gut vorbereitet.

Außerdem sollten Sie aber noch folgende Tipps berücksichtigen:

• Seien Sie skeptisch bei unerwarteten Anrufen oder E-Mails!
  (Geben Sie keine internen Informationen, wie Ansprechpartner, Telefonnummern, etc. weiter)
• Fragen Sie beim Anrufer oder Absender nach seinen Kontaktdaten. Prüfen Sie diese Daten! (Kontaktieren Sie den Anrufer oder Absender auf einem anderen Kommunikationsweg)
• Teilen Sie in den sozialen Medien keine internen Informationen, wie z.B. über aktuelle Forschungsprojekte!
  (Achten Sie auf die Einstellungen in den sozialen Medien!
  Nehmen Sie Freundschaftsanfragen nur von Personen an, die Sie persönlich kennen.)
• Seien Sie misstrauisch gegenüber verlockenden Angeboten!
• Erst denken, dann klicken! Überlegen Sie in Ruhe, ob Sie auf den Link im E-Mail klicken oder nicht! Untersuchen Sie den sogenannten „Wer-Bereich“ des Links!
• Seien Sie vorsichtig bei Dateianhängen! Öffnen Sie im Zweifelsfall die Datei eher nicht!
• Verbinden Sie gefundene USB-Sticks nicht mit Ihrem PC. DER USB-Stick könnte Schadsoftware enthalten!
  (Senden Sie den USB-Stick an den IT-Helpdesk!)
• Wenn Ihnen etwas komisch oder verdächtig vorkommt, wenden Sie sich an den Informationssicherheitsbeauftragten Ihrer Hochschule.
  Auch wenn Sie bereits Opfer eines Social Engineering Angriffs sind, melden Sie sich beim ISB.