Datenklau durch Manipulation

Datenklau durch Manipulation

Datenklau durch Manipulation

Social Engineers nutzen die „Schwachstelle Mensch“

Stuhr im März 2020. Es gibt viele verschiedene Methoden, mit denen Hacker versuchen an sensible Daten von Unternehmen, staatlichen Behörden oder Privatpersonen zu gelangen.

Nicht immer setzen Betrüger auf rein technische Mittel wie das Hacken von IT-Systemen, sondern manchmal auch ganz gezielt auf die Vertrauenswürdigkeit ihrer Mitmenschen – wie beispielsweise der aus dem Hollywoodfilm „Catch Me If You Can“ bekannte Scheckbetrüger Frank William Abagnale Jr. Auch bei der Methode Social Engineering setzen Hacker gezielt beim schwächsten Glied in der Kette des Datenschutzes, dem Menschen, an.

„Social Engineering stellt eine zwischenmenschliche Beeinflussung mit dem Ziel dar, bestimmte Verhaltensweisen bei Personen hervorzurufen und an vertrauliche Informationen zu gelangen. Soll über diese Methode in ein fremdes Computersystem eingedrungen werden, spricht man auch von Social Hacking“, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.

 

Langwieriges Datensammeln

Sogenannte Social Engineers spionieren dabei das persönliche Umfeld ihres Opfers aus oder täuschen Identitäten vor, um beispielsweise an geheime Unternehmensinformationen, persönliche Kennwörter oder PIN-Nummern zu gelangen. „Mitarbeiter in Unternehmen werden häufig per E-Mail oder auch telefonisch kontaktiert und über einzelne Informationen ausgefragt.

Die Hacker geben sich zum Beispiel als Führungsperson oder auch Techniker aus und verlangen vertrauliche Zugangsdaten. Manchmal behaupten die Betrüger auch, ein Kunde oder Lieferant zu sein und sammeln so über einen längeren Zeitraum – dieses Ausspionieren kann auch ein halbes Jahr dauern – verschiedene Daten“, berichtet Hösel.

Über öffentlich zugängliche Quellen werden vorab meist kleine Informationsfetzen wie Verfahrensweisen oder Unternehmenshierarchie recherchiert. Diese helfen dem Hacker, Insiderwissen vorzutäuschen, und erleichtern somit die zwischenmenschliche Manipulation.

 

Vorsicht in sozialen Netzwerken

Im Privatbereich erfolgt das Social Engineering oft über die sozialen Medien. Täter stellen meist Bekannten des eigentlichen Opfers Freundschaftsanfragen. Haben Personen einer solchen Anfrage zugestimmt, erhält nun auch die Zielperson eine. Da die Bekannten bereits mit dem Betrüger „befreundet“ sind und sich so eine scheinbar persönliche Verbindung herstellen lässt, stimmt häufig auch die eigentliche Zielperson zu.

„Über Posts, Likes und Fotos sammeln Täter erste Informationen und erfahren etwas über die Persönlichkeit der Zielperson. In Chats können Hacker weitere Informationen erfragen und somit ihre Kenntnisse ergänzen. Manchmal täuschen diese nach einer gewissen Zeit auch einen Notfall vor, um weitere Details zu erfragen, die Menschen im Normalfall nicht preisgeben würden – dies in der Stresssituation jedoch tun“, sagt der Datenschutzbeauftragte.

Weitreichende Bekanntheit erlangte diese Methode vor allem durch den US-amerikanischen Hacker Kevin Mitnick, der durch sein Eindringen in fremde Computer zu einer der meistgesuchtesten Personen der Vereinigten Staaten wurde. In seinem Buch beschreibt er, dass Social Engineering deutlich schneller zu gewünschten Informationen führt als rein technische Methoden.

 

Prävention durch Sensibilisierung

Um sich vor dieser Methode zu schützen, gilt es, sich als Privatperson und Mitarbeiter in Unternehmen für Social Engineering zu sensibilisieren, beispielsweise durch Datenschutzschulungen.

„Generell empfiehlt es sich, E-Mails und Anrufen von unbekannten Personen misstrauisch zu begegnen und im Zweifelsfall nie sensible Daten weiterzugeben“, rät Hösel und ergänzt: „Auch Links von scheinbar bekannten Absendern, die jedoch von einer fremden Mailadresse stammen, sollten nicht geöffnet werden. Hacker nutzen immer häufiger bekannte Layouts, beispielsweise von einem Kreditinstitut, die zu einer Login-Seite führen. So sollen Benutzername und Kennwort gestohlen werden. Um die Login-Daten nicht an Betrüger preiszugeben, empfiehlt es sich, wichtige Seiten als Lesezeichen zu speichern und immer diesen Zugang für den Login zu nutzen.“

E-Mails, Anrufe oder SMS, die Gewinne versprechen, sobald man persönliche Daten weitergibt, gilt es zu ignorieren. Schließlich hat kaum jemand etwas zu verschenken. Zuletzt stellt das kritische Überdenken vom Teilen privater Inhalte in den sozialen Medien einen einfachen Schritt zu mehr Sicherheit dar.

Quelle: Pressemeldung Hubit