Social Engineering
Social Engineering bezeichnet die gezielte psychologische Manipulation von Menschen, um sie zur Preisgabe vertraulicher Informationen oder zu sicherheitskritischen Handlungen zu bewegen und so technische Schutzmaßnahmen zu umgehen.
Social Engineering ist eine Angriffsform, bei der nicht die Technik, sondern der Mensch als schwächstes Glied der Sicherheitskette ausgenutzt wird. Angreifer manipulieren ihre Opfer durch das gezielte Ausnutzen menschlicher Eigenschaften wie Hilfsbereitschaft, Vertrauen, Autoritätshörigkeit, Angst oder Zeitdruck. Selbst hochwertige technische Schutzmaßnahmen wie Firewalls, Verschlüsselung oder Mehr-Faktor-Authentifizierung laufen ins Leere, wenn ein Mitarbeitender dazu gebracht wird, Zugangsdaten preiszugeben, eine schädliche Datei zu öffnen oder eine betrügerische Überweisung freizugeben.
Die Erscheinungsformen sind vielfältig: Phishing und Spear-Phishing über E-Mail, Vishing (telefonischer Betrug), Smishing (per SMS), Pretexting (Vortäuschen einer glaubwürdigen Identität oder Situation), CEO-Fraud beziehungsweise Business E-Mail Compromise sowie physische Varianten wie Tailgating (unbefugtes Mitgehen durch gesicherte Türen) oder das Ablegen präparierter USB-Sticks (Baiting). Häufig kombinieren Angreifer mehrere Kanäle und nutzen öffentlich verfügbare Informationen aus sozialen Netzwerken (Open Source Intelligence), um ihre Angriffe glaubwürdig und passgenau zu gestalten.
Wirksamer Schutz vor Social Engineering ist primär organisatorisch und erfordert eine kontinuierliche Sensibilisierung der Beschäftigten (Security Awareness), klare Prozesse für die Verifizierung von Anweisungen und Zahlungsfreigaben sowie eine Sicherheitskultur, in der das Melden verdächtiger Vorfälle erwünscht und sanktionsfrei ist. Die NIS2-Richtlinie und der BSI IT-Grundschutz fordern explizit Schulungs- und Sensibilisierungsmaßnahmen; auch ISO/IEC 27001 verankert Awareness und das Management menschlicher Risiken als verbindliche Bestandteile eines Informationssicherheits-Managementsystems.
Rechtliche Grundlage
Art. 21 Abs. 2 lit. g NIS2-Richtlinie (EU) 2022/2555 (Cyberhygiene und Schulungen); ISO/IEC 27001:2022 Anhang A 6.3 (Informationssicherheitsbewusstsein, -ausbildung und -schulung); BSI IT-Grundschutz Baustein ORP.3 (Sensibilisierung und Schulung)
Praxisbeispiel
Eine Sachbearbeiterin in der Buchhaltung erhält eine E-Mail, die scheinbar von der Geschäftsführung stammt und unter Hinweis auf eine vertrauliche Übernahme die sofortige Überweisung von 48.000 Euro an einen neuen Lieferanten verlangt. Der Absendername stimmt, der Tonfall passt, und es wird Eile betont. Weil das Unternehmen jedoch ein verpflichtendes Vier-Augen-Prinzip für Zahlungen über 10.000 Euro sowie eine Rückrufverifizierung über eine im System hinterlegte Telefonnummer etabliert hat, ruft die Sachbearbeiterin den vermeintlichen Auftraggeber zurück, deckt den CEO-Fraud auf und meldet den Vorfall an die Informationssicherheitsbeauftragte, die daraufhin eine gezielte Warnung an alle Beschäftigten versendet.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren