Social Engineering bezeichnet die Praxis, Menschen dazu zu manipulieren, Handlungen auszuführen, die sie normalerweise vermeiden würden. Im geschäftlichen Kontext ist das Ziel häufig:
- jemanden davon zu überzeugen, eine Zahlung zu genehmigen,
- Bankverbindungsdaten zu ändern,
- Waren auf Kredit freizugeben,
- vertrauliche Informationen oder Zugangsdaten weiterzugeben.
Betrüger analysieren sorgfältig Ihre Organisation, Ihre Hierarchien und Ihre Kommunikationsweise. Anschließend erstellen sie Nachrichten und Szenarien, die vertraut, glaubwürdig und legitim wirken.
Dabei nutzen sie vier zentrale Hebel menschlichen Verhaltens:
- Hierarchie – „Dies ist eine Anweisung vom CEO / CFO / Direktor.“
- Dringlichkeit – „Wir müssen jetzt handeln, sonst verlieren wir den Auftrag.“
- Vertrauen – „Das ist Ihr üblicher Lieferant / Kunde / Kollege.“
- Angst, das Geschäft zu blockieren – „Wenn Sie verzögern, sind Sie für einen verpassten Auftrag verantwortlich.“
Es gibt viele Arten von Social-Engineering-Angriffen – etwa Baiting (Verlockungen, um Nutzer zu täuschen), Whaling (gezielter Angriff auf Führungskräfte über berufliche und private Kommunikationskanäle), Phishing (betrügerische E-Mailsan zufällige personen), Spear Phishing (hochgradig personalisierte Angriffe) und Smishing (Phishing per SMS). Das zugrunde liegende Prinzip ist jedoch immer gleich: Psychologie nutzen, um Menschen dazu zu bringen, ihre üblichen Vorsichtsmaßnahmen zu umgehen.
Die meisten Social-Engineering-Angriffe folgen einem einfachen Ablauf:
- Recherche – Sammeln von Informationen über Ihr Unternehmen, Ihre Mitarbeiter und Ihre Prozesse.
- Täuschung – Aufbau von Kontakt und Vertrauen, oft per E-Mail, Telefon oder Messaging-Diensten.
- Angriff – Auslösen der entscheidenden Handlung: eine Zahlung, eine Änderung von Bankdaten oder die Freigabe von Waren oder Daten.
- Ausstieg – Verwischen von Spuren, Abziehen von Geldern, Verschwinden und Vorbereitung des nächsten Angriffs an anderer Stelle.
Sobald eine vertrauenswürdige Person eine Transaktion genehmigt, führen Ihre Systeme in der Regel genau das aus, wofür sie vorgesehen sind – selbst wenn dies bedeutet, eine betrügerische Zahlung auszuführen oder Waren an einen Betrüger zu liefern.
Um diese Mechanismen greifbarer zu machen, betrachten wir im Folgenden einige konkrete, häufige Fälle, in denen Social Engineering gegen Unternehmen eingesetzt wird.