Lade Inhalt...

IT-Sicherheit und Social Engineering. Grundlagen, Erscheinungsformen und Schutzmöglichkeiten

Ausarbeitung 2016 13 Seiten

Informatik - IT-Security

Leseprobe

Inhaltsverzeichnis

1 Einleitung

2 Grundlagen zum Social Engineering
2.1 Was ist Social Engineering?
2.2 Motivation von Social Engineers
2.3 Warum hat Social Engineering Erfolg?

3 Kategorien von Social Engineers
3.1 Hacker
3.2 Sicherheitsfachpersonen in der Informationstechnik
3.3 Spione
3.4 Identitätsdiebe
3.5 Verärgerte Arbeitnehmer
3.6 Informationsvermittler
3.7 Betrüger
3.8 Headhunter
3.9 Verkäufer
3.10 Regierung
3.11 Gewöhnliche Menschen

4 Der Angriffszyklus
4.1 Informationsbeschaffung
4.2 Beziehungs- und Vertrauensaufbau
4.3 Ausnutzen des Vertrauens
4.4 Informationen nutzen

5 Erscheinungsformen
5.1 Phishing
5.2 Spear Phishing
5.3 Vishing

6 Schutz vor Social Engineering

7 Fazit

8 Literaturverzeichnis

1 Einleitung

Social Engineering spielt in der heutigen Zeit eine immer ernst zu nehmendere Rolle. Sie können die besten Sicherheitstechnologien, gut ausgebildete Angestellte mit Aufmerksamkeit für sensible Daten und eine der besten Sicherheitsfirmen des Landes für die Überwachung des Firmengebäudes beauftragen. Trotzdem ist Ihr Unternehmen immer noch absolut gefährdet.

Schuld daran ist der Menschliche Faktor. Der menschliche Faktor stellt die eigentliche Schwachstelle der Sicherheitskette dar. Viele Profis aus der Informationsbranche halten an dem Irrtum fest, Ihre Firmen seien weitestgehend gegen Angriffe abgeschirmt, weil sie Standard-Sicherheitsprodukte installiert haben. Sie leben in einer Illusion. Beim Social Engineering erlangen die Täter relevante Informationen durch die Angestellten des Unternehmens. Beispielsweise gibt man dem ahnungslosen Angestellten vor, eine andere Person zu sein, als die die man in der Wirklichkeit ist. Mit den herausgegebenen Informationen kann dann ein enormer Schaden enstehen.

Wenn ihr Unternehmen bisher verschont geblieben ist, stellt sich nicht die Frage, ob es passiert, sondern wann1 Doch nicht nur Unternehmen sondern auch Privatpersonen gelangen in das Visier der Angreifer. Dabei wird häufig versucht an Onlinebanking-Zugangsdaten oder Passwörter anderer Webseiten zu kommen.

Im Folgenden wird das Social Engineering, deren Erscheinungsformen und verschiedene Kategorien beschrieben. Anschließend wird kurz erläutert wie man sich vor Social Engineering schützen kann - sofern dies möglich ist.

2 Grundlagen zum Social Engineering

In diesem Kapitel geht es um die Grundlagen des Social Engineerings. Zunächst wird erläutert, was Social Engineering bedeutet, warum es Erfolg hat und worin die Motivation von Social Engineers besteht.

2.1 Was ist Social Engineering?

Social Engineering bezeichnet die ”angewandteKunst“,Leutezutäuschen.

In der heutigen profitorientierten Zeit setzen Cyberkriminelle diese Fähig- keit gern als Instrument ein, um an das Geld Unschuldiger heranzukom- men.2

Bei solchen Angriffen ist ein technischer Schutz also wirkungslos. Die meisten Menschen denken solche Angriffe erkennen zu können. Forschungen haben aber ergeben, dass Menschen schlecht darin sind, Lügen und Schwindeleien zu erkennen.3

2.2 Motivation von Social Engineers

Genau wie bei einem technischen Angriff geht es beim Social Engineering meist um einen der folgenden Punkte.

- Wirtschaftsspionage
- Identitätsdiebstahl
- Spaß oder Macht
- Finanzielle Gründe
- Soziale Gründe

2.3 Warum hat Social Engineering Erfolg?

Social Engineering wird bei den Betrügern immer beliebter. Dies liegt daran, dass die Erfolgschancen relativ hoch sind. Ein Unternehmen kann sich die besten Sicherheitstechnologien geleistet haben, die für Geld zu kriegen sind und dennoch ist das Unternehmen absolut gefährdet. Viele Unternehmen halten an dem Irrtum fest, weitgehend gesichert zu sein, weil sie Standard-Sicherheitsprodukte installiert haben wie Firewalls und Zugangsbeschränkungssysteme.4

”Zwei Dinge sind unendlich: das Universum und die menschliche Dumm- heit. Aber bei dem Universum bin ich mir noch nicht ganz sicher.”(Albert Einstein)

Diese Unternehmen vergessen oder vernachlässigen aber, das der menschliche Faktor die eigentliche Schwachstelle der Sicherheitskette ist. Eine Studie in Großbritannien zeigte, dass jeder zweite sein Passwort gegen eine Tafel Schokolade tauschen würde.5 Warum also sollte ein Hacker Stunden, Wochen oder gar Monate damit verbringen, ein Passwort zu knacken, wenn er auch einfach dannach Fragen kann?

3 Kategorien von Social Engineers

Menschen, die das Social Engineering anwenden, können, genauso wie das Soacial Engineering an sich, in verschiedene Kategorien eingeteilt werden.

3.1 Hacker

Hacker verwenden oft Social Engineering, da der Menschliche Faktor deutlich schwächer und somit einfacher zu umgehen ist als eine technische Sicherheitslücke zu finden. Ein Beispielszenario trat vor einigen Jahren bei AOL ein. Ein AOL Mitarbeiter wurde von einem Hacker angerufen. Sie telefonierten für über eine Stunde. Während des Gesprächs erzählte der Angreifer, dass er sein Auto verkaufen wolle. Der AOL Mitarbeiter zeigte sich interessiert an dem Auto. Darauf hin schickte der Angreifer ihm ein Foto. Hinter dem Foto steckte natürlich eine Software, wodurch der Angreifer auf das AOL interne Netzwerk zugreifen konnte.6

3.2 Sicherheitsfachpersonen in der Informationstechnik

Sicherheitsfachpersonen testen die Verwundbarkeit oder den unauthorisierten Zugriff auf ein System. Sie verwenden verschiedene Elemente des Social Engineerings an ahnungslosen Mitarbeitern des Unternehmens.

[...]


1 Vgl. Mitnick, K.: Die Kunst der Täuschung, 2012: Seite 20

2 Vgl. Trend Micro : Was steckt hinter Social Engineering?, 2012: Seite 2

3 Vgl. Krombholz, K., Hobel, H., Huber, M., Weippl, E.: Social Engineering Attacks on the Knowledge Worker, 2013: Seite 29

4 Vgl. Mitnick, K.: Die Kunst der Täuschung, 2012: Seite 17

5 Vgl. silicon.de(2007): Jeder zweite tauscht sein Passwort gegen Schokolade(14.10.2015)

6 Vgl. cnet.com (2002): AOL security lapse opens accounts (15.10.2015)

Details

Seiten
13
Jahr
2016
ISBN (eBook)
9783668129801
ISBN (Buch)
9783668129818
Dateigröße
500 KB
Sprache
Deutsch
Katalognummer
v313936
Institution / Hochschule
Hochschule Osnabrück – Management, Kultur und Technik
Note
Schlagworte
Social Engineering Human Hacking Social Hacking Pishing Vishing IT-Sicherheit

Autor

Teilen

Zurück

Titel: IT-Sicherheit und Social Engineering. Grundlagen, Erscheinungsformen und Schutzmöglichkeiten