Social Engineering – Datenschutz am Telefon

In diesem Beitrag erklären wir das Vorgehen von Social Engineers und geben Ihnen Tipps für die erfolgreiche Abwehr. 

Social EngineeringDas Social Engineering ist die Manipulation mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, also das Opfer zum Beispiel zur Preisgabe von vertraulichen Informationen wie etwa Passwörtern zu veranlassen. Bereits in den 1980er Jahren riefen Social Engineers unter anderem bei Telefongesellschaften an, gaben sich als Systemadministratoren aus und baten um neue Passwörter, mit denen sie schließlich kostenlose Modemverbindungen herstellten.

Vorgehensweise der Angreifer

Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen, sich als Insider des Unternehmens auszugeben. Zusätzlich verwirrt er sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, den Vorgesetzten zu stören, wenn er keine Hilfe erhält.

Trotz ihrer scheinbaren Banalität gelingen mit der Methode immer wieder spektakuläre Datendiebstähle. So gelang es einem amerikanischen Schüler 2015, den privaten E-Mail-Account des damaligen CIA-Direktors Brennan zu öffnen und drei Tage lang darauf zuzugreifen.

Abwehrmaßnahmen

Die Abwehr von Angriffen durch das Social Engineering ist nicht einfach zu bewerkstelligen, da der Angreifer im Grunde positive menschliche Eigenschaften ausnutzt: Den Wunsch etwa, in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren. Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefern deshalb im konkreten Fall Sie selbst, indem Sie Identität und Berechtigung des Anrufers zweifellos sicherstellen, bevor Sie weitere Handlungen vornehmen. Bereits die Rückfrage nach Name und Telefonnummer des Anrufers oder dem Befinden eines nicht existierenden Kollegen kann schlecht informierte Angreifer enttarnen. Bitten Sie Anrufer auch immer höflich um Geduld, ganz unabhängig davon, wie dringend die Anfrage vorgetragen wird.

Auch scheinbar geringfügige und nutzlose Informationen sollten Unbekannten nicht offengelegt werden, denn sie könnten in folgenden Kontaktaufnahmen zum Aushorchen anderer missbraucht werden oder zusammen mit vielen anderen für sich genommen nutzlosen Informationen für einen späteren, gezielteren Angriff verwendet werden. Folgende Punkte sollten Sie daher unbedingt beachten:

  • Geben Sie keine vertraulichen Informationen am Telefon weiter
  • Lassen Sie sich am Telefon nicht durch drängen und drohen verunsichern
  • Bitten Sie Anrufer ggf. auch um Geduld um einen Sachverhalt zu klären
  • Benachrichtigen Sie bei Verdacht auf einen Angriff durch Social Engineers Ihren Datenschutzbeauftragten

Sollten Sie weitere Fragen haben, stehen wir Ihnen gerne zur Verfügung – auch telefonisch. 😊