Die meisten Systeme sind mittlerweile so weit entwickelt, dass sich der durchschnittliche Benutzer gar keine Gedanken mehr um deren Sicherheit machen muss - und genau diesen Umstand nutzen Kriminelle aus. Sie setzen auf die Unerfahrenheit und die Unbedarftheit der Anwender, die sie versuchen zu Aktionen zu verleiten, die ihnen Zugang zu den Systemen verschaffen.

Allgemein kann man Social Engineering als eine Methode der Informationsbeschaffung bezeichnen, bei der menschliches Verhalten und Vertrauen gezielt aufgebaut und ausgenutzt wird.  Dabei wird versucht, ein Vertrauensverhältnis zu einem individuellen Anwender aufzubauen, um  besonders schnell gute Erfolge zu erzielen.

Beispiele

Wer schon mal seinen Spam-Mail-Ordner aufmerksam durchgelesen hat, der hat darin sicher auch schon mal Mails von scheinbar vertrauenswürdigen Absendern wie der eigenen Bank, dem Paketlieferdienst, eBay oder vergleichbaren, auf den ersten Blick seriös wirkenden Absendern, gefunden. An dieser Stelle versuchen Kriminelle ein bereits verstehendes Vertrauensverhältnis zu ihren Gunsten auszunutzen.

Dieses Konzept ist jedoch nicht auf die IT beschränkt. Immer wieder hört man in den Medien von dem „Enkel-Trick“, bei dem Trickbetrüger bei Älteren Menschen anrufen und sich dort als deren Enkel in einer akuten Notlage ausgeben. Die vermeintlichen Großeltern sollten bitte sofort Geld ins Ausland überweisen, weil man dort ausgeraubt worden sei.

Die nächst professionellere Stufe dieses Angriffs ist der Versuch, Informationen über eine spezielle Person einzuholen. Dabei liefern Soziale- oder Karriere-Netzwerke, in denen sich viele doch all zu gerne präsentieren, lohnenswerte Informationsquellen. Plötzlich werden scheinbar harmlose Informationen wie Hobbies, der Lieblings-Fußballverein oder das gern besuchte Restaurant um die Ecke interessant. Die Angreifer benutzen das so erworbene Wissen um beispielsweise Mails zu konstruieren, die die Zielperson besonders ansprechen. (eine Information des eigenen Sportvereins, eine Rabatt-Aktion im Restaurant,...) Somit ist die Chance besonders hoch, dass die Mail gelesen und ein vielleicht darin verstecktes Schadprogramm auf dem Computer installiert wird. Die Angreifer haben ohne großen Aufwand ihr Ziel erreicht.

Wie schütze ich mein Unternehmen?

Bei Social Engineering steht nicht die Technik im Vordergrund. Deswegen kann man ihm auch nur schwer durch technische Hilfsmittel begegnen.

Am geschicktesten setzt man zur Bekämpfung an der Stelle an, die im Rahmen des Angriffs ausgenutzt wird - dem Mitarbeiter. Nur durch Aufklärung und Sensibilisierung kann diese Art der Bedrohung eingedämmt werden. Nur wer weiß, dass diese Art von Angriffen existiert kann sie auch erkennen und angemessen darauf reagieren. Die Sensibilisierung kann schriftlich, durch direkte Gespräche, Vorträge oder professionelle Schulungen erfolgen. Die Erfahrung zeigt, dass durch Gespräche oder Vorträge vermittelte Informationen häufig besser im Gedächtnis bleiben als beispielsweise die eines Rundschreibens.

Generell sollten Unternehmen ihre Mitarbeiter sensibilisieren und im Unternehmen wachsam sein:

• Fremde oder Besucher müssen angemeldet sein und sollten sich über einen Besucherausweis authentifizieren können.
• Reisen sind potentiell gefährlich: Gespräche können belauscht, Daten von mobilen Geräten (Smartphone, Tablet, Laptop) ausgespäht werden. Gleiches gilt für Freizeitaktivitäten.
• Keine vertraulichen Infos an Unbekannte am Telefon herausgeben. Im Zweifelsfall Identität vorher über Recherchen klären und Rückruf anbieten.
• Informationen über Mitarbeiter-Qualifikationen, eingesetzte Systeme, abonnierte Unternehmensnachrichten usw. (z. B. in Xing) können Angreifern konkrete Anhaltspunkte für Attacken liefern. 

Der eBusiness-Lotse Schwaben unterstützt kleine und mittlere Unternehmen (KMU) bei der Nutzung moderner  moderner Informations- und Kommunikationstechnologien (IKT) und der Digitalisierung ihrer Geschäftsprozesse. Er ist Teil des Förderschwerpunkts Mittelstand-Digital, der vom Bundesministerium für Wirtschaft und Energie (BMWi) initiiert wurde, um die Entwicklung und breitenwirksame Nutzung von IKT-Anwendungen in KMU und Handwerk voranzutreiben.