Version v2.0 • Human Risk Consulting GmbH
Knowlage

Was ist Social Engineering?

Social Engineering ist eine Methode der Beeinflussung oder Manipulation von Menschen, um Informationen zu erlangen oder bestimmte Handlungen auszulösen. Es beruht auf dem Verständnis menschlicher Psychologie und Verhaltensweisen, wobei Täuschung, Manipulation und das Ausnutzen von Angst sowie Vertrauen ständig zum Einsatz kommen. Heutzutage wird der Begriff Social Engineering hauptsächlich in den Zusammenhang mit Informationssicherheit und Cybersecurity gestellt. Social Engineering kann in verschiedenen Kontexten, von persönlichen Interaktionen bis zu großangelegten, remote Angriffskampagnen, wie Phishing oder Voice-Phishing, auftreten. Es stellt eine der bedeutendsten Herausforderungen in der Aufrechterhaltung von Privatsphäre und Informationssicherheit dar.

Ursprung

Die Ursprünge des Social Engineering sind tief in der Soziologie verwurzelt und gehen auf das Verständnis von Massenverhalten und Gruppendynamik zurück. Dieses Konzept hat sich historisch aus der Beobachtung und Analyse menschlicher Interaktionen und Gesellschaftsstrukturen entwickelt und war lange vor dem digitalen Zeitalter präsent.

Frühe soziologische Theorien
Die Anfänge des Social Engineering sind in den soziologischen Theorien des 19. und frühen 20. Jahrhunderts zu finden. Wissenschaftler wie Émile Durkheim und Max Weber untersuchten, wie Gesellschaften funktionieren und wie das Verhalten von einzelnen durch soziale Strukturen beeinflusst und gelenkt wird. Sie legten den Grundstein für das Verständnis, wie Gruppen und Massen manipuliert und gesteuert werden können.

"Es ist die Gesellschaft, die uns nach ihrem Bild formt und uns mit religiösen, politischen und moralischen Überzeugungen füllt, die unser Handeln steuern."
- Emile Durkheim (aus dem englischen übersetzt)

Portrait von Émile Durkheim

Portrait von Émile Durkheim

25. März 1933 - Propagandaminister Joseph Goebbels

25. März 1933 - Propagandaminister Joseph Goebbels
(Ansprache an die Intendanten und Direktoren der Rundfunkgesellschaften.)

Edward Bernays und die Geburt der Public Relations
Edward Bernays, ein Neffe von Sigmund Freud, gilt als der Vater der Public Relations. Seine Arbeit in den 1920er-Jahren ( Essay: The Engineering of Consent) verknüpfte profunde psychologische Einsichten mit Techniken zur Beeinflussung der öffentlichen Meinung. Bernays zeigte auch, wie durch gezielte Kampagnen und die Nutzung von Symbolen und Emotionen Massen beeinflusst werden können, was als frühe Form des Social Engineering angesehen werden kann.

Propaganda und Massenmanipulation
Ein schreckliches historisches Beispiel für Social Engineering ist die Nutzung von Propaganda im Zweiten Weltkrieg. Regierungen und politische Führer nutzten Medien und öffentliche Reden, um die öffentliche Meinung zu beeinflussen und Massen zu manipulieren, was zu einem der grausamsten Verbrechen in der Menschheitsgeschichte führte. Diese Praktiken zeigten, wie effektiv die „richtigen“ Botschaften und Techniken sein können, um große Bevölkerungsgruppen zu lenken.

Verhaltenswissenschaftliche Experimente
Im Laufe des 20. Jahrhunderts führten Experimente in der Psychologie und Verhaltenswissenschaft zu einem stärkeren Verständnis darüber, wie leicht menschliches Verhalten unter bestimmten Bedingungen manipuliert werden kann. Experimente wie das Milgram-Experiment oder das Stanford-Prison-Experiment zeigten die Bereitschaft von Menschen, Autoritäten zu folgen oder sich in bestimmten Rollen zu verhalten, auch wenn dies ihren moralischen Überzeugungen widersprach.

Anwendung in der modernen Welt
Diese historischen Wurzeln haben den Weg für das moderne Verständnis von Social Engineering geebnet und geprägt, das nun in verschiedenen Kontexten von der Cybersecurity bis hin zur Marktmanipulation und auch den Massenmedien angewendet wird. Obwohl die Technologien und Plattformen sich geändert haben, bleiben die grundlegenden Prinzipien der menschlichen Psychologie und des Gruppenverhaltens, die für Social Engineering genutzt werden, weitgehend gleich.

Anthropologie der Manipulation

Die Anthropologie ist eine Wissenschaft, die sich mit dem umfassenden Studium des Menschen in all seinen Facetten und in verschiedenen kulturellen und historischen Kontexten befasst. Sie zielt darauf ab, das Verständnis des Menschen als biologisches, soziales und kulturelles Wesen zu vertiefen.

Im Kontext des Social Engineering sind anthropologische Erkenntnisse von großer Bedeutung, da sie Einblicke in die tief verwurzelten sozialen Normen, Werte und Verhaltensmuster liefern, die von Social Engineers erkannt und manipuliert werden.

Kulturelle Vielfalt
Menschen aus verschiedenen Kulturen haben unterschiedliche soziale Normen, Wertvorstellungen und Verhaltensweisen. Ein Social Engineer muss die kulturellen Unterschiede berücksichtigen, um effektiv zu sein. Anthropologische Erkenntnisse helfen dabei, kulturelle Nuancen zu verstehen und sich in verschiedenen Umgebungen anzupassen.

Soziale Strukturen
Anthropologie untersucht die sozialen Strukturen und Hierarchien in verschiedenen Gesellschaften. Dieses Wissen kann bei der Identifizierung von Schlüsselpersonen und Einflussfaktoren innerhalb einer Organisation oder Gemeinschaft hilfreich sein.

Kommunikation und Sprache
Linguistische Anthropologie trägt zum Verständnis von Sprache und Kommunikation bei. Social Engineers nutzen Kommunikationstechniken, um Informationen zu sammeln oder zu beeinflussen. Ein Verständnis der linguistischen Vielfalt und Kommunikationsstile ist in diesem Zusammenhang von Vorteil. Diese Sichtweise wird jedoch auch durch die Betrachtung der nonverbalen Kommunikation komplementiert.

Soziales Verhalten
Anthropologie erforscht das menschliche Verhalten und die sozialen Interaktionen. Dies ist entscheidend, um Muster im Verhalten von Menschen zu erkennen und erfolgreiche Social Engineering-Strategien zu entwickeln.

Psychologie und Motivation
Anthropologen untersuchen die psychologischen Motivationen des Menschen. Ein Social Engineer kann von diesem Wissen profitieren, um zu verstehen, was Menschen antreibt, wie sie Entscheidungen treffen und wie sie beeinflusst werden können.

Ethik und Moral
Anthropologische Forschung kann Ethik und Moral in verschiedenen Kulturen beleuchten. Dies ist wichtig, da Social Engineering oft ethische Fragen aufwirft, insbesondere wenn es darum geht, Menschen zu täuschen oder zu manipulieren.

Dieses Verständnis ist entscheidend, um die Wirksamkeit von Social Engineering-Techniken zu ergründen, da sie auf den anthropologischen Grundlagen unserer sozialen Natur aufbauen.

Psychologische Aspekte der Manipulation

Was uns manipulierbar macht

Wie bereits gezeigt, basiert Social Engineering auf einem multidisziplinären Verständnis menschlicher Verhaltensweisen, Emotionen und Denkprozesse. Bei einem Social Engineering Angriff zielt der Human Hacker auf die Emotionen seines Opfers ab. Der rationale Verstand rückt hierbei oft in den Hintergrund und die Entscheidungen des Opfers erfolgen gemäß seinem Empfinden.

Es ist wichtig zu berücksichtigen, dass die Aussagen in Bezug auf die psychologischen Aspekte der Manipulation aufgrund ihrer Komplexität und Tiefe zwangsläufig nur eine begrenzte Erklärung bieten können.

Unter anderem werden folgende psychologische Aspekte von Human Hackern ausgenutzt, um Menschen für ihre Ziele zu manipulieren:

Hilfsbereitschaft, Lob und Anerkennung
Lob und Anerkennung motivieren uns, uns weiterhin zu bemühen. Sie bestärken uns in unseren Handlungen und lassen uns unsere Anstrengungen als lohnend empfinden. Anerkennung löst aber auch positive Emotionen wie Freude, Stolz und Zufriedenheit aus. Hier nutzen die Human Hacker gezielt unser Bedürfnis nach Bestätigung und Wertschätzung.

Angst und Unsicherheit
Angst ist eine mächtige Emotion, die jeder von uns spürt und die zu vorschnellen Entscheidungen führen kann. Social Engineers erzeugen oft ein Gefühl der Dringlichkeit oder Angst, um Opfer zu unüberlegten Handlungen wie der Herausgabe vertraulicher Informationen zu bewegen.

Reziprozitätsprinzip
Das Reziprozitätsprinzip ist ein sozialpsychologisches Konzept, das auf dem Gedanken der Gegenseitigkeit beruht. Es besagt, dass Menschen dazu neigen, sich auf eine erhaltene positive Handlung mit einer entsprechenden positiven Handlung und auf eine negative Handlung mit einer entsprechenden negativen Handlung zu revanchieren.

Neugier
Neugier ist die Quelle des Wissens. Es beschreibt das Interesse und die Motivation an neuen Informationen, Erfahrungen oder Ideen. Durch Neugier entwickeln wir uns weiter und schauen über unseren Horizont hinaus. Social Engineers nutzen die Neugier von Menschen aus und bilden Anreize, um ihre Interessen zu wecken. Im Kontext des Social Engineering wird das Reziprozitätsprinzip gezielt genutzt, um das Opfer zu manipulieren. Ein Angreifer kann beispielsweise durch eine kleine wohlwollende Handlung oder Gefälligkeit eine Verpflichtung oder Schuldgefühl beim Opfer erzeugen.

Ehrlichkeit
Ehrlichkeit wird in vielen Kulturen und Gesellschaften als ein grundlegender Wert angesehen. Menschen werden ermutigt, die Wahrheit zu sagen, ehrlich zu handeln, um auch Festigkeit in zwischenmenschlichen Beziehungen zu schaffen. Ehrlichkeit kann  von einem Human Hacker ausgenutzt werden, indem er die Verlässlichkeit und Ehrlichkeit einer Person in einer Manipulationsstrategie gezielt einsetzt.

Sozialer Beweis und Gruppendruck
Menschen orientieren sich oft am Verhalten anderer, insbesondere in unsicheren Situationen. Ein Social Engineer kann Gruppendruck oder die Illusion einer breiten Zustimmung nutzen, um sein Opfer zu beeinflussen.

Autorität
Menschen neigen dazu, Autoritäten zu gehorchen, auch wenn dies gegen ihre eigenen Prinzipien geht. Eine Autoritätsperson kann ein Strafverfolgungsbeamter, Geschäftsführer, Professor (Titel) eine berühmte Persönlichkeit (Status) oder aber auch eine bekannte Funktionsrolle wie der Postbote oder die Putzkraft sein.

Kognitive Verzerrungen
Angreifer nutzen häufig kognitive Verzerrungen – Fehler in der menschlichen Urteilsbildung – zu ihrem Vorteil. Dazu gehört das Ausnutzen von Bestätigungsfehlern (die Tendenz, nur Informationen zu akzeptieren, die die eigenen Überzeugungen stützen) oder den Halo-Effekt (eine positive Gesamteinschätzung aufgrund eines einzigen positiven Traits).

Erschöpfung und Überforderung
Wenn Menschen müde oder überfordert sind, ist ihr kritisches Denken beeinträchtigt. Social Engineers nutzen dies, indem sie ihre Ziele in Zeiten hoher Belastung oder Müdigkeit ins Fadenkreuz nehmen oder diese Überforderung selbst herbeiführen.

Leichtgläubigkeit
Leichtgläubigkeit zeigt eine enge Verknüpfung mit dem Bedürfnis nach Harmonie, was auch im Kontext des Social Engineering relevant ist. Selbst wenn eine Situation oder eine Person als seltsam empfunden wird, neigt man dazu, dafür eine Erklärung zu finden, die das Verhalten rechtfertigt. Leichtgläubige Menschen vertrauen fest darauf, dass im Grunde genommen das Gute im Menschen überwiegt und lassen sich nur ungern vom Gegenteil überzeugen.

Social Engineering Angriffsvektoren

Vishing

Beim Vishing, eine Wortkombination aus Voice Phishing, setzen Human gezielte Telefonanrufe ein, um wertvolle Schlüsselinformationen zu gewinnen oder die angerufene Person zu Handlungen zu verleiten, die potenziell Schaden für sie oder das Unternehmen bringen lann.

Phishing

Häufig auch als 'Massen- oder Schrottflinten-Phishing' bekannt, hier wird in großem Umfang gefälschte E-Mails versendet, um möglichst viele potenzielle Opfer zu erreichen.

Dumster Dive

Dumpster Diving ist die "Schatzsuche" im Müll anderer. In der Cybersicherheit ist Dumpster Diving eine Technik, bei der aus weggeworfenen Gegenständen Informationen gewonnen werden, die für einen Angriff oder z. B. den Zugang zu einem IT-Netzwerk genutzt werden können.

Spear Phishing

Spear Phishing ist eine spezifische Form des Phishing-Angriffs, bei dem sich der Angreifer gezielt auf eine bestimmte Person, Organisation oder Gruppe fokussiert.

Smishing

Smishing, ein Kofferwort aus „SMS-Phishing“. Diese spezielle Art des Phishing-Angriffs zielt darauf ab, Mobilfunknutzer über SMS und andere Instant-Messenger-Dienste zu attackieren. Ähnlich wie beim traditionellen Phishing und Spear-Phishing verfolgt Smishing das Ziel, sensible Informationen zu stehlen, Empfänger zu bestimmten Handlungen zu bewegen und Mobilgeräte mit Malware zu infizieren.

Tailgating

Die Social Engineering-Angriffsart „Tailgating“, auch als „Piggybacking“ bekannt, basiert auf der Strategie, den Weg des geringsten Widerstands zu gehen, indem sich ein Angreifer unbemerkt Zugang zu einem gesicherten Bereich verschafft.

Shoulder surfing

Beim "Schulter-Surfen" (shoulder surfing) sammeln Human Hacker persönliche Daten, indem sie ihre Opfer beobachten, wie diese elektronische Geräte wie Geldautomaten, Laptops oder Smartphones benutzen. Die Kriminellen schauen ihren Opfern buchstäblich "über die Schulter". Die so gewonnenen Informationen können dann Grundlage für weitere Angriffe sein.

Tailgaiting im Fokus

Im Rahmen von Social Engineering ist Tailgaiting besonders effektiv. Je größer das Unternehmen und je unpersönlicher der interne Umgang, desto günstiger sind die Bedingungen für einen Angreifer. Hierbei geht es darum, sich als unberechtigte Person mit minimalem Aufwand Zugang zu einem gesicherten Bereich zu verschaffen, indem man sich hinter einer berechtigten Person tarnt oder aufgrund des Auftretens, die Illusion erzeugt, nötige Berechtigungen innezuhaben.
Legenden-Taktik
Hektik-Taktik
Rapport-Taktik
Masse-Taktik
Autorität-Taktik

Vishing im Fokus

Vishing ist eine große und immer weiter wachsende Bedrohung in der Informationssicherheit und hat an dieser Stelle eine genauere Beleuchtung verdient.
Spear-Vishing
Unterschätzte Gefahr
Beliebte Methode bei Angreifern

Wir leben
Social Engineering Security!

Schützen Sie Ihre Organisation und die Menschen, die für Sie arbeiten,
mit branchenführender Social Engineering Kompetenz.

Abwehrstrategien

Die steigende Zahl erfolgreicher Cyber-Angriffe, bei denen der Faktor Mensch eine entscheidende Rolle spielt, verdeutlicht die anhaltende Bedrohung durch Social Engineering. Die Erfolgsquote von z. B. Phishing-E-Mails in Unternehmen, selbst in solchen, die bereits einige Zeit in die Awareness-Schulung dieses Angriffsvektors investiert haben, wirft eine wesentliche Frage auf:

Warum werden Menschen immer wieder Opfer von Manipulationen, wenn sie doch eigentlich über das nötige Wissen verfügen sollten?

Um sich wirklich wirksam gegen Social Engineering zu schützen, ist es notwendig, mehrdimensional zu denken und eine umfassende Strategie oder besser ein Anti-Social-Engineering-Mindset zu entwickeln.

Eine ganzheitliche Strategie integriert technische, organisatorische und personelle Sicherheitsmaßnahmen, um einen effektiven Schutz vor Social Engineering Angriffen zu gewährleisten. Anti-Social-Engineering wird dabei nicht als rein technische oder organisatorische Angelegenheit betrachtet, sondern als ganzheitliches Konzept, das die individuellen Aspekte aller Beteiligten berücksichtigt.

An dieser Stelle kann nur eine oberflächliche Darstellung der drei Kernbereiche erfolgen:

Technische Sicherheitsmaßnahmen

In diesem Bereich liegt der Schwerpunkt auf der Implementierung, Überprüfung und Optimierung technologischer Schutzmaßnahmen. Dazu gehören beispielsweise fortschrittliche E-Mail-Filter, Zugangskontrollen mit Anti-Tailgating-Systemen und der Einsatz moderner Verschlüsselungstechniken, um die Integrität der Kommunikationssysteme zu gewährleisten. Eine regelmäßige Überprüfung der technischen Maßnahmen durch realistische Pentests ist dabei unerlässlich.

Organisatorische Sicherheitsmaßnahmen

Auf organisatorischer Ebene sollten klare Richtlinien und Verfahren festgelegt werden. Dazu gehören realistische Social Engineering Pentests zur Überprüfung und Verbesserung von Zahlungsaufforderungen, Besucher- und Lieferantenmanagement sowie die Umsetzung einer umfassenden Schulungsstrategie. Regelmäßige Sensibilisierungsprogramme zu den psychologischen Aspekten des Social Engineering helfen den Mitarbeitenden, auch subtile Manipulationsversuche zu erkennen und auf diese angemessen zu reagieren.

Personelle Sicherheitsstrategie
Ein grundlegendes Element dieser Strategie ist die individuelle Kenntnis der persönlichen Stärken und Schwächen im Kontext von Social Engineering. Dies erfordert eine kontinuierliche Selbstreflexion und ein Training im bewussten Umgang mit den eigenen Vulnerabilitäten. Die bewusste Auseinandersetzung mit den eigenen emotionalen Reaktionen, rationalen Entscheidungsprozessen, Risikoeinschätzungen und die ständige Pflege des Sicherheits-Know-hows stärken die Widerstandsfähigkeit gegenüber Manipulationsversuchen. es handelt sich also um eine kontinuierliche Persönlichkeitsentwicklung.

Wir arbeiten an weiteren Inhalten

Unsere Knowledgebase versteht sich als lebendes Dokument und wird stetig weiterentwickelt. Wenn Sie informiert werden möchten, wenn wir neues Wissen veröffentlichen, laden wir Sie herzlich ein, unseren Newsletter zu abonnieren.

Wir freuen uns auf Ihre Kontaktaufnahme.

Was hat Ihr Interesse geweckt?
Hinweis: Unsere Datenschutzerklärung können Sie hier abrufen.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
HIER FINDEN SIE UNS
Langemarckstraße 19, 34537, Bad Wildungen
Rufen Sie uns an
+49 5621 9449712
Social Media