Firewallzentrale

Social Engineering und Penetrationstest

e-Trado GmbH

Social Engineering - was bedeutet das eigentlich?

Social Engineering und Penetrationstest

(2015) Haben Sie schon einmal den Begriff Social Engineering gehört? Nein? Dann werden Sie jetzt sicherlich die Ohren aufhalten, denn hinter diesem Begriff verbirgt sich eigentlich nichts anderes als die Vorgehensweise, bei dem die Schwachstelle Mensch ausgenutzt wird! Die Schwachstelle Mensch? Das klingt doch nach betrügerischen Absichten oder sonstigen Tricks mit denen Kunden in irgendeiner Art und Weise sprichwörtlich gesagt übers Ohr gehauen werden sollen. Damit dürften Sie gar nicht so falsch gelegen haben, denn Social Engineering wird heutzutage gar nicht Mal so selten angewendet, wobei oftmals Mitarbeiterinnen und Mitarbeiter eines Unternehmens mittels eines Tricks dazu angehalten werden eventuell vorhandene Sicherheitsvorkehrungen zu umgehen sowie anschließend vertrauliche Informationen preiszugeben.

Welche Vorgehensweise nutzen Trickbetrüger in aller Regel?

Die dreisten Methoden der sogenannten Angreifer wurden in der Vergangenheit auch als Trickbetrug bezeichnet. Um sich somit unbefugten Zugang zu einem Computer-Netzwerk zu erzwingen, bieten sich dem Angreifer unterschiedliche Möglichkeiten, welche aber allesamt ein einziges Ziel verfolgen, die Kontrolle über den PC eines ahnungslosen Users zu erlangen. Bleibt letztendlich eine Frage im Zusammenhang mit Social Engineering bestehen, welche besagt: Sollte man das Internet nicht doch lieber gänzlich meiden? Eine logische Antwort auf diese Frage gibt es letztendlich nicht, denn auf die zahlreichen Vorzüge des Internets, werden die meisten von Ihnen kaum mehr verzichten wollen oder können es einfach nicht. Damit auch Laien oder Anfänger wirklich verstehen, was sich hinter dem Begriff Social Engineering verbirgt, möchten wir es einmalmit leicht verständlichen Worten versuchen zu erklären. So faszinierend das Internet auch sein mag, sollten Sie dennoch stets darauf bedacht sein, dass sich gleichzeitig eine Vielzahl Cyberkriminelle dieses moderne Kommunikationsmittel zunutze machen, um ahnungslose Opfer (User) auszuspionieren. Hierbei gehen potenzielle Angreifer mit äußerst geschickten Methoden ans Werk, welche darauf ausgerichtet sind, dass uneingeschränkte Vertrauen eines Nutzers zu erreichen. Ist dieses Vertrauen erst einmal zustande gekommen, wird der Social Engineer (Angreifer) mit wirksamen Tricks versuchen die Schwächen des Users herauszufinden, um diese anschließend für seine Zwecke zu missbrauchen. Wie erarbeiten sich sogenannte Social Engineers eigentlich das Vertrauen ahnungsloser Opfer? Die Tricks, welche Social Engineers hierbei anwenden können unterschiedlich gehandhabt werden. So wird zum Beispiel mittels eines Telefonates einem legitimen Mitarbeiter des Unternehmens ein vermeintliches Problem glaubhaft gemacht, welches einen Zugriff auf das Netzwerk erforderlich macht, um hierdurch eine Fehlerbehebung durchführen zu können. Doch nicht immer funktioniert ein solcher Trick, denn mittlerweile dürften erfahrenen Mitarbeitern eines Unternehmens derartig simple Tricks durchaus bekannt sein. Doch Social Enigneers sind bekanntlich äußerst kreativ, wenn es darum geht an persönliche oder vertrauliche Daten (Informationen) potenzieller User heranzukommen. Es gibt aber noch weitere Schwächen, welche Social Engineer für ihre Zwecke auszunutzen versuchen, wobei hierbei gezielt auf die Eitelkeit, Autoritätshörigkeit sowie Gier der jeweiligen Zielperson angesetzt wird. Somit kommt bei den allermeisten Exploits eine besondere Form des Social Engineering in Betracht, die Ausnutzung entsprechender Computer-Viren! Derartige Computer-Viren werden im Zusammenhang mit dem Social Enigneering vermehrt genutzt, um potenzielle Opfer dazu zu bewegen mit Viren verseuchte E-Mail Anhänge herunterzuladen und anschließend zu öffnen. So werden mittels sogenannten Phishing-Mails ahnungslose Opfer unter Ausnutzung des Social Enigneering dazu verleitet, vertrauliche Informationen herauszugeben. Hierbei bedienen sich sogenannte Angreifer (Programmierer von Scareware / Schadprogramme) einer gänzlich einfachen Methode, welche vermeintlichen Opfern einen gehörigen Schrecken einjagen kann. Einmal verängstigt handeln potenzielle Opfer unbedacht und kopflos, was dazu führt, dass diese im allerschlimmsten Fall gefährliche Software einfach unüberlegt ausführen könnten. Doch damit noch längst nicht genug, denn Social Engineer bedienen sich noch weitaus mehr Methoden, welche gezielt auf die Unwissenheit oder das Unvermögen ahnungsloser User ausgerichtet sind. Insbesondere die Schnelllebigkeit modernster Technologien kommen Social Enigneer hierbei zugute, denn eine Vielzahl potenzieller User haben, sprichwörtlich gesagt, null Ahnung. Des einen Freud ist des anderen Leid, so dürfte dieses Phänomen am zutreffendsten bezeichnet werden. Denn oftmals sind die betroffenen Personen nicht nur unwissend, sondern sich keiner Schuld bewusst wie wertvoll ihre eigenen Informationen letztendlich sein könnten. Nicht selten durchsuchen Social Enigneer den sogenannten Müll-Container (Papierkorb) ihrer Opfer, wobei alle wichtigen Zugangsdaten registriert und abgespeichert werden. Gleichfalls nutzen Social Enigneer eine weitere Schwäche des Opfers, welche darin zu sehen ist, dass viele User Passwörter wählen, welche von professionellen Angreifern nahezu kinderleicht zu knacken sind. Sicherheitsexperten warnen einhergehend davor, dass die größte Gefahr unweigerlich durch das Social Engineering ausgelöst wird. Kaum ein Sicherheitssystem ist vor ihnen sicher, da die Abhängigkeit von wichtigen Informationen in den letzten Jahren deutlich gestiegen ist. Die effektivste Waffe gegen Social Engineering dürfte letztendlich nur das eigene Gedächtnis darstellen, denn im Kopf abgespeicherte Informationen (Daten) kennen allein nur Sie! Gleichzeitig sollte das Bewusstsein der Menschen hinsichtlich der Vorgehensweisen im Social Engineering durch ausreichende Informationen zu den Vorgehensweisen sogenannter Social Engineer zusätzlich gestärkt werden.

Abhilfe schaffen durch einen entsprechenden Penetrationstest!

Wie besagt ein wahres Sprichwort doch gleich: Unwissenheit schützt vor Strafe nicht! Lassen wir die Ironie einfach einmal außen stehen, denn nur wer die tatsächlichen Gefahren und Lücken kennt, wird sich letztendlich ausreichend vor den Tricks sogenannter Social Engineer schützen können. Ein entsprechender Penetrationstest (Sicherheitstest), welcher durch erfahrene IT-Spezialisten durchgeführt wird, lassen sich vermeintliche Angriffe durch Social Engineer wirksam unterbinden. Hierbei werden durch Experten gezielte Angriffe simuliert, welche dabei helfen eventuelle Schwachstellen in Ihrer IT-Infrastruktur aufzudecken. Mittels eines solchen Penetrationstests lässt sich zudem eine maximale Transparenz vorhandener Schwachstellen erzielen!

Dank Maßnahmenkatalog erhalten Sie mehr Sicherheit!

Mit einem speziellen Maßnahmenkatalog erhalten Sie ein wirksames Werkzeug (Hilfsmittel), welches es Ihnen ermöglicht eventuelle Sicherheitslücken aufzuspüren und anschließend durch geeignete Maßnahmen zu schließen. Im Zusammenspiel mit einem Penetrationstest können Sie geeignete Maßnahmen einleiten, welche Ihr Netzwerk vor Angriffen durch Social Engineer schützen sowie Risiken mindern können!