Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Schwachstelle Mensch: Datenklau durch Manipulation

Es gibt viele verschiedene Methoden, mit denen Hacker versuchen an sensible Daten von Unternehmen, staatlichen Behörden oder Privatpersonen zu gelangen. Nicht immer setzen Betrüger auf rein technische Mittel wie das Hacken von IT-Systemen, sondern manchmal auch ganz gezielt auf die Vertrauenswürdigkeit ihrer Mitmenschen.

Ein sehr anschauliches und nebenbei auch sehr nett verpacktes Beispiel für kriminelle Aktivitäten durch gezielte Manipulation von Menschen liefert der Hollywoodfilm „Catch Me If You Can“ mit dem Scheckbetrüger Frank William Abagnale Jr. als Hauptakteur. Auch beim Social Engineering in der IT setzen Hacker gezielt beim schwächsten Glied in der Kette des Datenschutzes, dem Menschen, an. „Social Engineering stellt eine zwischenmenschliche Beeinflussung mit dem Ziel dar, bestimmte Verhaltensweisen bei Personen hervorzurufen und an vertrauliche Informationen zu gelangen. Soll über diese Methode in ein fremdes Computersystem eingedrungen werden, spricht man auch von Social Hacking“, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz.

Langwieriges Datensammeln

Sogenannte Social Engineers spionieren dabei das persönliche Umfeld ihres Opfers aus oder täuschen Identitäten vor, um beispielsweise an geheime Unternehmensinformationen, persönliche Kennwörter oder PIN-Nummern zu gelangen. „Mitarbeiter in Unternehmen werden häufig per E-Mail oder auch telefonisch kontaktiert und über einzelne Informationen ausgefragt. Die Hacker geben sich zum Beispiel als Führungsperson oder auch Techniker aus und verlangen vertrauliche Zugangsdaten. Manchmal behaupten die Betrüger auch, ein Kunde oder Lieferant zu sein und sammeln so über einen längeren Zeitraum – dieses Ausspionieren kann auch ein halbes Jahr dauern – verschiedene Daten“, berichtet Hösel. Über öffentlich zugängliche Quellen werden vorab meist kleine Informationsfetzen wie Verfahrensweisen oder Unternehmenshierarchie recherchiert. Diese helfen dem Hacker, Insiderwissen vorzutäuschen, und erleichtern somit die zwischenmenschliche Manipulation.

Vorsicht in sozialen Netzwerken

Im Privatbereich erfolgt das Social Engineering oft über die sozialen Medien. Täter stellen meist Bekannten des eigentlichen Opfers Freundschaftsanfragen. Haben Personen einer solchen Anfrage zugestimmt, erhält nun auch die Zielperson eine. Da die Bekannten bereits mit dem Betrüger „befreundet“ sind und sich so eine scheinbar persönliche Verbindung herstellen lässt, stimmt häufig auch die eigentliche Zielperson zu. „Über Posts, Likes und Fotos sammeln Täter erste Informationen und erfahren etwas über die Persönlichkeit der Zielperson. In Chats können Hacker weitere Informationen erfragen und somit ihre Kenntnisse ergänzen. Manchmal täuschen diese nach einer gewissen Zeit auch einen Notfall vor, um weitere Details zu erfragen, die Menschen im Normalfall nicht preisgeben würden – dies in der Stresssituation jedoch tun“, sagt der Datenschutzbeauftragte. Weitreichende Bekanntheit erlangte diese Methode vor allem durch den US-amerikanischen Hacker Kevin Mitnick, der durch sein Eindringen in fremde Computer zu einer der meistgesuchtesten Personen der Vereinigten Staaten wurde. In seinem Buch beschreibt er, dass Social Engineering deutlich schneller zu gewünschten Informationen führt als rein technische Methoden.

Prävention durch Sensibilisierung

Um sich vor dieser Methode zu schützen, gilt es, sich als Privatperson und Mitarbeiter in Unternehmen für Social Engineering zu sensibilisieren, beispielsweise durch Datenschutzschulungen. „Generell empfiehlt es sich, E-Mails und Anrufen von unbekannten Personen misstrauisch zu begegnen und im Zweifelsfall nie sensible Daten weiterzugeben“, rät Hösel und ergänzt: „Auch Links von scheinbar bekannten Absendern, die jedoch von einer fremden Mailadresse stammen, sollten nicht geöffnet werden. Hacker nutzen immer häufiger bekannte Layouts, beispielsweise von einem Kreditinstitut, die zu einer Login-Seite führen. So sollen Benutzername und 

Kennwort gestohlen werden. Um die Login-Daten nicht an Betrüger preiszugeben, empfiehlt es sich, wichtige Seiten als Lesezeichen zu speichern und immer diesen Zugang für den Login zu nutzen.“ E-Mails, Anrufe oder SMS, die Gewinne versprechen, sobald man persönliche Daten weitergibt, gilt es zu ignorieren. Schließlich hat kaum jemand etwas zu verschenken. Zuletzt stellt das kritische Überdenken vom Teilen privater Inhalte in den sozialen Medien einen einfachen Schritt zu mehr Sicherheit dar.

Bildquelle_HUBIT-Datenschutz-GmbH-Co-KG_Haye-H-seluiYNu7XqOaYeV

Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz

Foto: HUBIT Datenschutz

 

Teaserbild: Pixabay