Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Risiken am Telefon
Stellen Sie sich vor Sie erhielten diesen Anruf: „Hallo hier ist Elias Berg von der Sicherheitsfirma ‚Schmitt GmbH & Co.KG.‘ Wir bieten Ihnen eine kostenlose Virenprüfung.“ Was würden Sie tun?
Irina ist Unternehmerin. Eines Tages erhält sie einen Anruf eines IT-Technikers, der für eine Sicherheitsfirma arbeitet. Der Fachmann teilt Irina mit, dass sich ein Trojaner auf ihrem PC befindet und er könne ihn gegen Bezahlung entfernen, wenn sie ihm einen Remote-Zugang erteilt. Er löscht ihr altes Antivirensystem und installiert ein neues, aktuelles „Antivirenprogramm“. Eingeschüchtert und verunsichert vom Auftreten und der Vorgehensweise des Technikers gibt Irina am Ende ihre Kontodaten über das Telefon weiter.
Erst als das Geld bereits eingezogen wurde und eine Rechnung ohne Absender, Adresse oder Rufnummer bei ihr eintrifft, zweifelt sie an der Vertraulichkeit des angeblichen Technikers. Doch nun ist es zu spät. Das Geld ist abgebucht und es ist nicht mehr nachvollziehbar, ob, welche und wie viele Daten bereits ausgespäht wurden. Von einem vertrauenswürdigen EDV-Dienstleister muss sie ihren PC nun neu aufsetzen lassen, um weiteren Schäden vorzubeugen.
Das Telefon und der Social Engineer
Social Engineers nutzen bei Angriffen bevorzugt das Telefon, da es ihnen ermöglicht Distanz zu wahren und ihre wahre Identität zu verschleiern. Eine Masche, wie oben beschrieben, ist vielen bereits bekannt. Doch Social Engineers haben auch hier viele unterschiedliche Methoden.
Bei den meisten Social Engineering Angriffen bemerken die Opfer überhaupt nicht, dass sie gerade einem Social Engineer wichtige Informationen weitergegeben haben. Hier ist der sogenannte „Vorangriff“ nützlich. Die gesammelten Daten über Unternehmensstruktur, firmeninterne Terminologie (zum Beispiel die Bezeichnung für Abteilungen, Prozesse, Nummern) und personenbezogene Daten (zum Beispiel über Facebook gesammelt) helfen dem Social Engineer glaubwürdig zu klingen. Dies führt dazu, dass die Opfer dem Anrufer vertrauen. In einigen Fällen baut der Social Engineer eine persönliche Beziehung zum Opfer auf, indem er mehrere Male anruft und erst nach einiger Zeit Fragen zu bestimmten Informationen stellt. Dabei würde ein gewiefter Social Engineer niemals direkt auflegen, nachdem er die gewünschte Information erhalten hat. Denn der Anrufer erinnert sich zumeist an den Anfang und das Ende des Gesprächs und nicht an einzelne, vermeintlich nebensächliche Fragen, die zwischendurch gestellt wurden.
Wer ist gefährdet?
Das obige Beispiel zeigt, dass technischer Fachjargon glaubwürdig und vielleicht sogar einschüchternd wirken kann. Dies bedeutet allerdings nicht, dass technisch versierte Mitarbeiter nicht auch auf Social Engineers hereinfallen könnten. Der Angreifer hält seine Opfer nicht für dumm. Ganz im Gegenteil: Er ist stets auf der Hut und tastet ab, wie weit er gehen kann. Er macht sich vor allem die grundsätzliche Gutgläubigkeit des Menschen zunutze. Außerdem erleichtern größere Unternehmen den Angriff, da sich der Social Engineer leicht als Mitarbeiter an einem anderen Standort oder einer anderen Abteilung ausgeben kann, ohne dass der angerufene Mitarbeiter sofort Verdacht schöpft. Somit ist Jeder angreifbar!
Bitte beachten Sie: Sind Sie wirklich sicher, dass Sie mit der Person sprechen, für die sie sich ausgibt?
Risiken
- „Vorangriff“: Daten und Informationen, die Sie als unwichtig empfinden, können dem Social Engineer viel über das Unternehmen verraten. Durch Vorangriffe eignet er sich Fachjargon an, um authentisch und glaubwürdig zu wirken.
- Angreifer könnten ihren PC lahmlegen und nur gegen weitere Zahlungen anbieten, das Problem wieder zu beheben, selbst wenn dies nur falsche Versprechungen sind.
- Social Engineers sind Meister der Täuschung und wissen, wie man sich Vertrauen verschafft. Die meisten Opfer bemerken den Angriff nicht einmal.
Verhaltensweisen
- Seien Sie unerwarteten Anrufen gegenüber skeptisch.
- Überprüfen Sie die Identität des unbekannten Anrufers. Bereits detaillierte Nachfragen über Unternehmen oder Belang können den Anrufer irritieren.
- Holen Sie sich zweite Meinungen ein, wenn Sie sich über ein Computer-technisches Thema unklar sind oder wenn Sie nicht wissen wie vertraulich eine Information wirklich ist.
Weiterführende Informationen
Hier finden Sie einen beispielhaften Artikel zu Angriffen über das Telefon.
Eine weitere Social-Engineering Methode beschreibt der Artikel „Betrugsmasche aufgewärmt: Falsche Microsoft-Techniker am Telefon” unter
Bild: © Tijana / fotolia.com
Bisher erschienen in der Reihe “Verhaltensregeln zu Social Engineering”:
Teil 1: Risiken in den Sozialen Netzwerken
Teil 2: Risiko durch Lauschangriffe
Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awareness-Koordinator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwerpunktmäßig mit den Themen ISMS und Awareness.

Neueste Kommentare