IT-Sicherheitsthemen gewinnen immer mehr an Bedeutung weltweit, da sowohl Kosten von IT Attacken als auch der Imageverlust enorm hoch sind. Die damit ver-bundenen Kosten steigen von Jahr zu Jahr. Die Studie "2015 Cost of Cyber Crime Study: Germany fand heraus, dass die Durchschnittskosten (der Schaden der durch den Angriff verursacht wurde) pro Angriff in Deutsch von 6,1 Millionen Euro im Jahr 2014 auf 6,6 Millionen im Jahr 2015 gestiegen sind. Deutschland ist dabei auf Platz 2 hinter den USA, wo der Durchschnittswert doppelt so hoch ist. Dabei sind Unternehmen aus allen Branchen und aller Größen betroffen. Die Kosten pro Mitarbeiter sind dabei bei kleinen Unternehmen sieben Mal so hoch wie bei großen Unter-nehmen (1.886,00 Euro im Vergleich zu 258,00 Euro).
Die Fälle bei den Unternehmen einen großen Schaden erleiden, weil Mitarbeiter unwissentlich Daten oder Informationen an Betrüger herausgeben, bzw. Handlungen vornehmen, um die sie von Betrügern gebeten wurden, häufen sich. Erst im August 2016 wurde der Automobilzulieferer Leoni AG mit Sitz in Nürnberg Opfer eines sog. "Fake President" Angriffes. Dabei wurde Mitarbeitern von Fremden vorgetäuscht über "besondere Befugnisse" zu verfügen, sodass 40 Millionen Euro auf ausländische Konten transferiert wurden.
Es existieren zahlreiche weitere Beispiele für solche Angriffe aus der Praxis. Eine von Bitkom im Dezember 2015 durchgeführte Umfrage, bei der 504 Unternehmen in Deutschland gefragt wurden, von welchen Handlungen das Unternehmen in den letzten 2 Jahren betroffen war, zeigt, dass 17 % Social Engineering Attacken zum Opfer wurden . Das alles lässt auf die Aktualität des Themas schließen. Da jeder Angriff für das Unternehmen mit sehr hohen Kosten verbunden ist, ist es wichtig sich mit dieser Thematik auseinander zu setzen.
Inhaltsverzeichnis
1. Einleitung
2. Grundlagen zu Social Engineering
2.1 Geschichte des Social Engineering
2.2 Begriff des Social Engineering und die Charakterisierung der möglichen Zielpersonen
2.3 Ablauf einer Attacke
3. Social Engineering Vorgehensweise und mögliche Gegenmaßnahmen
3.1 Human Based Social Engineering
3.2 Computer Based Social Engineering
3.3 Reverse Social Engineering
3.4 Risikomatrix zur Ermittlung der Dringlichkeit von Gegenmaßnahmen
4. Fazit
Zielsetzung & Themen
Das primäre Ziel dieser Arbeit ist es, die vielfältigen Methoden des Social Engineering sowie entsprechende Gegenmaßnahmen strukturiert darzustellen und eine beispielhafte Risikomatrix für Unternehmen zur Risikoabschätzung zu entwickeln.
- Methodische Einordnung von Social Engineering Attacken
- Analyse menschlicher Schwachstellen und manipulativen Verhaltens
- Unterscheidung zwischen Human Based, Computer Based und Reverse Social Engineering
- Entwicklung eines präventiven Frameworks mittels Risikomatrix
Auszug aus dem Buch
2.2 Begriff des Social Engineering und die Charakterisierung der möglichen Zielpersonen
Beim Social Engineering richtet sich die Attacke nicht direkt auf die IT Systeme, die durch diverse technische Mittel geschützt sind, sondern auf die Anwender dieser. So werden auch die installierten IT Sicherheitssysteme komplett umgangen, denn keins der computerbasierten Systeme ist gänzlich frei von menschlichen Faktor, der das System bedient, wartet oder Ähnliches.
Es wird versucht den Opfern persönliche und / oder betriebliche Informationen, wie Nutzernamen, Passwörter, Zugangscodes, Kreditkartennummer usw. unter Vorgaukeln falscher Tatsachen zu entlocken oder die Personen zu bestimmten Handlungen zu bewegen. Dabei werden solche menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst von Konsequenzen beim Fehlverhalten und Hörigkeit den hierarchisch höher gestellten Personen ausgenutzt.
Die Ausprägung der Charaktereigenschaften spielt eine nicht zu unterschätzende Rolle dabei, wie angreifbar die Person ist. Die Abbildung 1 zeigt, welche Eigenschaften wie ausgenutzt werden können.
Personen, die einfach Vertrauen aufbauen, sind angreifbarer, als Menschen, die von Natur aus skeptisch gegenüber anderen sind. Auch risikofreudige Menschen sind größerer Gefahr ausgesetzt, von Social Engineers ausgenutzt zu werden, da diese nicht so detailliert über die Konsequenzen des Handelns nachdenken.
Zusammenfassung der Kapitel
1. Einleitung: Beleuchtet die wachsende Bedrohung durch Social Engineering und verdeutlicht anhand von Praxisbeispielen, warum menschliche Faktoren das schwächste Glied in der IT-Sicherheitskette darstellen.
2. Grundlagen zu Social Engineering: Führt in die historische Entwicklung des Begriffs ein, definiert Social Engineering als manipulative Technik und analysiert die psychologischen Angriffspunkte menschlicher Zielpersonen.
3. Social Engineering Vorgehensweise und mögliche Gegenmaßnahmen: Klassifiziert verschiedene Angriffstypen in Human Based, Computer Based sowie Reverse Social Engineering und erläutert spezifische Schutzstrategien sowie eine methodische Risikobewertung.
4. Fazit: Führt die Erkenntnisse zusammen und betont die Notwendigkeit, neben technischen Barrieren vor allem die Sensibilisierung der Mitarbeiter durch Schulungen in den Mittelpunkt der Sicherheitsstrategie zu stellen.
Schlüsselwörter
Social Engineering, IT-Sicherheit, Informationssicherheit, Phishing, Pretexting, Risikomatrix, Menschlicher Faktor, Datenmanipulation, Unternehmenssicherheit, Human Based, Computer Based, Reverse Social Engineering, Schwachstellenanalyse, Sensibilisierung, Täuschung.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit?
Die Arbeit behandelt die methodischen Ansätze von Social Engineering Angriffen und untersucht, wie Unternehmen durch gezielte Gegenmaßnahmen und Risikobewertung ihre IT-Sicherheit erhöhen können.
Was sind die zentralen Themenfelder?
Die Schwerpunkte liegen auf der Psychologie hinter Social Engineering, der Einteilung der Angriffsmethoden sowie der praktischen Implementierung von Schutzmaßnahmen in IT-Architekturen.
Was ist die primäre Forschungsfrage?
Die Arbeit fokussiert sich darauf, wie Social Engineering Methoden strukturiert kategorisiert werden können und wie ein Unternehmen mithilfe einer Risikomatrix die Priorität von Gegenmaßnahmen festlegen kann.
Welche wissenschaftliche Methode wird verwendet?
Es wird eine fundierte Literaturanalyse durchgeführt, die durch eine strukturelle Kategorisierung von Angriffsszenarien und die Erstellung einer beispielhaften Risikomatrix zur Risikoabschätzung ergänzt wird.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in die Definition von Social Engineering, die detaillierte Darstellung von Angriffstechniken wie Pretexting, Dumpster Diving und Phishing sowie die Entwicklung einer Risiko-Bewertungsmatrix.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die zentralen Begriffe sind Social Engineering, IT-Sicherheit, psychologische Manipulation, Risikomatrix, Phishing und Mitarbeitersensibilisierung.
Warum sind technische Sicherheitslösungen allein oft unzureichend?
Social Engineering umgeht technische Systeme, indem es direkt das menschliche Verhalten wie Hilfsbereitschaft oder Vertrauen ausnutzt, anstatt Sicherheitslücken in der Software direkt anzugreifen.
Was zeichnet die Risikomatrix aus?
Die Risikomatrix erlaubt es Unternehmen, einzelne Angriffsmethoden basierend auf Schadenshöhe und Eintrittswahrscheinlichkeit zu gewichten, um begrenzte Ressourcen effizient für die wichtigsten Schutzmaßnahmen einzusetzen.
- Arbeit zitieren
- Kse Nia (Autor:in), 2017, Die Methoden des Social Engineering. Überblick und mögliche Gegenmaßnahmen, München, GRIN Verlag, https://www.grin.com/document/373699
