• Suche

    •  

  • Neu

  • Navigation

    • Tweet Webwissenschaften

    Mein Tweet

  • Links

  • Archiv

    • Juni 2025
      Mo
      Di
      Mi
      Do
      Fr
      Sa
      So
       
       
       
       
       
       
       1 
       2 
       3 
       4 
       5 
       6 
       7 
       8 
       9 
      10
      11
      12
      13
      14
      15
      16
      17
      18
      19
      20
      21
      22
      23
      24
      25
      26
      27
      28
      29
      30
       
       
       
       
       
       
      März
       
       

  • Meta

  • RSS

Home : Topics : Social Engineering

Dienstag, 11. Oktober 2011
Social Engineering - Risiko Mensch in der Informationstechnologie

(Auszug aus meiner Bachelorarbeit)

Spricht man in der IT über Sicherheit, fallen meist Begriffe wie Firewall, Antiviren-Software, Proxy, Verschlüsselung, Token, Benutzername und Passwort, um nur einige zu nennen. Alle diese Komponenten bilden natürlich wesentliche Teile um IT Systeme vor Angriffen und Datenmissbrauch zu schützen, jedoch wird häufig eine weitere Schwachstelle zu wenig berücksichtigt ? der Mensch.

Jedes noch so durchdachte Sicherheitskonzept verfehlt seine Schutzfunktionen, wenn Mitarbeiter freiwillig ihre Passwörter oder andere relevante Informationen preisgeben. Der Social Engineer setzt genau an dieser Schwachstelle an und stellt so in der IT eine Angriffsart dar, die auf den Menschen selbst abzielt.

Unternehmen investieren große Teile ihres IT Budgets in die Absicherung ihrer IT Systeme, um sich vor Datenmissbrauch und Angriffen zu schützen. Es stellt sich jedoch die Frage, ob die technische Absicherung alleine ausreichend ist, um ein IT System zuverlässig vor Angriffen zu schützen, oder ob man sich in falscher Sicherheit wähnt. Um ein Computersystem zu schützen, reicht es nicht aus alle technischen Möglichkeiten zu nützen, es muss auch jeder einzelne Mitarbeiter in einem Sicherheitskonzept berücksichtigt werden. Sehr oft wird in Unternehmen der Problemfaktor Mensch in Bezug auf die IT Sicherheit vernachlässigt. So wird es dem Social Engineer ermöglicht, an vertrauliche Informationen zu gelangen.

Einer Studie von McAfee, einem führenden Hersteller von Antivirus- und Computersicherheitssoftware, bestätigt auch für das Jahr 2009, den Trend zum Datendiebstahl durch Social Engineering. Die Anzahl der Angriffe durch die unterschiedlichsten Social Engineering Techniken, hat sich im Vergleich zum Jahr 2008 weiter erhöht und stellen in zunehmende Ausmaß eine Bedrohung für Unternehmen dar. (Q1)

 

Image and video hosting by TinyPic

Abb.: Abgriff durch Social Engineering (Q2)

Die Abbildung zeigt die schematische Darstellung der typischen Vorgehensweise bei einem Social Engineering Angriff. Der Angreifer nützt nicht den üblichen Weg des Hackers um in ein Informationssystem einzudringen, sondern setzt direkt an der Schnittstelle Mensch an.
Durch gezielte und geschickte Manipulation des Mitarbeiters gelangt der Social Engineer an die gewünschten Informationen und kann diese für seine Zwecke einsetzen. (Q3)

Durch das Vorspielen einer falschen Identität in Kombination mit dem Ausnutzen menschlicher Eigenschaften wie Hilfsbereitschaft, Sympathie oder auch Autoritätsgläubigkeit, gelingt es so dem Social Engineer an vertrauliche Informationen zu gelangen. (Q4)

Hier noch ein aktuelles Interview des WebStandard.

Quellen (Qn):

(Q1) Online: McAfee, Inc (2010): 2009 Threat Predictions. S.3ff.
(Q2) eigene Darstellung
(Q3) Peikari, Cyrus; Chuvakin, Anton (2004): Kenne deinen Feind. Fortgeschrittene Sicherheitstechniken; 1. Auflage. Köln: O'Reilly. S. 211f
(Q4) Mitnick, Kevin D.; Simon, William L. (2002): The art of deception. Controlling the human element of security. Indianapolis Ind.: Wiley. S. 20ff.

harald.koenigseder.uni-linz am 11. Oktober 11  |  Permalink  |  1 comment  |  kommentieren