Social Engineering
Social Engineering ist ein wahrscheinlich auf die frühen 1970er Jahre zu datierender Begriff, der den Optimismus ausdrückt, mit dem man damals glaubte, die menschliche Gesellschaft mit rationalen, eben ingenieurmäßigen, Methoden zum Besseren umgestalten zu können. Bleibende Erinnerung an diese Zeit ist die Betonwüste mancher Trabantenstadt.Ironisch aufgegriffen, bezeichnet Social Engineering (fälschlicherweise auch Social Hacking) eine Vorgehensweise zum nicht-technischen Ausspähen von Daten durch Kontakt zu den Informationsträgern. Dabei versuchen jemand (meist Cracker oder anderer Krimineller) Passwörter oder andere sicherheitsrelevante Informationen von einer unvorsichtigen Person (z.B. einem Kundendienstmitarbeiter eines Unternehmens) zu erfahren, um so firmeninterne Sicherheitssysteme leichter umgehen zu können. So werden die technischen Sicherheitsvorkehrungen nicht auf der technischen sondern der sozialen Ebene umgangen. Social Engineering nutzt dabei Techniken der Beeinflussung und Überredungskunst, falsche Tatsachen vorzutäuschen.
Beispiel: Herr Meier arbeitet in einer Firma, die ein neuartiges Produkt als Erste auf den Markt bringen will. Er arbeitet in der Entwicklungsabteilung an einem Computer. Um sich dem System gegenüber zu authentifizieren benötigt man einen Account und das dazugehörige Passwort. Nun ruft eines Tages ein vermeintlicher Kollege aus einer anderen Filiale des Unternehmens an und bittet Herrn Meier, ihm seine Benutzerdaten bekannt zu geben, da er Wartungen am Server durchführen müsse. Natürlich ist der Anrufer kein Arbeitskollege von Herrn Meier, sondern ein Social Engineer, der jetzt Zugriff auf die Firmengeheimnisse hat. Viele Benutzer gehen mit Ihren Computer-Zugängen sehr sorglos um und geben sie ohne Nachfrage an andere Personen weiter.
Das Social Engineering wurde früher oft von speziellen Crackern benutzt, die dann Phreaker genannt werden, um Telefonkosten zu sparen. Der Phreaker rief dazu z.B. bei irgendeinem Mitarbeiter einer Firma an und gab vor, von der Telefongesellschaft zu sein. Leider habe man das Internetzugangspasswort zurücksetzen müssen und wolle nun ein neues haben. In den meisten Fällen wurde das Passwort genannt.
Social Engineering wird auch von Privatdetektiven eingesetzt, um an unzugängliche Informationen zu gelangen.
Angriffe die auf Social Engineering zurückzuführen sind, geschehen häufiger, als man als Laie vermuten würde. Achten Sie mal darauf, wie unvorsichtig Sie selbst im Umgang mit Passwörtern oder vergleichbaren Informationen sind!
Angriffe durch Social Engieering werden zumeist kaum in der Öffentlichkeit bekannt. Zum einen ist es für viele Firmen peinlich, derartige Angriffe zuzugeben, zum anderen geschehen viele Angriffe so geschickt, dass diese nicht oder erst viel später aufgedeckt werden.
Die Methode des Social Engineering wurde vor allem durch den Cracker Kevin Mitnick bekannt. Er war wegen seiner Taten einer der meistgesuchten Verbrecher der USA.
Social Engineering findet aber nicht nur im mündlichen (per Telefon) oder persönlichen Kontakt statt. Jede Art der Verständigung zwischen Menschen kann als Social Engineering ausgenutzt und mißbraucht werden. Deshalb gilt: Wenn ein persönlich Unbekannter oder ein nicht als vertrauenswürdig eingestufter Partner nach Passwort, Kreditkartennummer, Kontonummer, ... fragt: NIE DIESE DATEN HERAUSGEBEN
Zum Schluss: Ein Social Engeener hat nicht immer schlechtes im Sinn siehe auch: Phishing