Social Engineering

Beutezüge durch Datenbanken, Call-Center und Netzwerke

Von Christin Hohmeier · 2020

Jeder Mensch hat eine Stelle an der er schwach wird, an der er Geheimnisse ausplaudert oder aus Selbstschutz oder Angst vertrauliche Dinge enthüllt. Kriminelle zählen es zu ihren Kernkompetenzen, Personen anzusprechen, ihr Verhalten zu analysieren und diese schwachen Stellen zu finden. Die Betrogenen öffnen – häufig unbewusst – den Zugriff auf vertrauliche Daten oder Unternehmensnetzwerke.

Vermummte Person steht vor einem Gesicht, das aus Datenmengen besteht (symbolisch für persönliche Daten).
Cyberkriminelle sehen Internetnutzende als Goldgrube, die es zu plündern gilt. Foto: iStock / peshkov

Cyberkriminalität ist weit mehr als der unberechtigte Zugriff eines Angreifers auf die Daten eines Unternehmens. Hinter Cyberkriminalität steht sehr häufig der persönliche Kontakt von Betrügern und Betrogenen. Auch treffen sich Kriminelle in der realen Welt, um sich für Verbrechen in der virtuellen Welt zu verabreden, meistens sind die Grenzen fließend. So galt für das organisierte Verbrechen über viele Jahre der persönliche Kontakt zu Call-Center-Mitarbeiterinnen und -Mitarbeitern als eine Goldgrube. Denn diese konnten ohne Probleme auf die Daten von Kunden und häufig auch von Lieferanten zugreifen: Kundennummern, Kontodaten, Kreditkarten, Adressen, E-Mails oder auch Profile in den Onlinenetzwerken und virtuellen Kaufhäusern. Kriminelle boten gutes Geld für Informationen, die ihre Informanten mit Smartphones vom Bildschirm fotografierten oder einfach mit der Hand abschrieben. 

DSGVO sollte digitale Beutezüge stoppen

Die Sicherheitsexperten sprechen in diesem Zusammenhang auch von „Social Engineering“ – mit Gesetzen wie der DSGVO und deren Umsetzungen sollten die wichtigsten persönlichen Informationen von den Bildschirmen verschwinden und Mitarbeiter sensibilisiert werden. Tatsächlich sicher sind die Onlinekäufer deshalb aber offensichtlich nicht. So ist es immer noch üblich, etwa bei der Hotelreservierung über das Telefon die Kreditkartennummer zusammen mit dem Sicherheitscode, Namen und Postanschrift und E-Mail-Adresse zu buchstabieren. Ob die Person am anderen Ende das erwartete Vertrauen auch verdient, ist häufig ungewiss. Und dies ist genauso unsicher wie die Frage, ob der Kunde tatsächlich derjenige ist, für den er sich ausgibt. 

Social Engineering: Plünderung von Identitätsdaten

Denn aus der Plünderung von persönlichen Daten haben die Cyberkriminellen einen eigenen Geschäftszweig entwickelt – den Diebstahl von Identitäten. Die einfachsten Raubzüge führen sie mit der Kombination aus falscher E-Mail-Adresse und richtiger Postanschrift durch. Die Verbrecher bestellen im Namen einer Person Kleidung, Mobiltelefone oder Schuhe. Dann fangen sie den Paketboten ab und bieten ihrerseits die Beute im Internet an. Der Geschädigte erfährt erst von der Bestellung in seinem Namen, wenn die Rechnung des Onlinekaufhauses bei ihm im Briefkasten liegt. Die Identitätsdiebe haben diese Form der Kriminalität offensichtlich zu einem Massenphänomen ausgebaut. Bereits im Jahr 2016 schätzten die Verfasser einer Risikostudie, das etwa 23 Prozent der Bevölkerung Opfer eines solchen Datenmissbrauchs waren. Und häufig gerät ein Identitätsdiebstahl außer Kontrolle. Etwa dann, wenn der gesamte Datenbestand einer Person in die Hände von Fremden gefallen ist. Sicherheitsexperten zählen die Bereiche auf, in denen sich die Täter mit der Identität ihrer Opfer bereichern können: Neben dem typischen Fall des Warenkreditbetruges können die Verbrecher auch Konten eröffnen oder in fremden Namen medizinische Hilfe in Anspruch nehmen. Üblich sei es aber auch die Opfer zu erpressen, zu mobben, deren Ruf zu zerstören und Straftaten zu begehen – etwa digital, als unbescholtene Person maskiert, mit Drogen oder Waffen zu handeln. 

Quellen:
www.datenschutzbeauftragter-info.de/social-engineering-relevante-angriffstechniken-im-ueberblick/
www.fbi.gov/video-repository/protected-voices-social-engineering-083018.mp4/view
www.golem.de/news/social-engineering-mit-kuenstlicher-intelligenz-220-000-euro-erbeutet-1909-143638.html

Wussten Sie schon, dass …

… viele Prozesse im Homeoffice gegen die DSGVO-Bestimmungen verstoßen? Unternehmen hatten in den vergangenen Jahren Millionen Euro in die Compliance von Systemen und Prozessen investiert. Aber um Arbeitsprozesse am Laufen zu halten, speicherten Mitarbeiterinnen und Mitarbeiter persönliche Daten ihrer Kollegen und Kunden, ihrer Lieferanten und Logistiker in Smart-Home-WLANs, in Familien-PCs oder privaten Cloudanwendungen. Compliance-Verantwortliche müssen diese Daten zurück in die geschützten Bereiche der eigenen Netzwerke holen. Und es besteht das Risiko, dass die Behörden ein DSGVO-Audit durchführen. Hier könnte ein weiterer, hoher Schaden auf die Unternehmen zu kommen.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)