Social EngineeringS
ocial Engineering hat im Zusammenhang mit Computersicherheit einen hohen Stellenwert. Es geht beim Social Engineering darum, Menschen so zu beeinflussen, dass sie ein ganz bestimmtes Verhalten zeigen, wodurch Sicherheitssysteme in ihrer Wirksamkeit reduziert werden. Benötigt man für den Zugriff auf eine externe Ressource ein Passwort, dann zeigt sich oft, dass Nutzer dieses Passwort dann freiwillig herausgeben, wenn man ihnen den Eindruck vermittelt, hierfür legitimiert zu sein. Die Art des Auftretens, auch am Telefon, kann durch bestimmt Kommunikationstechniken so gewählt werden, dass die entsprechenden Kontaktpersonen jeden Zweifel an der Legitimation unterdrücken. Social Engineering ist wesentlich wirksamer beim der Manipulation von Zugangsmöglichkeiten als Software, zumal diese hohe Zugriffszahlen und lange Zugriffszeiten benötigt.G
rundmuster beim Social EngineeringD
er erste Eindruck wirkt sehr stark, ein Gesetz, das in der Sozialpsychologie gut dokumentiert ist. Man muss also bei der ersten Kontaktaufnahme bereits den Rahmen des Umgangs so abstecken, dass auf natürliche Art die Informationsherausgabe gefördert wird. Dies kann beispielsweise dadurch unterstützt werden, dass man Bruchstücke bekannter Informationen auf subtile Art verwendet und so den Eindruck hervorruft, dass man dazugehört und für weitere Verantwortungsbereiche Kompetenz besitzt. Dieses Grundmuster beim Social Engineering wird besonders deutlich bei fingiert angebahnten Telefongesprächen. Der Angreifer ruft als Mitarbeiter oder Vorgesetzter an und setzt vertrauliche Informationen ein, um weitere vertrauliche Informationen zu bekommen. Geht eine Kontaktperson darauf ein, dann entsteht ein weiteres Handlungspotential, weil dadurch die Informationsbasis verbreitert wird.