Zum Inhalt springen

Social Engineering (Sicherheit)

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 23. Februar 2005 um 10:19 Uhr durch 217.93.230.178 (Diskussion). Sie kann sich erheblich von der aktuellen Version unterscheiden.

Social engineering


  • Sozialpolitischer Begriff
  • Instrumentalisierung sozialer Kontakte im IT-Bereich

Social engineering ist ein eher negativ besetzter Begriff, mit dem im weitesten Sinne alle Formen staatlichen(Legislative, Exekutive,Jurisdiktion) und nichtstaatlichen Handelns verstanden werden, mit denen gesellschaftliches Zusammenleben geregelt und gesellschafliche Veränderungsprozesse in Gang gesetzt werden. Der Begriff unterstellt ein wissenschaftliche Erkenntnisse einbeziehendes, zweckorientiertes und eher technokratisches Vorgehen der jeweiligen Akteure.

Social engineering im engeren Sinne bedeutet die Manipulation der Bevölkerungs-, Sozial- und Altersstruktur einer Gesellschaft durch staatliche Maßnahmen wie Eugenik, Einwanderungsgesetzgebung, Ausländerrecht, Geburtenkontrolle, Familienförderung etc.

Instrumentalisierung sozialer Kontakte im IT-Bereich

Social Engineering (fälschlich auch Social Hacking) ist das Erlangen vertraulicher Informationen durch Annäherung an Geheimnisträger mittels sozialer Kontakte. Die auch von Geheimdiensten und Privatdetektiven angewandete Methode wird heute meist mit Computerkriminalität verbunden, also der Beschaffung von Zugangsdaten für fremde Computer und Datennetze.

Beispiel: Herr Meier arbeitet in einer Firma, die ein neuartiges Produkt als Erste auf den Markt bringen will. Er arbeitet in der Entwicklungsabteilung an einem Computer. Um sich dem System gegenüber zu authentifizieren, benötigt man einen Account und das dazugehörige Passwort. Nun ruft eines Tages ein vermeintlicher Kollege aus einer anderen Filiale des Unternehmens an und bittet Herrn Meier, ihm seine Benutzerdaten zu geben, da er Wartungen am Server durchführen müsse. Zwar kennt Herr Meier den Anrufer nicht, aber durch die Art des Gesprächs vermittelt er den Eindruck, dass er zum Unternehmen gehört.

Meist nähern sich die Angreifer beim Social Engineering zunächst einem Mitarbeiter in einer untergeordneten Position, etwa der Sekretärin oder der Putzfrau, um Gepflogenheiten und Umgangsformen in Erfahrung zu bringen. Bei der Annäherung an den eigentlichen Geheimnisträger verschaffen sie ihm dann den Eindruck, dass es sich angesichts der Detailkenntnis bei dem eigentlich Fremden ja keinesfalls um einen Außenstehenden handeln kann. Eine andere Masche besteht darin, einen technischen Laien durch Fachjargon zu verwirren und zu verunsichern, bis dieser in seiner Hilflosigkeit die nötigen Daten herausrückt.

Ein klassisches Social Engineering ist im James-Bond-Film Diamantenfieber dargestellt: Dort fragt James Bond zunächst den untergeordneten Kontrolleur der Strahlungsplaketten aus, um dann in dessen Rolle ins geheime Raumfahrtlabor vorzudringen.

Social Engineering wurde in der Zeit vor dem Durchbruch des Internets, in den 80er und Anfang der 90er Jahre des 20. Jahrhunderts von sogenannten Phreakern benutzt, um kostenlos Modemverbindungen herzustellen. Der Betreffende rief beispielsweise bei einem Mitarbeiter einer Firma an und gab vor, Systemadministrator der Telefongesellschaft zu sein. Leider habe man das Zugangspasswort zurücksetzen müssen und wolle nun ein neues haben. In den meisten Fällen wurde das Passwort sorglos herausgegeben.

Öffentlich bekannt wurde die Methode vor allem durch den Cracker Kevin Mitnick, der durch seine Einbrüche in fremde Computer einer der meistgesuchten Verbrecher der USA war. Bei der Aufdeckung seines Vorgehens wurde bewiesen, dass Social Engineering meist schneller zum Ziel führt als etwa das Durchprobieren von Passwörtern brute force.

Angriffe durch Social Engineering werden zumeist kaum in der Öffentlichkeit bekannt. Zum einen ist es für viele Firmen peinlich, derartige Angriffe zuzugeben, zum anderen geschehen viele Angriffe so geschickt, dass diese nicht oder erst viel später aufgedeckt werden.

Kein Social Engineering ist Phishing (gefälschte Passswortabfragen auf Internetseiten und in E-Mails), weil es sich hier um eine rein technische Spionagemethode handelt.

Der Begriff Social Engineering stammt vermutlich aus den frühen 1970er Jahren und sollte den Optimismus ausdrücken, mit dem man damals glaubte, die menschliche Gesellschaft mit rationalen bzw. ingenieurmäßigen Methoden zum Besseren umgestalten zu können.

Literatur

  • Kevin Mitnick, William Simon: Die Kunst der Täuschung, ISBN 3-8266-0999-9
  • Kevin Mitnick, William Simon: The Art of Deception: Controlling the Human Element of Security, engl. ISBN 0-4712-3712-4
Abgerufen von „https://de.wikipedia.org/w/index.php?title=Social_Engineering_(Sicherheit)&oldid=4627654