SOCIAL 46 www.jerome-kassel.de JÉRÔME WIRTSCHAFT Engineering Als Social Engineering bezeichnet man den Versuch, die potenziell größte Sicherheitslücke überhaupt auszunutzen – den Menschen. Dazu wird dieser oft mithilfe moderner Kommunikationsmedien ausgespäht und manipuliert, um ihn so ohne sein Wissen für kriminelle Absichten zu instrumentalisieren. Einfallstore für Angriffe sind neben Telefon und Internet auch Altpapiertonnen mit arglos weggeworfenen persönlichen Daten oder auch das persönliche Gespräch an Haustüren und im öffentlichen Raum. Angriffsfläche ist immer der Mensch selbst und seine natürlichen Reflexe – darunter solche wie Angst, Gier oder Ekel ebenso wie sein Vertrauen gegenüber den Mitmenschen und sein Impuls, in Notsituationen zu helfen. Social Engineering verfolgt das Ziel, diese menschlichen Eigenschaften auszubeuten und für kriminelle Zwecke zu missbrauchen. Wer sich mit IT-Security befasst, muss den Radius der Aufmerksamkeit also auch auf menschliche und verhaltenspsychologische Aspekte ausweiten. Als Experte für IT-Security gibt Matthias Altmann von Micromata Hinweise und sinnvolle Tipps, wie man sich vor sich selbst und damit vor Social Engineering schützen kann. E-Mails: Vorsicht vergiftete Post Inhalt: Trauen Sie keiner E-Mail, die Sie nicht selbst verfasst haben. Prüfen Sie Ihren digitalen Posteingang deshalb stets mit Sorgfalt und werden Sie hellhörig, wenn schon der Betreff an Ihre niederen oder humanen Instinkte appelliert. „Sie haben gewonnen!“ etwa hofft auf Ihre Gier, „Helfen Sie mit, dieses Unrecht zu beenden“ appelliert an ihr Mitgefühl, „Warnung! Ihr Account wurde gehackt“ versucht, Ihnen Angst zu machen und „Mahnung“ adressiert ihr Pflichtbewusstsein. Absender: Es reicht nicht aus, dass Ihnen der Absender vertraut erscheint. Werfen Sie einen genauen Blick auf die tatsächliche Absenderadresse – ist sie Ihnen unbekannt oder weicht auch nur geringfügig von der Originaladresse ab, löschen Sie die Mail ohne zu zögern. Erscheinungsbild: Oft wissen oder vermuten Angreifer, welche Onlineanbieter Sie nutzen und fingieren eine Mail in deren Namen – inkl. Nachahmung des entsprechenden Corporate Designs. Auch wenn dieses oft verdächtige Abweichungen enthält und der Text der Mails zudem durch schlechte Sprache auffällt, wird diese trügerische Kunst durchaus besser. Gehen Sie einfach auf Nummer sicher, löschen Sie verdächtige Mails sofort und rufen Sie den betreffenden Onlineanbieter separat im Browser auf, wenn Sie prüfen wollen, ob dort wirklich etwas anliegt (Sonderangebote, Rechnungen, geänderte Nutzungsbedingungen etc.). Links: Klicken Sie nur dann auf Links aus E-Mails, wenn der Absender zweifelsfrei vertrauenswürdig ist (siehe oben). Ansonsten gilt auch hier: Mail löschen, die Homepage des vermeintlichen Absenders separat aufrufen und schauen, ob es etwas gibt, das für Sie relevant ist. Anhänge: Die meisten Dateiformate sind mehr oder weniger manipulierbar, insbesondere dann, wenn sie ausführbar sind. Hinter einer harmlosen Bezeichnung steckt dann ein Schadcode, der beim Anklicken aktiviert wird. Anschließend kann der Angreifer sensible Informationen auf dem Rechner auslesen, diesen gegen Geld sperren oder sogar Direktzugriff erlangen. Deshalb gilt: Öffnen Sie Anhänge aus Mails nur dann, wenn Sie einen solchen erwarten oder er Teil einer schon laufenden Korrespondenz ist. Ansonsten aber nur, wenn Sie den Absender mit Gewissheit identifizieren können. Von Jule Witte Foto: Micromata Was tun gegen digitalen und analogen Trickbetrug?
2019_S00001_00060
To see the actual publication please follow the link above