Icon Informationssicherheit
Informationssicherheit

Was ist Phishing und Social Engineering?

Verfasst von: Oliver Volkmann
IT-Administration

Social Engineering beschreibt ganz allgemein die Beeinflussung von Personen mit dem Ziel, bestimmte Aktionen auszuführen oder sensible Informationen preiszugeben. Phishing hingegen ist eine Methode des Social Engineering, die auf den Versuch abzielt eine breite Masse von Personen zu täuschen. Hierbei wird häufig darauf abgezielt, dass Personen den Link einer Phishing-Mail anklicken, um durch Täuschung sensible Daten zu erlangen.

Eine beliebte Plattform für Social-Engineering-Angriffe in Deutschland sind Kleinanzeigen. Hier wird häufig geschickt versucht, das Opfer so zu manipulieren, dass es Geld auf ein Bankkonto überweist. Auch der „Enkeltrick“ oder vermeintliche Europol-Anrufe sind weit bekannt.

Welche weiteren Methoden des Social Engineerings existieren?

  1. Pretexting
    Diese Methode bezieht sich auf das Erstellen einer falschen Identität oder Geschichte, um das Vertrauen der Opfer zu gewinnen. Dies kann beispielsweise in Form von gefälschten Anrufen oder E-Mails erfolgen, bei denen sich der Angreifer als Mitarbeiter einer vertrauenswürdigen Organisation ausgibt.
  2. Spear Phishing
    Hierbei handelt es sich um eine spezielle Form des Phishings, bei der der Angreifer gezielt eine bestimmte Person oder Gruppe ins Visier nimmt. Hierbei werden alle verfügbaren Informationen gesammelt, um das Opfer möglichst überzeugend täuschen zu können.
  3. Baiting
    Bei dieser Taktik werden den Opfern Anreize geboten, um sie dazu zu bringen, vertrauliche Informationen preiszugeben oder schädliche Links und Anhänge zu öffnen. Ein Beispiel dafür wäre ein angeblicher Gewinn oder das Angebot eines kostenlosen Downloads, der in Wirklichkeit Malware enthält.

Wie kann ich mich besser schützen?

  1. Achten Sie auf verdächtige E-Mails.
    Öffnen Sie keine Anhänge und klicken Sie nicht auf Links, wenn Sie sich nicht sicher sind, ob die E-Mail authentisch ist. Überprüfen Sie die E-Mail-Adresse des Absenders – verlassen Sie sich jedoch nicht ausschließlich auf den E-Mail-Header. Der Header könnte gefälscht sein oder der E-Mail-Account wurde gehackt.
  2. Verwenden Sie starke Passwörter.
    Verwenden Sie keine einfachen Passwörter wie "123456" oder "Passwort", sondern lange (mindestens 25 Zeichen) und/oder komplexe (Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) Zeichenketten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dafür gute Tipps zur Erstellung von sicheren Passwörtern zusammengestellt.
  3. Aktualisieren Sie Ihre Software regelmäßig.
    Stellen Sie sicher, dass Ihre Betriebssysteme, Browser und andere Software auf dem neuesten Stand sind, um Sicherheitslücken zu schließen.
  4. Nutzen sie Zwei-Faktor-Authentifizierung bei so vielen Accounts wie möglich, um es Angreifern stark zu erschweren.
  5. Verwenden Sie Sicherheitssoftware, wie Antivirus-Programme oder Firewalls.
    Diese können dazu beitragen, schädliche Aktivitäten zu blockieren und Ihr System vor Angriffen zu schützen.
  6. Seien Sie misstrauisch gegenüber unbekannten Anrufern oder unbekannten Personen, die versuchen, persönliche Informationen von Ihnen zu erhalten und geben Sie keine sensiblen Daten heraus.
  7. Prüfen Sie regelmäßig, ob eine Ihrer E-Mail-Adressen auf einer veröffentlichten Liste samt Zugangsdaten und Passwörtern steht.
    Die Website haveibeenpwned.com ist eine gute Anlaufstelle dafür.

 

chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.