Social Engineering: Ergebnisse Forschungsstudie Bundeskriminalamt

Die Studie zu Social Engineering vom Bundeskriminalamt stellt den aktuellen Entwicklungsstand dieses Phänomens dar. Die Autorin Heike Bruhn verdeutlicht damit die Aktualität der Gefahren von Social Engineering. Insgesamt soll die Studie nicht nur einen Überblick geben, sondern auch den Aufmerksamkeitsfokus der Unternehmen schärfen. Zum Download und Fazit der Studie sehen Sie untenstehend.

Die Studie legt dabei die offizielle Definition des Verfassungsschutzes Brandenburg zugrunde: „Social Engineering ist der Versuch unter Ausnutzung menschlicher Eigenschaften Zugang zu Know-how zu erhalten. Der Angreifer nutzt dabei Dankbarkeit, Hilfsbereitschaft, Stolz, Karrierestreben, Geltungssucht, Bequemlichkeit oder Konfliktvermeidung aus. Dabei bieten häufig soziale Netzwerke oder auch Firmenwebseiten Möglichkeiten, um sich auf sein Opfer gründlich vorzubereiten. Zu diesen „Vorfeldermittlungen“ können auch Anrufe im Unternehmen gehören. Professionelle Angreifer versuchen dabei nicht, mit einem Anruf alle gewünschten Informationen zu erlangen, dies könnte misstrauisch stimmen. Der Angerufene wird dabei im Gespräch nach vermeintlich nebensächlich erscheinenden Informationen gefragt.“

In der Kurzfassung: Social Engineering ist eine zwischenmenschliche Manipulation, bei der ein Unbefugter unter Vortäuschung falscher Tatsachen versucht, unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen.
* in Verbindung mit den Autoren Dietmar Pokoyski, Ivona Matas, Dirk Fleischer des Fachartikels aus 2015 „Gefahren und Abwehr bei Social Engineering“.

Im Fazit kommt die Studie zum Schluss, dass Social Engineering-Fälle in Zukunft eher ansteigen als abnehmen werden und die Aufklärung dabei kontinuierlich problematisch bleibt. Gründe hierfür sind insbesondere:

  • Das Entdeckungsrisiko sinkt, da zunehmend die Betrügereien aus dem Ausland und / oder von nicht zu identifizierenden Rechnern erfolgt.
  • Die Anzeigebereitschaft wird in großen Teilen gehemmt durch die Angst vor Reputationsverlust.
  • Die Aussicht auf große abzuschöpfende Gewinne erhöht den Tatanreiz, u.a. CEO-Fraud / Fake President Fraud.
  • Die Verfügbarkeit relevanter offener Informationen, die für einen Social Engineering Angriff genutzt werden können, steigt tendenziell an. Dadurch werden Manipulationen erleichtert.
  • Die Europäisierung des Betruges wird in vielen Fällen nicht adäquat mit der Europäisierung der Strafverfolgung beantwortet und die internationale Rechtshilfe ist in hohem Maße defizitär.

Weiterführend stellt in diesem Zusammenhang eine spannende Studie des Bundeskriminalamtes mit dem Titel „Innentäter im Unternehmen“ dar.

Ihr Audit Research Center Team – Forethought For You