Social Engineering (oder auch Human Hacking) bezeichnet eine Hackermethode, bei der die Angreifer gezielt die „Schwachstelle“ Mensch ausnutzen. Im nicht-virtuellen Leben wird diese Methode simpel als „Trickbetrug“ bezeichnet. Dabei versuchen die Angreifer Menschen durch psychologische Tricks so zu manipulieren, dass sie Dinge tun, die sie normalerweise nie tun würden.
Eine der bekanntesten Offline-Maschen ist der Enkel-Trick, bei der Trickbetrüger über einen Telefonanruf ältere Menschen davon überzeugen, dass sie ein Verwandter seien und dringend Geld benötigen. Eine im alltäglichen E-Mail-Postfach bzw. auf Facebook/Instagram oft anzutreffende Form von Social Engineering ist Love-Scam, bei der den Opfern die ewige Liebe vorgegaukelt wird. So werden diese beispielsweise dazu gebracht, Geld zu überweisen, weil der/die Angebetete eine lebenswichtige Operation durchführen lassen muss, oder das Geld für ein Flugticket benötigt. Oder aber auch der bei einem Flugzeugabsturz verstorbene Prinz aus Nigeria ist außerordentlich beliebt.
Dieselbe Vorgehensweise funktioniert grundsätzlich auch in Unternehmen, wenngleich sich die (erfundenen) Motive unterscheiden. Abseits des Liebesthemas wird im unternehmerischen Umfeld oft mit Ängsten, Hoffnungen, Hilfsbereitschaft, Vertrauen und Neugier („Ihr Paket wird heute zugestellt. Hier erfahren Sie mehr.“) bzw. mit dienstlichen Verpflichtungen oder autoritärem Gehorsam manipulativ gespielt.
Der hierzulande wohl bekannteste Fall geschah 2018 beim oberösterreichischen Unternehmen FACC. Betrüger haben es geschafft, die Identität des Firmenchefs vorzutäuschen und durch manipulierte Mails 54 Mio. Euro zu erbeuten. Dazu nutzte man eine gefälschte E-Mail-Adresse, ähnlich der des Vorgesetzten.
Die Ziele von Social Engineering sind übrigens nicht immer Geldüberweisungen, sondern mitunter auch sensible Daten wie Passwörter, Kundendaten oder Kontoinformationen. Dafür nutzen die Täter zwischenmenschliche Interaktionen aus, wobei fast alle Angriffe nach demselben Schema ablaufen. Zuerst müssen die Angreifer möglichst viele Informationen über das Opfer sammeln, danach wird eine Beziehung (meist via Mail) aufgebaut. Ist das erst gelungen, werden die Schwachstellen des jeweiligen Mitarbeiters ausgenutzt und die Daten gestohlen.
Laut Sicherheitsexperten stellt Social Engineering die größte Gefahr für jedes Sicherheitssystem eines Unternehmens dar. Als Gegenmaßnahme sollten Mitarbeiter entsprechend geschult werden. Zudem muss das Bewusstsein hinsichtlich der Vorgehensweise von Social Engineers geschärft werden.