Begriffe aus dem Strafrecht erklärt

Social Engineering

Inhaltsverzeichnis

Social Engineering bezeichnet eine Manipulationstechnik, bei der Angreifer gezielt psychologische Tricks einsetzen, um Personen dazu zu bringen, vertrauliche Informationen preiszugeben oder sicherheitsrelevante Handlungen vorzunehmen, die sie unter normalen Umständen nicht ausführen würden. Der Angreifer nutzt dabei menschliche Verhaltensmuster und Vertrauen, um schadhafte Aktionen wie Datenklau, Zugangsinformationen oder finanzielle Transaktionen durchzuführen, ohne auf technische Hürden zu stoßen. Im Gegensatz zu traditionellen Hacking-Methoden, die Schwachstellen in Systemen ausnutzen, zielt Social Engineering darauf ab, den Menschen selbst zu manipulieren.

Formen von Social Engineering

Social Engineering kann auf viele verschiedene Weisen durchgeführt werden. Die bekanntesten Formen sind:

Phishing

Phishing ist die häufigste Form des Social Engineering. Dabei wird der Angreifer falsche E-Mails, Nachrichten oder Webseiten erstellen, die scheinbar von vertrauenswürdigen Quellen stammen, wie z. B. einer Bank oder einem Online-Shop, um an sensible Informationen wie Passwörter, Kreditkartendaten oder Kontoinformationen zu gelangen.

Beispiel: Ein Angreifer sendet eine E-Mail, die angeblich von der Hausbank kommt und fordert den Empfänger auf, über einen Link seine Bankdaten zu aktualisieren. Der Link führt jedoch zu einer falschen Webseite, die die Daten des Opfers stiehlt.

Vishing (Voice Phishing)

Vishing erfolgt über Telefonanrufe, bei denen der Angreifer vorgibt, offizielle Stellen zu vertreten, wie zum Beispiel eine Bank oder ein Telekommunikationsanbieter. Ziel ist es, dass der Angerufene vertrauliche Daten preisgibt oder Zahlungen vornimmt.

Beispiel: Ein Angreifer ruft an und gibt sich als Mitarbeiter einer Bank aus. Er fordert das Opfer auf, Kontodaten oder eine PIN-Nummer zu bestätigen.

Pretexting

Beim Pretexting baut der Angreifer eine falsche Identität auf, um Vertrauen zu gewinnen. Er gibt sich als eine vertraute Person oder offizielle Stelle aus und verlangt bestimmte Informationen.

Beispiel: Ein Angreifer gibt sich als Mitarbeiter eines Unternehmens aus und bittet einen anderen Mitarbeiter um sensible Daten, die zur Durchführung einer vermeintlichen Aufgabe erforderlich sind.

Baiting (Lockvogelangriff)

Baiting nutzt das Verlangen nach etwas Wertvollem als Köder. Der Angreifer bietet dem Opfer etwas an, wie z. B. kostenlose Software oder USB-Sticks, die mit Schadsoftware infiziert sind. Wenn das Opfer die angebotenen Güter nutzt, wird sein System infiziert oder es wird ein Datenleck verursacht.

Beispiel: Ein Angreifer hinterlässt einen USB-Stick in einem öffentlichen Bereich. Wenn jemand den Stick an seinen Computer anschließt, wird Schadsoftware installiert, die Daten stiehlt.

Impersonation (Nachahmung)

Beim Impersonation gibt sich der Angreifer als eine vertraute Person aus, um Zugriff auf vertrauliche Informationen zu erhalten. Diese Technik wird häufig in Verbindung mit Phishing und Pretexting eingesetzt.

Beispiel: Ein Angreifer gibt sich als Vorgesetzter oder Kollege aus, um Zugang zu Unternehmensdaten zu erhalten.

Rechtliche Grundlagen des Social Engineering

Social Engineering ist in den meisten Ländern illegal und verstößt gegen mehrere gesetzliche Normen. Die rechtlichen Grundlagen in Deutschland zum Thema Social Engineering sind umfassend und beinhalten verschiedene Straftatbestände des Strafgesetzbuches (StGB) und der Datenschutzgesetze.

Strafgesetzbuch (StGB)

§ 263 StGBBetrug

Betrug ist die absichtliche Täuschung einer Person, um sich Vorteile zu verschaffen. Social Engineering-Angriffe wie Phishing oder Pretexting fallen unter den Straftatbestand des Betrugs, wenn der Täter mit dem Ziel handelt, sich illegalen Gewinn zu verschaffen und finanzielle Schäden zu verursachen.

§ 202a StGB – Ausspähen von Daten

Das Ausspähen von Daten ist strafbar, wenn eine Person unbefugt auf Daten zugreift, um diese zu verändern, zu stehlen oder zu veröffentlichen. Social Engineering, das zum Diebstahl von Zugangsdaten oder anderen sensiblen Informationen führt, kann unter diese Vorschrift fallen.

Datenschutz-Grundverordnung (DSGVO)

Artikel 5 DSGVO – Grundsätze der Verarbeitung personenbezogener Daten

Die DSGVO regelt, wie personenbezogene Daten verarbeitet und geschützt werden müssen. Social Engineering-Verfahren, die darauf abzielen, Daten zu stehlen, verstößen gegen die Prinzipien der Datenminimierung und Rechtmäßigkeit der Datenverarbeitung.

Artikel 82 DSGVO – Haftung und Schadenersatz

Wenn Social Engineering dazu führt, dass personenbezogene Daten illegal verarbeitet oder gestohlen werden, können betroffene Personen gemäß Artikel 82 DSGVO Schadenersatzansprüche stellen. Unternehmen, die durch unzureichenden Schutz gegen Social Engineering-Angriffe versagen, können haftbar gemacht werden.

Prävention von Social Engineering

Die Prävention von Social Engineering erfordert sowohl technische Maßnahmen als auch schulungsbasierte Ansätze:

Schulungen und Sensibilisierung

Die Schulung von Mitarbeitern in Bezug auf Phishing, Pretexting und andere Social Engineering-Techniken ist ein wesentlicher Bestandteil der Prävention. Mitarbeiter sollten lernen, wie sie verdächtige E-Mails oder Anfragen erkennen und darauf angemessen reagieren können.

Mehrstufige Authentifizierung

Die Implementierung von Multi-Faktor-Authentifizierung (MFA) kann verhindern, dass Angreifer mit gestohlenen Zugangsdaten Zugang zu kritischen Systemen erhalten. MFA stellt sicher, dass selbst wenn ein Angreifer Benutzerdaten erlangt, er ohne den zweiten Authentifizierungsfaktor keinen Zugriff erhält.

Sicherheitssoftware und Firewalls

Die Verwendung von Antivirussoftware, Spamfiltern und Firewalls hilft dabei, schadhafte E-Mails und Webseiten zu blockieren, die oft als Teil von Social-Engineering-Angriffen verwendet werden.

Verifizierung von Anfragen

Es ist wichtig, Anfragen, insbesondere solche, die sensible Informationen betreffen, immer zu verifizieren. Ein Anruf bei der angegebenen Telefonnummer der Bank oder der Behörde kann helfen, unbefugte Anfragen zu überprüfen.

Fazit

Social Engineering ist eine mächtige Manipulationstechnik, die nicht auf technologische, sondern auf psychologische Schwächen abzielt. Angreifer nutzen das Vertrauen der Opfer aus, um sensible Informationen zu stehlen oder unrechtmäßige Handlungen durchzuführen. Durch gezielte Schulungen, die Implementierung von technologischen Sicherheitsmaßnahmen und Prüfprozesse können Unternehmen und Einzelpersonen das Risiko von Social Engineering-Angriffen erheblich verringern und die Sicherheit ihrer Daten und Systeme erhöhen.

zurück zur Übersicht

Ihr Ansprechpartner

Marc Wederhake
Rechtsanwalt und Fachanwalt für Strafrecht

Telefon: 089 / 5880 83670
E-Mail: sekretariat@kanzlei-wederhake.de

Fachanwalt für Strafrecht - Marc Wederhake

Warum Kanzlei Wederhake?

  • Beratung und Vertretung durch einen spezialisierten Fachanwalt für Strafrecht
  • Fachkenntnisse und Expertise im Drogenstrafrecht seit über 7 Jahren
  • Schnelle Terminvergabe und eine Notrufnummer (24 Stunden, 7 Tage die Woche)
  • Kanzlei direkt im Herzen von München

Unsere Rechtsgebiete

Lassen Sie uns Ihnen helfen!

Wenn Sie Hilfe benötigen, können Sie uns gerne kontaktieren. Wir werden uns innerhalb kurzester Zeit bei Ihnen melden. Im Notfall, rufen Sie uns bitte unter folgender Nummer an:
Notrufnummer 0151/10361921