Social Engineering ist der Fachbegriff für Personen oder eine Vorgehensweise, welche den persönlichen (also eben “sozialen”) Kontakt ausnutzt, um vertrauliche Informationen über jemanden oder etwas in Erfahrung zu bringen.

Beispielsweise wendet sich ein Social Engineer telefonisch an einen Angestellten einer Firma und gibt sich als Mitarbeiter der Informatikabteilung aus. Danach teilt er dem Angestellten mit, dass er ein Update auf dessen PC laden muss, wozu er aber das Computerpasswort benötigt. Da der Angestellte den Anrufer nicht “kontrolliert” und es aus seiner Sicht tatsächlich möglich wäre, dass jemand aus der IT-Abteilung ihn diesbezüglich anruft, gibt er ihm breitwillig sein Passwort an. Nun kann sich der Social Engineer ohne weiteres mit dem Account des betroffenen Mitarbeiters ins Firmennetzwerk einloggen und sich jegliche Daten herunterladen.

Ein Buch welches dieses Thema sehr ausführlich, mit der Zeit allerdings etwas monoton, behandelt, ist “Die Kunst der Täuschung – Risikiofaktor Mensch” von Kevin Mitnick.

Heute bin ich zufällig auf einen Bericht (RealPlayer) von SF DRS (Schweizer Fernsehen) gestossen, der sich genau mit diesem Thema beschäftigt. Im rund 8 minütigen Clip kann man verfolgen, wie sich ein Mitarbeiter einer IT-Firma in den Büros von SF DRS bewegt und mit Hilfe einer kleinen Story ohne Probleme an die PCs sowie Passwörter von den Mitarbeitern gelangt. Sehenswert!

Was ich zudem empfehlen kann, sind die weiteren Berichte zum Thema “Medien & Internet”, welche ebenfalls als RealPlayer Stream von der SF DRS Website abrufbar sind.