(auch Social Hacking) ist das Erlangen vertraulicher Informationen durch Annäherung an Geheimnisträger mittels gesellschaftlicher Kontakte. Dieses Vorgehen wird von Geheimdiensten und Privatdetektiven seit langem praktiziert, der Begriff wird jedoch meist im Zusammenhang mit Computerkriminalität verwendet, da er hier das Gegenstück zum rein technischen Vorgehen (Engineering) beim Eindringen in fremde Systeme bildet.

Beispiel: Herr Meier arbeitet in einer Firma, die ein neuartiges Produkt als Erste auf den Markt bringen will. Er arbeitet in der Entwicklungsabteilung an einem Computer. Um sich dem System gegenüber zu authentifizieren, benötigt man einen Account und das dazugehörige Passwort . Nun ruft eines Tages ein vermeintlicher Kollege aus einer anderen Filiale des Unternehmens an und bittet Herrn Meier, ihm seine Benutzerdaten zu geben, da er Wartungen am Server durchführen müsse. Zwar kennt Herr Meier den Anrufer nicht, aber durch die Art des Gesprächs vermittelt er den Eindruck, dass er zum Unternehmen gehört.

Meist nähern sich die Angreifer beim Social Engineering zunächst einem Mitarbeiter in einer untergeordneten Position, etwa der Sekretärin oder der Putzfrau, um Gepflogenheiten und Umgangsformen in Erfahrung zu bringen. Bei der Annäherung an den eigentlichen Geheimnisträger verschaffen sie ihm dann den Eindruck, dass es sich angesichts der Detailkenntnis bei dem eigentlich Fremden ja keinesfalls um einen Außenstehenden handeln kann. Eine andere Masche besteht darin, einen technischen Laien durch Fachjargon zu verwirren und zu verunsichern, bis dieser in seiner Hilflosigkeit die nötigen Daten herausrückt.

Ein klassisches Social Engineering ist im James-Bond-Film Diamantenfieber dargestellt: Dort fragt James Bond zunächst den untergeordneten Kontrolleur der Strahlungsplaketten aus, um dann in dessen Rolle ins geheime Raumfahrtlabor vorzudringen.

Social Engineering wurde in der Zeit vor dem Durchbruch des Internets, in den 80er und Anfang der 90er Jahre des 20. Jahrhunderts von sogenannten Phreakern benutzt, um kostenlos Modemverbindungen herzustellen. Der Betreffende rief beispielsweise bei einem Mitarbeiter einer Firma an und gab vor, Systemadministrator der Telefongesellschaft zu sein. Leider habe man das Zugangspasswort zurücksetzen müssen und wolle nun ein neues haben. In den meisten Fällen wurde das Passwort sorglos herausgegeben.

Öffentlich bekannt wurde die Methode vor allem durch den Hacker Kevin Mitnick, der durch seine Einbrüche in fremde Computer einer der meistgesuchten Personen der USA war. Bei der Aufdeckung seines Vorgehens wurde gezeigt, dass Social Engineering meist schneller zum Ziel führt als etwa das Durchprobieren von Passwörtern, genannt 'Brute force'.

Angriffe durch Social Engineering werden zumeist kaum in der Öffentlichkeit bekannt. Zum einen ist es für viele Firmen peinlich, derartige Angriffe zuzugeben, zum anderen geschehen viele Angriffe so geschickt, dass diese nicht oder erst viel später aufgedeckt werden.

Grenzfall des Social Engineering ist Phishing (gefälschte Passwortabfragen auf Internetseiten und in E-Mails), weil es sich hier in erheblichem Maße um eine technische Spionagemethode handelt.

Hinweis: Dieser Artikel basiert auf dem Artikel Social Engineering aus der freien Enzyklopädie Wikipedia und steht unter der GNU-Lizenz für freie Dokumentation. In der Wikipedia ist eine Liste der Autoren verfügbar.