# taz.de -- Sicherheitsexpertin über Social Engineering: „Jeder hat eine Sch… | |
> Betrüger bauen Vertrauen auf, um an Daten oder Geld zu kommen. Welche | |
> Tricks sie dafür nutzen, erklärt Sicherheitstrainerin Christina Lekati. | |
taz am wochenende: Frau Lekati, Betrüger, die sich das Vertrauen ihrer | |
Opfer erschleichen, gibt es im digitalen Zeitalter häufiger, man nennt die | |
Masche Social Engineering. Was ist ein Angriff im Rahmen des sogenannten | |
Social Engineering? | |
Christina Lekati: Angriffe auf Menschen durch soziale Fähigkeiten, um etwas | |
von Wert zu gewinnen. Jeder Angriff besteht aus den gleichen Schritten. Der | |
Angreifer, den wir Social Engineer nennen, sammelt Informationen, sucht ein | |
Opfer, denkt sich eine Cover-Story aus, also einen Grund, um mit dem Opfer | |
in Kontakt zu treten und kontaktiert es. Er baut dann Vertrauen zu dem | |
Opfer auf, um es anschließend auszubeuten. | |
Wie geht das? | |
Ein Beispiel: Der Social Engineer hat herausgefunden, dass die Sekretärin | |
eines Unternehmenschefs gerade Mutter geworden ist. Er stellt sich als | |
Bewerber für einen Job vor und behauptet dann, dass sein Kind über die | |
Bewerbungsunterlagen gekotzt habe. Ob die Sekretärin die Unterlagen nochmal | |
ausdrucken könne? Sie müsse nur seinen USB-Stick kurz einstecken. Als | |
frische Mutter kann die Sekretärin einen Bezug dazu herstellen, sie weiß ja | |
selber, wie es mit den Kindern ist, darum steckt sie ohne Sorgen den | |
USB-Stick mit der Schadsoftware in ihren PC. Die Hilfsbereitschaft von | |
Menschen wird oft von den Social Engineers ausgenutzt. Der letzte Schritt: | |
Flüchten, ohne verdächtig zu werden. | |
Was sind die Motive der [1][Social Engineers]? | |
Bei den meisten Attacken von Social Engineers geht es um Informationen und | |
Geld. Auch Unternehmen nutzen diese Technik, um zum Beispiel durch | |
Industriespionage an Informationen zu kommen, die für ihre Unternehmen | |
einen Wettbewerbsvorteil verschaffen. | |
Warum wird das Phänomen Social Engineering mit einem technischen Begriff | |
bezeichnet? | |
Eine Maschine besteht aus verschiedenen Bestandteilen – und in diesem Fall | |
baut jemand verschiedene psychologische Prinzipien und Arten von | |
Manipulation zu einer Technik zusammen, mit der Menschen attackiert werden | |
sollen. Es ist eine Technik, die ein spezifisches menschliches Verhalten | |
auslösen soll. Und es ist vor allem eine Kombination von sozialen und | |
technischen Skills. | |
Wer kann ins Visier von Social Engineering geraten? | |
Es kann Einzelne oder Massen treffen, Systemadministratoren oder Zuständige | |
im Finanzbereich einer Firma. Jedes Zielobjekt hat seine Schwachstelle. | |
Sind wir also alle ein potentielles Opfer für Social Engineers? | |
Es ist egal, wie schlau oder gebildet man ist. Die Social Engineers jagen | |
Ignoranten. Es kann jedem passieren, der nicht hellwach ist und die | |
erzählte Geschichte glaubt. Ärzten, Anwälten, arme Leute, alle Milieus und | |
Klassen sind schon mal Opfer von Social Engineering geworden. | |
Ob jemand reinfällt, hängt vor allem davon ab, ob das Opfer einem Betrüger | |
glaubt. Wie ergaunern sich Social Engineers unser Vertrauen? | |
Es gibt universelle Tricks, die bei jedem von uns funktionieren. Die Social | |
Engineers versuchen, sympathisch rüberzukommen. Wenn du jemanden magst, | |
bist du offener dafür, ihm zu helfen. Sie versuchen, eine Bindung zu dir | |
herzustellen. Meistens beginnt es mit etwas nettem, einem schmeichelnden | |
Kommentar, vielleicht einem Witz. | |
Bindung zu jemanden Fremden herstellen, geht das so einfach? | |
Ja, wenn man gute soziale Fähigkeiten hat. Zum Beispiel: Jemand sagt, dass | |
sie Julia heißt – und der Social Engineer antwortet: Wie toll, meine | |
Ehefrau heißt auch Julia! Danach beginnen sie eine angeregte Unterhaltung | |
und es kommt das zweite Prinzip in Spiel: Konsistenz. Sobald Vertrauen | |
aufgebaut ist, wollen wir in unserer Rolle konsequent bleiben und geben | |
weiter Antworten, um nicht die Stimmung zu vermiesen. Das ist menschlich | |
und das nutzen Social Engineers bewusst schamlos aus. Daher sind Fragen | |
anfangs harmlos und alltäglich und zielen später auf sensible Themen ab. | |
Und weil wir alles brav beantworten, fällt uns nicht auf, dass wir | |
zwischendurch wichtige Informationen verraten. | |
Und wenn ich doch einmal Zweifel äußere? | |
Wenn Social Engineers merken, dass ihre Gesprächspartner misstrauisch | |
werden, hören sie sofort auf oder wenden andere Tricks an, um dir | |
Schuldgefühle zu machen. Schuld ist eine sehr starke Emotion. Eine weitere | |
Taktik: Angst ausnutzen und mit Zeitdruck verbinden. Das Opfer kann nicht | |
klar urteilen und über die Situation nachdenken. Sehr oft arbeiten Social | |
Engineers auch mit Ehrfurcht vor Autorität, in Deutschland ist darum der | |
CEO-Fraud sehr verbreitet, die Betrugsmasche, bei der sich Social Engineers | |
als Chefs ausgeben. Deutsche respektieren Autorität. | |
Ist Social Engineering ein neues Phänomen? | |
Nein. Es ist aber in den vergangenen Jahren immer präsenter, weil mit der | |
digitalen Entwicklung mehr möglich geworden ist. Solange es Menschen gibt, | |
die Zugang zu wertvollen Ressourcen haben, wird es immer auch Betrüger | |
geben. In den Dreißiger Jahren gab es zum Beispiel den Österreicher Victor | |
Lustig. Er hat den Eiffelturm verkauft. Zwei Mal. Frankreich hatte damals | |
finanzielle Probleme. Lustig hatte vorgespielt, für die Regierung zu | |
arbeiten. Er ging zu Bauunternehmen und verkündete, die Regierung habe | |
entschieden, den Bau an den höchsten Bieter zu verkaufen. Das klappte. Die | |
Opfer haben das aus Scham nicht weitererzählt und darum hat er den Trick | |
später ein zweites Mal angewendet. | |
Gibt es eine Typologie oder Charakteristik für Social Engineerer? | |
Über ihren sozialen Hintergrund ist wenig bekannt, manche sind arm und | |
smart, andere hochgebildet. Sie schauen nicht verdächtig aus, sondern wie | |
du und ich. Sie sind charmant, haben Charisma und viele soziale Fähigkeiten | |
und verstehen die menschliche Psyche sehr gut. Es macht Spaß, mit ihnen zu | |
reden, aber natürlich ist das fake. | |
Weiß man mehr darüber, woher die Engineers wissen, wie sie vorgehen müssen? | |
Sehr viele sind Autodidakten, sie haben sich das selber beigebracht und mit | |
Opfern experimentiert. Oft haben sie auch Psychologie studiert. In | |
kriminellen Kreisen gibt es manchmal auch Veteranen, die ihr Wissen | |
weitergeben. Wir kennen die kriminellen Netzwerke etwa aus Foren im Dark | |
Web. Es gibt einzelne Akteure oder ganze kriminelle Organisationen, die zum | |
Beispiel Callcenter betreiben. | |
Das heißt, ich könnte das auch lernen und meinen Chef manipulieren? | |
Absolut. In Bewerbungsgesprächen, im professionellen Verkauf, beim Kampf um | |
eine Gehaltserhöhung – Social Engineering gibt es überall, die Prinzipien | |
werden zum Beispiel in Werbung und Marketing ausgenutzt, oder von | |
Politikern, die ihre Ideen verkaufen wollen. Es gibt aber auch Social | |
Engineering zu einem guten Zweck. Ärzte nutzen die Tricks, damit Patienten | |
ihre Therapie machen. Wir vergleichen die Technik immer mit einem Messer: | |
Du kannst damit Essen für deine Familie zubereiten, oder damit jemanden | |
töten. | |
Was ist das Werkzeug der Betrüger? | |
Gute soziale und kommunikative Fähigkeiten. Ein Mann raubte einmal eine | |
Bank aus und benutzte dabei nur seinen Charme und Schokolade. Er konnte die | |
Diamanten stehlen, weil die Sicherheitsleute ihm vertrauten und ihn | |
unbeaufsichtigt im Tresorraum zurückließen. Heutzutage werden meist auch | |
technische IT-Kenntnisse benötigt, wenn Social Engineers Attacken online | |
durchführen. | |
Wie finden Engineers heraus, welche Schwachstellen eine Person hat? | |
Sie recherchieren zunächst unter anderem Verfehlungen, unbefriedigte | |
Bedürfnisse, Ängste oder auch Hobbies von Personen von Interesse. | |
Emotionale Bedürfnisse zählen für uns mehr als alles andere, auch mehr als | |
finanzielle Bedürfnisse. Der Engineer befriedigt unsere Bedürfnisse und | |
unser Hirn blendet deswegen automatisch aus, welche Bedrohung der Engineer | |
eigentlich darstellt. Selbst wenn sie Dinge thematisieren, die unangenehm | |
sind: Bietet jemand etwas an, was man emotional brauchen kann, ändert man | |
seine Haltung zu ihm nicht, sondern ignoriert wohlwissend jegliche | |
Warnhinweise. Daher suchen sie nach Leuten, die naiv oder generell ignorant | |
sind. Aber auch wenn du introvertiert bist, kann es dich treffen. Solange | |
du unbefriedigte Bedürfnisse hast, ist man ein gutes Opfer. | |
Was ist die häufigste Strategie, die Engineers anwenden? | |
[2][Phishing Mails.] Zirka 80 Prozent der Cyberangriffe sind im ersten | |
Schritt Social Engineering Attacken. | |
Gerade die Gefahr von Phishing-Mails ist doch seit Jahren bekannt? | |
Die Sicherheitstechnologien haben sich zwar verbessert, aber die | |
menschliche Psyche ist die gleiche geblieben. Alle Menschen sagen sich | |
immer: Mir passiert das nicht. Hinzu kommt, dass Unternehmen ihr Geld | |
lieber in Technologien investieren, anstatt in Schulungen der Mitarbeiter, | |
wie sie sich schützen und verhalten sollen. | |
Wie soll ich mit einem Engineer umgehen, wenn ich ihn an der Strippe habe? | |
Bleiben Sie standhaft. Niemals eine Debatte darüber beginnen, wieso Sie | |
eine Information nicht weitergeben wollen. Wenn Ihnen etwas verdächtig | |
vorkommt, sagen Sie den Satz: „Es tut mir leid, so sehr ich dich mag/ Sie | |
schätze, aber ich kann dir/ Ihnen diese Informationen nicht geben“. Drohen | |
Sie damit, den Anruf polizeilich oder im Unternehmen zu melden, das | |
verscheucht den Anrufer. Werden Sie nach einem Passwort gefragt, weigern | |
sie sich. Versuchen Sie, die Identität des Anrufers so weit wie möglich zu | |
verifizieren. Trauen Sie niemals der Nummer, die ist leicht zu fälschen. | |
Sie arbeiten für eine Sicherheitsfirma. Wie können sich Unternehmen | |
schützen? | |
Aufmerksamkeit und Bewusstsein kann man trainieren. Wir bieten Unternehmen | |
dazu Trainings an. Wir untersuchen auch, welche Social | |
Engineering-Schwachstellen Mitarbeiter und Unternehmen haben könnten, damit | |
die Firmen besser vorbereitet sind. Ich habe auch selber schon Attacken | |
ausprobiert und weiß, wie das funktioniert. Jede Firma hat unterschiedliche | |
Bedürfnisse und Schwächen und diese arbeiten wir gemeinsam in deren | |
Verteidigungsstrategien ein. | |
Woher kommt Ihr Interesse an Engineering? | |
Bereits als ich ein Kind war, hat mein Vater in der | |
Cyber-Sicherheitsindustrie gearbeitet und mich regelmäßig mit seinen | |
Geschichten fasziniert. Aus diesem Grund handelte vermutlich mein erstes | |
selbstgekauftes Buch von Profiling. Ich liebe es einfach, herauszufinden, | |
wie das menschliche Gehirn und Social Engineering funktioniert. Menschen | |
dabei zu helfen, sich selbst zu schützen, macht mich zudem glücklich. | |
Und wurden Sie selber schon attackiert? | |
Ja! Es hat jedoch nicht geklappt. Aber das muss nichts heißen, auch | |
Sicherheitsexperten können reinfallen. Niemand ist gegen „Social | |
Engineering“ komplett immun. | |
13 Sep 2020 | |
## LINKS | |
[1] /Provinz-Aceh-in-Indonesien/!5502766&s=Social+Engineering/ | |
[2] /Unterschaetzte-Cyberkriminalitaet/!5685254&s=Phishing+Mails/ | |
## AUTOREN | |
Simon Schramm | |
## TAGS | |
IT-Sicherheit | |
Betrug | |
Wirtschaftskriminalität | |
Enkeltrick | |
Günter Grass | |
wirecard | |
wirecard | |
## ARTIKEL ZUM THEMA | |
Prozess um Veruntreuung in Bremen: Betrügerpaar darf sich bewähren | |
Vielfach sollen ein Juraprofessor und die Vorsitzende der Grass-Stiftung | |
Geld veruntreut haben. Opfer waren die Stiftung – und die eigenen Kinder. | |
Aufarbeitung des Wirecard-Skandals: Sondersitzungen zum Bilanzbetrug | |
Der Finanzausschuss will Kanzleramtsvertreter zu dem Bilanzskandal | |
befragen. Ein Untersuchungsausschuss wird immer wahrscheinlicher. | |
Konsequenzen aus dem Wirecard-Skandal: Finanzminister Scholz muss liefern | |
Am Mittwoch muss Olaf Scholz vor dem Finanzausschuss zu Wirecard aussagen. | |
Er muss erklären, wie die Finanzwirtschaft wirksam zu kontrollieren ist. |