follow us at facebook follow us at facebook follow us at facebook
Okt 2018 06

Von Social Engineering und der Macht der Manipulation

„Sag mir, Rotkäppchen, wo wohnt denn deine Großmutter?“ Mit dieser unscheinbaren Frage beginnt das Unglück der berühmten Märchenfigur. – Den Rest der Geschichte kennen wir: Der Wolf frisst die Großmutter und nimmt ihren Platz ein. Er tarnt sich mit ihren Kleidern. Und als das Mädchen an die Tür klopft, lässt er es herein und verschlingt es ebenfalls. – Die Geschichte ist alt, aber die Moral bleibt brandaktuell: Gehen Sie sorgsam mit Ihren Daten um! – Eine Reportage von Simone Bartoschek, Joshua Perlbach und Alexandra Seppel.

Nicht ganz wie im Märchen arbeitet der Wolf heute nicht im dunklen Wald sondern gerne von Zuhause aus; Social Engineering funktioniert am besten über das Internet oder am Telefon. Aber im Grunde bleibt es die gleiche Taktik: Jemand erschleicht sich Ihr Vertrauen, um Ihnen dann zu schaden. – Aber was genau ist Social Engineering? Und: Wie kann es mir gefährlich werden?

Neues Wort, altes Thema

Social Engineering bedeutet eigentlich nichts weiter als gezielte Manipulation. Mit Hilfe von psychologischen Tricks werden Menschen zu einem bestimmten Verhalten verleitet, das im Interesse des Social Engineers liegt. Wie das geht, erklärt uns Reinhard Muth von der Firma DATEV. Dort arbeitet er im Bereich Datenschutz und Informationssicherheit.

„Egal wie man vorgeht, zunächst einmal wird über das Opfer recherchiert. Der Betrüger schaut sich die Social-Media-Profile des Betreffenden an, spricht mit Bekannten und  sucht nach Anknüpfungspunkten oder Schwachstellen. Auch versucht er herauszufinden,  wie sensibel die Person gegenüber Datensicherheit ist.“

40 Millionen Euro – nur durch ein paar geschickte E-Mails

… so viel ergaunerten sich Cyberkriminelle im Jahr 2016 vom Auto-Zulieferer LEONI. Mit einer gefälschten E-Mail-Adresse gaben sie sich als Chef der Firma aus. Die Diebe wussten, dass LEONI eine Firmenübernahme plante und nutzten dieses Wissen, um im   Chefs 40 Millionen Euro auf ein ausländisches Konto überweisen zu lassen. Weder das Geld, noch die Betrüger tauchten jemals wieder auf.

Manipulation und Druck

Ähnlich funktioniert diese Art von Manipulation auch per Telefon: Beim sogenannten “Vishing”, also “Voice Phishing”, wird man zum Beispiel von einem vermeintlichen Kollegen aus der IT-Abteilung angerufen. Dieser hat dann angeblich ein Virus auf Ihrem PC gefunden und braucht jetzt, um es zu löschen, „nur mal ganz schnell Ihr Passwort“.

Oder er baut Druck auf: Er behauptet, Sie müssten – ebenfalls ganz schnell – etwas Bestimmtes tun, sonst bekämen Sie Ärger oder würden einen schlimmeren Schaden verursachen. Dabei hofft der Betrüger darauf, dass Sie einen Fehler machen, – oder unachtsam werden, und dann, aus Versehen, etwas ausplaudern, das sie nicht hätten sagen sollen.

Der Wolf als Social Engineer

Ein Social Engineer ist wie der böse Wolf mit Spitzenhäubchen und Großmutters Nachthemd. Seine eigentlichen Absichten weiß er gekonnt zu verbergen.

Oft macht er sich nützlich, gibt vor, den Computer zu reparieren oder ein Update durchzuführen. Tatsächlich aber installiert er Trojaner oder Keylogger, die Passwörter aufzeichnen können oder sogar den Rechner fremdsteuern.

Oder er lässt USB-Sticks mit Viren-Software, wie zufällig, auf dem Firmenparkplatz liegen. Neugierige Mitarbeiter sind dann oft verleitet, diese an Firmenrechner anzuschließen.

Social Engineering basiert auf Emotionen

Angst oder Neugier werden ausgenutzt, um das Opfer zu manipulieren. Oft werden auch ihr guter Wille oder ihr Unwissen gegen die Menschen ausgespielt. – Dabei gilt immer: Je weniger Sie über die Techniken von Social Engineers wissen, desto anfälliger sind Sie.

Die Betrüger erscheinen freundlich, damit man ihnen vertraut, oder sie üben Druck aus, indem sie eine Machtposition vortäuschen.

Andere Techniken stützen sich auf das Prinzip der “Reziprozität”. Das heißt: Tun Sie mir etwas Gutes, so bin ich eher gewillt, Ihnen den Gefallen zu erwidern.

Auch Privatpersonen sind längst nicht sicher vor Angriffen: „So etwas”, erklärt uns Sicherheitsexperte Muth, “passiert jeden Tag – man hat Glück, wenn man nicht betroffen ist.“

SPAM und Identitätsdiebstahl

Auf die allseits bekannten SPAM-Mails fällt kaum noch jemand herein. Ein nigerianischer Prinz, der Ihnen Geld überweisen will? Leider doch zu schön, um wahr zu sein. Aber die Taktiken der Social Engineers werden immer raffinierter.

Statt fremdländischer Prinzen sind es nun die „Enkel“, die im Ausland festsitzen. Angeblich wurde ihr Pass wurde gestohlen, und nun müssen dringend 60 Euro her, damit sie wieder nach Hause kommen. Da zahlt Oma gerne.

Egal auf welchen der Tricks Sie hereinfallen, im besten Falle stiehlt man Ihnen nur ihr Geld, im schlimmsten aber die eigene Identität: E-Mail-Accounts, Passwörter, den Zugang zu Social-Media-Profilen und sogar Bankkonten …

„Manchmal geht es nicht um sensible Daten, sondern darum, dass man die Gewalt über ihren PC hat”, warnt Muth, „Ihre IP-Kennung kann dann für kriminelle Machenschaften missbraucht werden. Sie aber haben den Ärger und müssen beweisen, dass Sie nicht es waren.“

Muss ich mich schuldig fühlen …
… wenn ich Opfer von Social Engineering werde?

„Gar nicht“, meint Walter Mehl von der Technischen Hochschule Nürnberg. „Das wäre ja noch schöner! Niemand ist davor gefeit, hereingelegt zu werden, wenn es nur genügend Leute mit genügend Energie versuchen. Noch ist Naivität nicht strafbar“, lacht er.

Bevor er Professor an einer Fakultät für Design wurde, war Social Engineering Teil seines Jobs: Es ging darum, Sicherheits-Lücken aufdecken. Und aus Erfahrung weiß er, dass es keinen hundertprozentigen Schutz vor Datenklau gibt: „Der wirkliche Gegenspieler des Social Engineers ist eigentlich der Misanthrop; der Einsiedler in seiner Hütte, der alle Verbindungen zur Außenwelt gekappt hat – und am besten noch Alu-Hut trägt.“ Aber das kann natürlich keine Lösung sein.

Teilhaben und damit umgehen

Stattdessen sollte man sich, so Mehl, trotz alledem auf die Welt einlassen: „Es gibt ja Leute, die haben kein Facebook. Die lassen sich auch nicht auf E-Mail-Listen eintragen. Und da muss ich sagen: Klar, die Gefahren kenn ich, aber irgendwo muss man am realen Leben teilnehmen.”

“Kinder, die kein Facebook haben dürfen, stehen oft im Abseits! Es wird ja auch viel über WhatsApp und Co. organisiert“, erzählt uns Herr Muth, der selbst Kinder hat.

Wenn Sie also nicht Ihr Handy wegwerfen und auf einen Berg ziehen wollen, ist Manipulation ein Problem, mit dem Sie sich auseinandersetzen müssen. Dabei ist Betrug kein Trend der Neuzeit: Früher gab es Scharlatane, Nepper, Schlepper, Bauernfänger … heute gibt es eben SPAM-Mails und Phishing. Das Internet breitet sich weiter aus und mit ihm das Social Engineering.

Man sollte nicht unterschätzen, wie viel an Zeit Leute bereit sind, zu investieren, um sich an Ihnen zu bereichern. Moderne Medien bieten da neue Werkzeuge – und endlose Angriffsflächen. Entziehen können Sie sich dem Social Engineering also nicht, – aber vielleicht sind Sie jetzt ein bisschen besser darauf vorbereitet.

———————————————-

Dieser Beitrag entstand im Sommersemester 2018 im Rahmen einer Kooperation der Zentrifuge mit der Technischen Hochschule OHM Nürnberg, Fachbereich Verbale Kommunikation, Prof. Max Ackermann.

Leave a Comment