Sicherheitsexpertin über Social Engineering: „Jeder hat eine Schwachstelle“
Betrüger bauen Vertrauen auf, um an Daten oder Geld zu kommen. Welche Tricks sie dafür nutzen, erklärt Sicherheitstrainerin Christina Lekati.
taz am wochenende: Frau Lekati, Betrüger, die sich das Vertrauen ihrer Opfer erschleichen, gibt es im digitalen Zeitalter häufiger, man nennt die Masche Social Engineering. Was ist ein Angriff im Rahmen des sogenannten Social Engineering?
Christina Lekati: Angriffe auf Menschen durch soziale Fähigkeiten, um etwas von Wert zu gewinnen. Jeder Angriff besteht aus den gleichen Schritten. Der Angreifer, den wir Social Engineer nennen, sammelt Informationen, sucht ein Opfer, denkt sich eine Cover-Story aus, also einen Grund, um mit dem Opfer in Kontakt zu treten und kontaktiert es. Er baut dann Vertrauen zu dem Opfer auf, um es anschließend auszubeuten.
Wie geht das?
Ein Beispiel: Der Social Engineer hat herausgefunden, dass die Sekretärin eines Unternehmenschefs gerade Mutter geworden ist. Er stellt sich als Bewerber für einen Job vor und behauptet dann, dass sein Kind über die Bewerbungsunterlagen gekotzt habe. Ob die Sekretärin die Unterlagen nochmal ausdrucken könne? Sie müsse nur seinen USB-Stick kurz einstecken. Als frische Mutter kann die Sekretärin einen Bezug dazu herstellen, sie weiß ja selber, wie es mit den Kindern ist, darum steckt sie ohne Sorgen den USB-Stick mit der Schadsoftware in ihren PC. Die Hilfsbereitschaft von Menschen wird oft von den Social Engineers ausgenutzt. Der letzte Schritt: Flüchten, ohne verdächtig zu werden.
Was sind die Motive der Social Engineers?
Bei den meisten Attacken von Social Engineers geht es um Informationen und Geld. Auch Unternehmen nutzen diese Technik, um zum Beispiel durch Industriespionage an Informationen zu kommen, die für ihre Unternehmen einen Wettbewerbsvorteil verschaffen.
Warum wird das Phänomen Social Engineering mit einem technischen Begriff bezeichnet?
Eine Maschine besteht aus verschiedenen Bestandteilen – und in diesem Fall baut jemand verschiedene psychologische Prinzipien und Arten von Manipulation zu einer Technik zusammen, mit der Menschen attackiert werden sollen. Es ist eine Technik, die ein spezifisches menschliches Verhalten auslösen soll. Und es ist vor allem eine Kombination von sozialen und technischen Skills.
Wer kann ins Visier von Social Engineering geraten?
Es kann Einzelne oder Massen treffen, Systemadministratoren oder Zuständige im Finanzbereich einer Firma. Jedes Zielobjekt hat seine Schwachstelle.
Die Sicherheitstrainerin und -beraterin arbeitet bei der Schweizer Firma „Cyber-Risk“. Sie hat Psychologie studiert und tritt bei Konferenzen in Europa, den USA und Asien auf.
Sind wir also alle ein potentielles Opfer für Social Engineers?
Es ist egal, wie schlau oder gebildet man ist. Die Social Engineers jagen Ignoranten. Es kann jedem passieren, der nicht hellwach ist und die erzählte Geschichte glaubt. Ärzten, Anwälten, arme Leute, alle Milieus und Klassen sind schon mal Opfer von Social Engineering geworden.
Ob jemand reinfällt, hängt vor allem davon ab, ob das Opfer einem Betrüger glaubt. Wie ergaunern sich Social Engineers unser Vertrauen?
Es gibt universelle Tricks, die bei jedem von uns funktionieren. Die Social Engineers versuchen, sympathisch rüberzukommen. Wenn du jemanden magst, bist du offener dafür, ihm zu helfen. Sie versuchen, eine Bindung zu dir herzustellen. Meistens beginnt es mit etwas nettem, einem schmeichelnden Kommentar, vielleicht einem Witz.
Bindung zu jemanden Fremden herstellen, geht das so einfach?
Ja, wenn man gute soziale Fähigkeiten hat. Zum Beispiel: Jemand sagt, dass sie Julia heißt – und der Social Engineer antwortet: Wie toll, meine Ehefrau heißt auch Julia! Danach beginnen sie eine angeregte Unterhaltung und es kommt das zweite Prinzip in Spiel: Konsistenz. Sobald Vertrauen aufgebaut ist, wollen wir in unserer Rolle konsequent bleiben und geben weiter Antworten, um nicht die Stimmung zu vermiesen. Das ist menschlich und das nutzen Social Engineers bewusst schamlos aus. Daher sind Fragen anfangs harmlos und alltäglich und zielen später auf sensible Themen ab. Und weil wir alles brav beantworten, fällt uns nicht auf, dass wir zwischendurch wichtige Informationen verraten.
Und wenn ich doch einmal Zweifel äußere?
Wenn Social Engineers merken, dass ihre Gesprächspartner misstrauisch werden, hören sie sofort auf oder wenden andere Tricks an, um dir Schuldgefühle zu machen. Schuld ist eine sehr starke Emotion. Eine weitere Taktik: Angst ausnutzen und mit Zeitdruck verbinden. Das Opfer kann nicht klar urteilen und über die Situation nachdenken. Sehr oft arbeiten Social Engineers auch mit Ehrfurcht vor Autorität, in Deutschland ist darum der CEO-Fraud sehr verbreitet, die Betrugsmasche, bei der sich Social Engineers als Chefs ausgeben. Deutsche respektieren Autorität.
Ist Social Engineering ein neues Phänomen?
Nein. Es ist aber in den vergangenen Jahren immer präsenter, weil mit der digitalen Entwicklung mehr möglich geworden ist. Solange es Menschen gibt, die Zugang zu wertvollen Ressourcen haben, wird es immer auch Betrüger geben. In den Dreißiger Jahren gab es zum Beispiel den Österreicher Victor Lustig. Er hat den Eiffelturm verkauft. Zwei Mal. Frankreich hatte damals finanzielle Probleme. Lustig hatte vorgespielt, für die Regierung zu arbeiten. Er ging zu Bauunternehmen und verkündete, die Regierung habe entschieden, den Bau an den höchsten Bieter zu verkaufen. Das klappte. Die Opfer haben das aus Scham nicht weitererzählt und darum hat er den Trick später ein zweites Mal angewendet.
Gibt es eine Typologie oder Charakteristik für Social Engineerer?
Über ihren sozialen Hintergrund ist wenig bekannt, manche sind arm und smart, andere hochgebildet. Sie schauen nicht verdächtig aus, sondern wie du und ich. Sie sind charmant, haben Charisma und viele soziale Fähigkeiten und verstehen die menschliche Psyche sehr gut. Es macht Spaß, mit ihnen zu reden, aber natürlich ist das fake.
Was ist Social Engineering?
Kriminelle „hacken“ sich in die Psyche ihrer Opfer und manipulieren etwa Mitarbeitende eines Unternehmens, um an sensible Informationen zu kommen. Aber auch Privatleute können Opfer sozialer Manipulation werden: Trickbetrüger geben sich am Telefon als Gesundheitsamtsmitarbeitende oder als Angehörige aus, die sich angeblich mit Covid-19 infiziert haben, und versuchen so – vor allem bei älteren Leuten – an Geld zu kommen.
Wie viele sind betroffen?
Laut einer Studie des Digitalverbands Bitkom waren 2018 und 2019 insgesamt 22 Prozent in Deutschland von analogem Social Engineering betroffen, also mehr als jede fünfte Firma. 15 Prozent hatten Probleme mit sozialer Manipulation auf digitalem Weg. Für die Studie wurden mehr als 1.000 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen befragt.
Wie kann man sich schützen?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt unter anderem die sparsame Veröffentlichung von Namen, Daten und Adressen aus dem jeweiligen Organigramm. Insbesondere sollten Mitarbeitende jederzeit auf die Einhaltung von organisatorischen Schutzmaßnahmen wie etwa dem Vier-Augen-Prinzip bestehen und sich nicht unter (Zeit-)Druck setzen lassen.
Weiß man mehr darüber, woher die Engineers wissen, wie sie vorgehen müssen?
Sehr viele sind Autodidakten, sie haben sich das selber beigebracht und mit Opfern experimentiert. Oft haben sie auch Psychologie studiert. In kriminellen Kreisen gibt es manchmal auch Veteranen, die ihr Wissen weitergeben. Wir kennen die kriminellen Netzwerke etwa aus Foren im Dark Web. Es gibt einzelne Akteure oder ganze kriminelle Organisationen, die zum Beispiel Callcenter betreiben.
Das heißt, ich könnte das auch lernen und meinen Chef manipulieren?
Absolut. In Bewerbungsgesprächen, im professionellen Verkauf, beim Kampf um eine Gehaltserhöhung – Social Engineering gibt es überall, die Prinzipien werden zum Beispiel in Werbung und Marketing ausgenutzt, oder von Politikern, die ihre Ideen verkaufen wollen. Es gibt aber auch Social Engineering zu einem guten Zweck. Ärzte nutzen die Tricks, damit Patienten ihre Therapie machen. Wir vergleichen die Technik immer mit einem Messer: Du kannst damit Essen für deine Familie zubereiten, oder damit jemanden töten.
Was ist das Werkzeug der Betrüger?
Gute soziale und kommunikative Fähigkeiten. Ein Mann raubte einmal eine Bank aus und benutzte dabei nur seinen Charme und Schokolade. Er konnte die Diamanten stehlen, weil die Sicherheitsleute ihm vertrauten und ihn unbeaufsichtigt im Tresorraum zurückließen. Heutzutage werden meist auch technische IT-Kenntnisse benötigt, wenn Social Engineers Attacken online durchführen.
Wie finden Engineers heraus, welche Schwachstellen eine Person hat?
Sie recherchieren zunächst unter anderem Verfehlungen, unbefriedigte Bedürfnisse, Ängste oder auch Hobbies von Personen von Interesse. Emotionale Bedürfnisse zählen für uns mehr als alles andere, auch mehr als finanzielle Bedürfnisse. Der Engineer befriedigt unsere Bedürfnisse und unser Hirn blendet deswegen automatisch aus, welche Bedrohung der Engineer eigentlich darstellt. Selbst wenn sie Dinge thematisieren, die unangenehm sind: Bietet jemand etwas an, was man emotional brauchen kann, ändert man seine Haltung zu ihm nicht, sondern ignoriert wohlwissend jegliche Warnhinweise. Daher suchen sie nach Leuten, die naiv oder generell ignorant sind. Aber auch wenn du introvertiert bist, kann es dich treffen. Solange du unbefriedigte Bedürfnisse hast, ist man ein gutes Opfer.
Was ist die häufigste Strategie, die Engineers anwenden?
Phishing Mails. Zirka 80 Prozent der Cyberangriffe sind im ersten Schritt Social Engineering Attacken.
Gerade die Gefahr von Phishing-Mails ist doch seit Jahren bekannt?
Die Sicherheitstechnologien haben sich zwar verbessert, aber die menschliche Psyche ist die gleiche geblieben. Alle Menschen sagen sich immer: Mir passiert das nicht. Hinzu kommt, dass Unternehmen ihr Geld lieber in Technologien investieren, anstatt in Schulungen der Mitarbeiter, wie sie sich schützen und verhalten sollen.
Wie soll ich mit einem Engineer umgehen, wenn ich ihn an der Strippe habe?
Bleiben Sie standhaft. Niemals eine Debatte darüber beginnen, wieso Sie eine Information nicht weitergeben wollen. Wenn Ihnen etwas verdächtig vorkommt, sagen Sie den Satz: „Es tut mir leid, so sehr ich dich mag/ Sie schätze, aber ich kann dir/ Ihnen diese Informationen nicht geben“. Drohen Sie damit, den Anruf polizeilich oder im Unternehmen zu melden, das verscheucht den Anrufer. Werden Sie nach einem Passwort gefragt, weigern sie sich. Versuchen Sie, die Identität des Anrufers so weit wie möglich zu verifizieren. Trauen Sie niemals der Nummer, die ist leicht zu fälschen.
Ein Huhn, das vor über 100 Jahren eingemacht wurde, zwei Weltkriege überstanden hat und angeblich immer noch existiert? Klingt irre, ist aber eine seit Generationen erzählte Familiensaga unserer Autorin – in der taz am wochenende vom 12./13. September. Außerdem: Jens Spahn im Interview über Corona und die Grünen. Und: Moria ist abgebrannt. Wie geht es für die Geflüchteten weiter? Ab Samstag am Kiosk, im eKiosk, im praktischen Wochenendabo und rund um die Uhr bei Facebook und Twitter.
Sie arbeiten für eine Sicherheitsfirma. Wie können sich Unternehmen schützen?
Aufmerksamkeit und Bewusstsein kann man trainieren. Wir bieten Unternehmen dazu Trainings an. Wir untersuchen auch, welche Social Engineering-Schwachstellen Mitarbeiter und Unternehmen haben könnten, damit die Firmen besser vorbereitet sind. Ich habe auch selber schon Attacken ausprobiert und weiß, wie das funktioniert. Jede Firma hat unterschiedliche Bedürfnisse und Schwächen und diese arbeiten wir gemeinsam in deren Verteidigungsstrategien ein.
Woher kommt Ihr Interesse an Engineering?
Bereits als ich ein Kind war, hat mein Vater in der Cyber-Sicherheitsindustrie gearbeitet und mich regelmäßig mit seinen Geschichten fasziniert. Aus diesem Grund handelte vermutlich mein erstes selbstgekauftes Buch von Profiling. Ich liebe es einfach, herauszufinden, wie das menschliche Gehirn und Social Engineering funktioniert. Menschen dabei zu helfen, sich selbst zu schützen, macht mich zudem glücklich.
Und wurden Sie selber schon attackiert?
Ja! Es hat jedoch nicht geklappt. Aber das muss nichts heißen, auch Sicherheitsexperten können reinfallen. Niemand ist gegen „Social Engineering“ komplett immun.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Obergrenze für Imbissbuden
Kein Döner ist illegal
Wahl in den USA
Sie wussten, was sie tun
Streitgespräch über den Osten
Was war die DDR?
Lehren aus den US-Wahlen
Wo bleibt das linke Gerechtigkeitsversprechen?
Ausschreitungen in Amsterdam
Ein hitziges Nachspiel
Regierungskrise in Deutschland
Ampel kaputt!