Sicherheitsexpertin über Social Engineering: „Jeder hat eine Schwachstelle“

taz am wochenende: Frau Lekati, Betrüger, die sich das Vertrauen ihrer Opfer erschleichen, gibt es im digitalen Zeitalter häufiger, man nennt die Masche Social Engineering. Was ist ein Angriff im Rahmen des sogenannten Social Engineering?

Christina Lekati: Angriffe auf Menschen durch soziale Fähigkeiten, um etwas von Wert zu gewinnen. Jeder Angriff besteht aus den gleichen Schritten. Der Angreifer, den wir Social Engineer nennen, sammelt Informationen, sucht ein Opfer, denkt sich eine Cover-Story aus, also einen Grund, um mit dem Opfer in Kontakt zu treten und kontaktiert es. Er baut dann Vertrauen zu dem Opfer auf, um es anschließend auszubeuten.

Wie geht das?

Ein Beispiel: Der Social Engineer hat herausgefunden, dass die Sekretärin eines Unternehmenschefs gerade Mutter geworden ist. Er stellt sich als Bewerber für einen Job vor und behauptet dann, dass sein Kind über die Bewerbungsunterlagen gekotzt habe. Ob die Sekretärin die Unterlagen nochmal ausdrucken könne? Sie müsse nur seinen USB-Stick kurz einstecken. Als frische Mutter kann die Sekretärin einen Bezug dazu herstellen, sie weiß ja selber, wie es mit den Kindern ist, darum steckt sie ohne Sorgen den USB-Stick mit der Schadsoftware in ihren PC. Die Hilfsbereitschaft von Menschen wird oft von den Social Engineers ausgenutzt. Der letzte Schritt: Flüchten, ohne verdächtig zu werden.

Was sind die Motive der Social Engineers?

Bei den meisten Attacken von Social Engineers geht es um Informationen und Geld. Auch Unternehmen nutzen diese Technik, um zum Beispiel durch Industriespionage an Informationen zu kommen, die für ihre Unternehmen einen Wettbewerbsvorteil verschaffen.

Warum wird das Phänomen Social Engineering mit einem technischen Begriff bezeichnet?

Eine Maschine besteht aus verschiedenen Bestandteilen – und in diesem Fall baut jemand verschiedene psychologische Prinzipien und Arten von Manipulation zu einer Technik zusammen, mit der Menschen attackiert werden sollen. Es ist eine Technik, die ein spezifisches menschliches Verhalten auslösen soll. Und es ist vor allem eine Kombination von sozialen und technischen Skills.

Wer kann ins Visier von Social Engineering geraten?

Es kann Einzelne oder Massen treffen, Systemadministratoren oder Zuständige im Finanzbereich einer Firma. Jedes Zielobjekt hat seine Schwachstelle.

Sind wir also alle ein potentielles Opfer für Social Engineers?

Es ist egal, wie schlau oder gebildet man ist. Die Social Engineers jagen Ignoranten. Es kann jedem passieren, der nicht hellwach ist und die erzählte Geschichte glaubt. Ärzten, Anwälten, arme Leute, alle Milieus und Klassen sind schon mal Opfer von Social Engineering geworden.

Ob jemand reinfällt, hängt vor allem davon ab, ob das Opfer einem Betrüger glaubt. Wie ergaunern sich Social Engineers unser Vertrauen?

Es gibt universelle Tricks, die bei jedem von uns funktionieren. Die Social Engineers versuchen, sympathisch rüberzukommen. Wenn du jemanden magst, bist du offener dafür, ihm zu helfen. Sie versuchen, eine Bindung zu dir herzustellen. Meistens beginnt es mit etwas nettem, einem schmeichelnden Kommentar, vielleicht einem Witz.

Bindung zu jemanden Fremden herstellen, geht das so einfach?

Ja, wenn man gute soziale Fähigkeiten hat. Zum Beispiel: Jemand sagt, dass sie Julia heißt – und der Social Engineer antwortet: Wie toll, meine Ehefrau heißt auch Julia! Danach beginnen sie eine angeregte Unterhaltung und es kommt das zweite Prinzip in Spiel: Konsistenz. Sobald Vertrauen aufgebaut ist, wollen wir in unserer Rolle konsequent bleiben und geben weiter Antworten, um nicht die Stimmung zu vermiesen. Das ist menschlich und das nutzen Social Engineers bewusst schamlos aus. Daher sind Fragen anfangs harmlos und alltäglich und zielen später auf sensible Themen ab. Und weil wir alles brav beantworten, fällt uns nicht auf, dass wir zwischendurch wichtige Informationen verraten.

Und wenn ich doch einmal Zweifel äußere?

Wenn Social Engineers merken, dass ihre Gesprächspartner misstrauisch werden, hören sie sofort auf oder wenden andere Tricks an, um dir Schuldgefühle zu machen. Schuld ist eine sehr starke Emotion. Eine weitere Taktik: Angst ausnutzen und mit Zeitdruck verbinden. Das Opfer kann nicht klar urteilen und über die Situation nachdenken. Sehr oft arbeiten Social Engineers auch mit Ehrfurcht vor Autorität, in Deutschland ist darum der CEO-Fraud sehr verbreitet, die Betrugsmasche, bei der sich Social Engineers als Chefs ausgeben. Deutsche respektieren Autorität.

Ist Social Engineering ein neues Phänomen?

Nein. Es ist aber in den vergangenen Jahren immer präsenter, weil mit der digitalen Entwicklung mehr möglich geworden ist. Solange es Menschen gibt, die Zugang zu wertvollen Ressourcen haben, wird es immer auch Betrüger geben. In den Dreißiger Jahren gab es zum Beispiel den Österreicher Victor Lustig. Er hat den Eiffelturm verkauft. Zwei Mal. Frankreich hatte damals finanzielle Probleme. Lustig hatte vorgespielt, für die Regierung zu arbeiten. Er ging zu Bauunternehmen und verkündete, die Regierung habe entschieden, den Bau an den höchsten Bieter zu verkaufen. Das klappte. Die Opfer haben das aus Scham nicht weitererzählt und darum hat er den Trick später ein zweites Mal angewendet.

Gibt es eine Typologie oder Charakteristik für Social Engineerer?

Über ihren sozialen Hintergrund ist wenig bekannt, manche sind arm und smart, andere hochgebildet. Sie schauen nicht verdächtig aus, sondern wie du und ich. Sie sind charmant, haben Charisma und viele soziale Fähigkeiten und verstehen die menschliche Psyche sehr gut. Es macht Spaß, mit ihnen zu reden, aber natürlich ist das fake.

Weiß man mehr darüber, woher die Engineers wissen, wie sie vorgehen müssen?

Sehr viele sind Autodidakten, sie haben sich das selber beigebracht und mit Opfern experimentiert. Oft haben sie auch Psychologie studiert. In kriminellen Kreisen gibt es manchmal auch Veteranen, die ihr Wissen weitergeben. Wir kennen die kriminellen Netzwerke etwa aus Foren im Dark Web. Es gibt einzelne Akteure oder ganze kriminelle Organisationen, die zum Beispiel Callcenter betreiben.

Das heißt, ich könnte das auch lernen und meinen Chef manipulieren?

Absolut. In Bewerbungsgesprächen, im professionellen Verkauf, beim Kampf um eine Gehaltserhöhung – Social Engineering gibt es überall, die Prinzipien werden zum Beispiel in Werbung und Marketing ausgenutzt, oder von Politikern, die ihre Ideen verkaufen wollen. Es gibt aber auch Social Engineering zu einem guten Zweck. Ärzte nutzen die Tricks, damit Patienten ihre Therapie machen. Wir vergleichen die Technik immer mit einem Messer: Du kannst damit Essen für deine Familie zubereiten, oder damit jemanden töten.

Was ist das Werkzeug der Betrüger?

Gute soziale und kommunikative Fähigkeiten. Ein Mann raubte einmal eine Bank aus und benutzte dabei nur seinen Charme und Schokolade. Er konnte die Diamanten stehlen, weil die Sicherheitsleute ihm vertrauten und ihn unbeaufsichtigt im Tresorraum zurückließen. Heutzutage werden meist auch technische IT-Kenntnisse benötigt, wenn Social Engineers Attacken online durchführen.

Wie finden Engineers heraus, welche Schwachstellen eine Person hat?

Sie recherchieren zunächst unter anderem Verfehlungen, unbefriedigte Bedürfnisse, Ängste oder auch Hobbies von Personen von Interesse. Emotionale Bedürfnisse zählen für uns mehr als alles andere, auch mehr als finanzielle Bedürfnisse. Der Engineer befriedigt unsere Bedürfnisse und unser Hirn blendet deswegen automatisch aus, welche Bedrohung der Engineer eigentlich darstellt. Selbst wenn sie Dinge thematisieren, die unangenehm sind: Bietet jemand etwas an, was man emotional brauchen kann, ändert man seine Haltung zu ihm nicht, sondern ignoriert wohlwissend jegliche Warnhinweise. Daher suchen sie nach Leuten, die naiv oder generell ignorant sind. Aber auch wenn du introvertiert bist, kann es dich treffen. Solange du unbefriedigte Bedürfnisse hast, ist man ein gutes Opfer.

Was ist die häufigste Strategie, die Engineers anwenden?

Phishing Mails. Zirka 80 Prozent der Cyberangriffe sind im ersten Schritt Social Engineering Attacken.

Gerade die Gefahr von Phishing-Mails ist doch seit Jahren bekannt?

Die Sicherheitstechnologien haben sich zwar verbessert, aber die menschliche Psyche ist die gleiche geblieben. Alle Menschen sagen sich immer: Mir passiert das nicht. Hinzu kommt, dass Unternehmen ihr Geld lieber in Technologien investieren, anstatt in Schulungen der Mitarbeiter, wie sie sich schützen und verhalten sollen.

Wie soll ich mit einem Engineer umgehen, wenn ich ihn an der Strippe habe?

Bleiben Sie standhaft. Niemals eine Debatte darüber beginnen, wieso Sie eine Information nicht weitergeben wollen. Wenn Ihnen etwas verdächtig vorkommt, sagen Sie den Satz: „Es tut mir leid, so sehr ich dich mag/ Sie schätze, aber ich kann dir/ Ihnen diese Informationen nicht geben“. Drohen Sie damit, den Anruf polizeilich oder im Unternehmen zu melden, das verscheucht den Anrufer. Werden Sie nach einem Passwort gefragt, weigern sie sich. Versuchen Sie, die Identität des Anrufers so weit wie möglich zu verifizieren. Trauen Sie niemals der Nummer, die ist leicht zu fälschen.

Sie arbeiten für eine Sicherheitsfirma. Wie können sich Unternehmen schützen?

Aufmerksamkeit und Bewusstsein kann man trainieren. Wir bieten Unternehmen dazu Trainings an. Wir untersuchen auch, welche Social Engineering-Schwachstellen Mitarbeiter und Unternehmen haben könnten, damit die Firmen besser vorbereitet sind. Ich habe auch selber schon Attacken ausprobiert und weiß, wie das funktioniert. Jede Firma hat unterschiedliche Bedürfnisse und Schwächen und diese arbeiten wir gemeinsam in deren Verteidigungsstrategien ein.

Woher kommt Ihr Interesse an Engineering?

Bereits als ich ein Kind war, hat mein Vater in der Cyber-Sicherheitsindustrie gearbeitet und mich regelmäßig mit seinen Geschichten fasziniert. Aus diesem Grund handelte vermutlich mein erstes selbstgekauftes Buch von Profiling. Ich liebe es einfach, herauszufinden, wie das menschliche Gehirn und Social Engineering funktioniert. Menschen dabei zu helfen, sich selbst zu schützen, macht mich zudem glücklich.

Und wurden Sie selber schon attackiert?

Ja! Es hat jedoch nicht geklappt. Aber das muss nichts heißen, auch Sicherheitsexperten können reinfallen. Niemand ist gegen „Social Engineering“ komplett immun.