Früher war es der “Oma-Trick“: Betrüger haben älteren Menschen vorgegaukelt, sie wären ihre Enkel, um ihre Opfer dann um ihr Erspartes zu erleichtern. Heute funktioniert das System auch online: Viele Menschen geben im Internet bereitwillig Informationen über ihre Persönlichkeit, ihr Gefühlsleben, ihre berufliche Situation oder ihren finanziellen Status preis. Für Cyber-Kriminelle ein gefundenes Fressen. Denn mit diesem Wissen gelingt es ihnen leicht, sich das Vertrauen potenzieller Opfer zu erschleichen – und sie dann dazu zu bewegen, vertrauliche Login-Daten herauszugeben oder grössere Geldsummen zu überweisen.
Ursprünglich stand hinter dem Begriff “Social Engineering“ ein positiver Gedanke: Erstmals verwendet wurde der Terminus im Jahr 1945 von dem Philosophen Karl Popper in seinem Werk “The Open Society and its Enemies“, in dem er dafür plädierte, positive Entwicklungen in der Gesellschaft durch gezielte Einflussnahme anzustossen. Heute, im Zeitalter der Digitalisierung, hat der Begriff einen eindeutig negativen Beigeschmack. Denn er steht für sehr effektive Methoden, nicht nur Privatleute, sondern auch kleine Firmen und grosse, internationale Konzerne zu erpressen und ihnen mitunter existenzbedrohenden Schaden zuzufügen.
Schwachstelle Mensch
Cyber-Kriminelle sagen es selbst: Technische Sicherheitsvorkehrungen wie Firewalls und Virenscanner oder auch Authentisierungstechnologien wie Two-Factor Authentication (2FA) oder Multi-Factor Authentication (MFA) machen es ihnen immer schwerer, in gut geschützte Unternehmens-Netze einzudringen und wertvolle Daten zu erbeuten. Eine der weiteren Optionen ist die Authentifizierung ohne den Benutzernamen, z. B. durch biometrische Merkmale wie Fingerabdrücke oder Gesichtserkennung oder QR-Codes. Diese Verfahren sind wesentlich widerstandsfähiger gegen Betrug als Nutzernamen und Passwörter. Auch die Authentisierung über Social Login oder Passwort-Management-Systeme erweist sich als gute Absicherung gegen Cyber-Angriffe.
Die Schwachstelle im System bleibt aber weiterhin der Mensch – mit seinem Willen, schnell und unbürokratisch zu helfen, mit seiner Gutgläubigkeit, seinem Leichtsinn und manchmal auch mit seiner Gier aufs vermeintlich schnelle Geld. Deshalb setzen Cyber-Kriminelle genau hier an und versuchen, auf unterschiedliche Weise das Vertrauen von Benutzern zu gewinnen – bis diese ihnen “unfreiwillig freiwillig“ den Zugang zu ihren eigenen Accounts oder zu ganzen Firmen-Netzwerken eröffnen.
Social Engineering setzt auf berechenbares menschliches Verhalten
Menschliches Denken und Verhalten ist berechenbar. Nach den Psychologen Myles Jordan und Heather Goudey nutzen Online-Betrüger gezielt bestimmte menschliche Eigenschaften wie Unerfahrenheit, Neugier, der Wunsch nach Reichtum oder Liebe. Hier finden Cyber-Kriminelle leichte Anknüpfungspunkte – etwa bei einsamen Männern, die für ihre grosse Online-Liebe in einem fernen Land alles tun würden – bis hin zum finanziellen Bankrott. Auch Unternehmen droht hier Gefahr, wenn sich Kriminelle beispielsweise am Telefon als IT-Administratoren ausgeben und von “hilfsbereiten“ Mitarbeitern bereitwillig Passwörter mitgeteilt bekommen. Man kann also sagen: Cyber-Kriminelle nutzen beim Social Engineering skrupellos die emotionalen Schwächen ihrer Mitmenschen aus.
Kennen Sie Robin Sage?
Egal, ob Facebook, Instagram, Linkedin oder Xing: Wer einen Social-Media-Account hat, kennt es. Fremde junge Damen möchten plötzlich Kontakt aufnehmen – oft mit sehr eindeutigen Angeboten. In Wahrheit geht es dabei jedoch nur darum, das eigene Persönlichkeitsprofil und die Kontaktliste auszuspionieren, um Informationen zu sammeln. Wer hier zu offenherzig mit seinen Daten umgeht, könnte schon bald das Opfer von Cyber-Kriminellen werden. Wie das System funktioniert, hat der fiktive Charakter “Robin Sage“ gezeigt, den die beiden IT-Sicherheitsspezialisten Robyn Casey und Thomas Ryan im Jahr 2009 erschaffen haben. “Robin Sage“ war eine junge, attraktive Frau, die in der Realität nicht existierte. Online schütteten ihr die Verehrer in aller Welt jedoch reihenweise ihr Herz aus und gaben leichtfertig die persönlichsten Details preis. Das zeigt, wie einfach Menschen zu manipulieren sind, wenn man ihre grundlegendsten Sehnsüchte und Träume anspricht.
“Ihr Konto wurde gesperrt!“ – das Spiel mit der Angst
Wenn Unternehmens-Netzwerke perfekt abgesichert sind, nutzen Cyber-Kriminelle gerne den direkten Draht zu den Benutzern, um an kritische Daten zu kommen – zum Beispiel indem sie E-Mails versenden, die durch das mehr oder weniger perfekt gefälschte Corporate Design grosser Firmen dazu verlocken sollen, seine Login-Daten preiszugeben. In der Folge dringen die Betrüger entweder in das besagte Unternehmensnetzwerk ein oder nutzen die Daten des Users, um sich den Weg in weitere Netzwerke zu bahnen und dort beispielsweise unbemerkt Schadsoftware zu installieren. Dabei kann es sich um sogenannte Ransomware handeln, die die gesamten Unternehmensdaten verschlüsselt und lahmlegt. Danach werden Unternehmen in der Regel dazu genötigt, riesige Summen in Krypto-Währungen zu bezahlen, um ihre Daten wieder freizuschalten.
Social Engineering – die Varianten
Pretexting: Hacker recherchieren zunächst im privaten Umfeld ihres Opfers, um dessen Vertrauen zu gewinnen. Anschliessend wenden sie sich beispielsweise als IT-Administratoren mit einem Hilferuf an den Adressaten, um etwa vorgeblich im Namen der Geschäftsleitung an vertrauliche Daten zu kommen.
Diversion Theft:
Logistik-Unternehmen werden dazu gebracht, Lieferungen an eine andere Adresse umzuleiten.
Water-Holing:
Angreifer sammeln Informationen, welche Websites Benutzer besonders häufig aufsuchen und testen diese im Folgenden auf Schwachstellen.
Baiting:
Hier wird dem Benutzer sozusagen ein Köder ausgelegt, bei dem er “anbeissen“ soll – zum Beispiel in Form einer fingierten Nachricht von Freunden, einer sensationellen Videobotschaft, eines E-Mail-Anhangs oder eines USB-Sticks, der Malware enthält. Sobald der User die bösartige Datei öffnet, infiziert er damit sein System und ermöglicht den Hackern den unbefugten Zugriff auf vertrauliche Daten – bis hin zur Kompromittierung ganzer Unternehmensnetzwerke.
Quid-pro-Quo:
Ein “Geben und Nehmen“ der heimtückischen Art. Betrüger rufen beispielsweise Mitarbeiter eines Unternehmens an und geben vor, vom IT-Support zu sein. Sie fordern Letztere dazu auf, für ein Projekt kurzzeitig Antivirenschutz oder Firewall zu deaktivieren. So erhalten die Cyber-Kriminellen freie Bahn, um Malware oder Ransomware auf den ungeschützten Rechnern zu installieren.
Tailgating:
Eine Methode des Social Engineering, um sich mit Hilfe autorisierter Personen Zugang zu geschützten Bereichen etwa eines Gebäudes zu verschaffen.
Rogue Security Software:
Social Engineers suggerieren dem Benutzer, dass sein Computer mit einem Virus infiziert wurde. Ziel ist, den User nervös zu machen und zum Kauf einer vermeintlichen “Sicherheitssoftware“ zu verleiten. Diese installiert jedoch Malware auf dem Rechner.
Wie lassen sich Social-Engineering-Attacken verhindern?
Fortschrittliche Authentisierungsverfahren wie Two-Factor Authentication oder Multi-Factor Authentication sowie der Verzicht auf Passwörter zugunsten von biometrischen Authentisierungs-Faktoren (Gesichts-Scan, Fingerabdruck, Iris-Scan, Stimmerkennung etc.) bilden für Cyber-Kriminelle heute bereits Hürden, die nur äusserst schwer zu überwinden sind. Stattdessen nutzen sie die Unachtsamkeit, Leichtgläubigkeit oder Hilfsbereitschaft ihrer Mitmenschen aus. Aus diesem Grund ist es wichtig, durch eine Reihe von Verhaltensregeln einen hohen Sicherheitsstandard im Umgang mit Geräten, mit dem Internet, privaten Netzen und Unternehmensnetzwerken, mit Benutzerkonten und in der Kommunikation zu etablieren.
Der Mensch wird in digitalen Netzwerken immer eine Schwachstelle bleiben. Mit den folgenden einfachen Massnahmen ist für die Sicherheit jedoch schon viel gewonnen:
- Durch Schulungen ein Bewusstsein für die Gefahren durch Social Engineering und Cyberkriminalität schaffen
- Sichere Verhaltensweisen einüben und regelmässig trainieren
- Keine unbekannten E-Mail-Anhänge ungeprüft öffnen
- Keine unautorisierten Geräte (z. B. im Homeoffice oder unterwegs) verwenden
- Keine unbekannte Software installieren
- Bei Anrufern (z. B. IT-Support) zuerst überprüfen, ob sie tatsächlich autorisiert sind, Ihnen Anweisungen zu erteilen