# taz.de -- Sicherheitsexpertin über Social Engineering: „Jeder hat eine Schwachstelle“
> Betrüger bauen Vertrauen auf, um an Daten oder Geld zu kommen. Welche
> Tricks sie dafür nutzen, erklärt Sicherheitstrainerin Christina Lekati.
taz am wochenende: Frau Lekati, Betrüger, die sich das Vertrauen ihrer
Opfer erschleichen, gibt es im digitalen Zeitalter häufiger, man nennt die
Masche Social Engineering. Was ist ein Angriff im Rahmen des sogenannten
Social Engineering?
Christina Lekati: Angriffe auf Menschen durch soziale Fähigkeiten, um etwas
von Wert zu gewinnen. Jeder Angriff besteht aus den gleichen Schritten. Der
Angreifer, den wir Social Engineer nennen, sammelt Informationen, sucht ein
Opfer, denkt sich eine Cover-Story aus, also einen Grund, um mit dem Opfer
in Kontakt zu treten und kontaktiert es. Er baut dann Vertrauen zu dem
Opfer auf, um es anschließend auszubeuten.
Wie geht das?
Ein Beispiel: Der Social Engineer hat herausgefunden, dass die Sekretärin
eines Unternehmenschefs gerade Mutter geworden ist. Er stellt sich als
Bewerber für einen Job vor und behauptet dann, dass sein Kind über die
Bewerbungsunterlagen gekotzt habe. Ob die Sekretärin die Unterlagen nochmal
ausdrucken könne? Sie müsse nur seinen USB-Stick kurz einstecken. Als
frische Mutter kann die Sekretärin einen Bezug dazu herstellen, sie weiß ja
selber, wie es mit den Kindern ist, darum steckt sie ohne Sorgen den
USB-Stick mit der Schadsoftware in ihren PC. Die Hilfsbereitschaft von
Menschen wird oft von den Social Engineers ausgenutzt. Der letzte Schritt:
Flüchten, ohne verdächtig zu werden.
Was sind die Motive der [1][Social Engineers]?
Bei den meisten Attacken von Social Engineers geht es um Informationen und
Geld. Auch Unternehmen nutzen diese Technik, um zum Beispiel durch
Industriespionage an Informationen zu kommen, die für ihre Unternehmen
einen Wettbewerbsvorteil verschaffen.
Warum wird das Phänomen Social Engineering mit einem technischen Begriff
bezeichnet?
Eine Maschine besteht aus verschiedenen Bestandteilen – und in diesem Fall
baut jemand verschiedene psychologische Prinzipien und Arten von
Manipulation zu einer Technik zusammen, mit der Menschen attackiert werden
sollen. Es ist eine Technik, die ein spezifisches menschliches Verhalten
auslösen soll. Und es ist vor allem eine Kombination von sozialen und
technischen Skills.
Wer kann ins Visier von Social Engineering geraten?
Es kann Einzelne oder Massen treffen, Systemadministratoren oder Zuständige
im Finanzbereich einer Firma. Jedes Zielobjekt hat seine Schwachstelle.
Sind wir also alle ein potentielles Opfer für Social Engineers?
Es ist egal, wie schlau oder gebildet man ist. Die Social Engineers jagen
Ignoranten. Es kann jedem passieren, der nicht hellwach ist und die
erzählte Geschichte glaubt. Ärzten, Anwälten, arme Leute, alle Milieus und
Klassen sind schon mal Opfer von Social Engineering geworden.
Ob jemand reinfällt, hängt vor allem davon ab, ob das Opfer einem Betrüger
glaubt. Wie ergaunern sich Social Engineers unser Vertrauen?
Es gibt universelle Tricks, die bei jedem von uns funktionieren. Die Social
Engineers versuchen, sympathisch rüberzukommen. Wenn du jemanden magst,
bist du offener dafür, ihm zu helfen. Sie versuchen, eine Bindung zu dir
herzustellen. Meistens beginnt es mit etwas nettem, einem schmeichelnden
Kommentar, vielleicht einem Witz.
Bindung zu jemanden Fremden herstellen, geht das so einfach?
Ja, wenn man gute soziale Fähigkeiten hat. Zum Beispiel: Jemand sagt, dass
sie Julia heißt – und der Social Engineer antwortet: Wie toll, meine
Ehefrau heißt auch Julia! Danach beginnen sie eine angeregte Unterhaltung
und es kommt das zweite Prinzip in Spiel: Konsistenz. Sobald Vertrauen
aufgebaut ist, wollen wir in unserer Rolle konsequent bleiben und geben
weiter Antworten, um nicht die Stimmung zu vermiesen. Das ist menschlich
und das nutzen Social Engineers bewusst schamlos aus. Daher sind Fragen
anfangs harmlos und alltäglich und zielen später auf sensible Themen ab.
Und weil wir alles brav beantworten, fällt uns nicht auf, dass wir
zwischendurch wichtige Informationen verraten.
Und wenn ich doch einmal Zweifel äußere?
Wenn Social Engineers merken, dass ihre Gesprächspartner misstrauisch
werden, hören sie sofort auf oder wenden andere Tricks an, um dir
Schuldgefühle zu machen. Schuld ist eine sehr starke Emotion. Eine weitere
Taktik: Angst ausnutzen und mit Zeitdruck verbinden. Das Opfer kann nicht
klar urteilen und über die Situation nachdenken. Sehr oft arbeiten Social
Engineers auch mit Ehrfurcht vor Autorität, in Deutschland ist darum der
CEO-Fraud sehr verbreitet, die Betrugsmasche, bei der sich Social Engineers
als Chefs ausgeben. Deutsche respektieren Autorität.
Ist Social Engineering ein neues Phänomen?
Nein. Es ist aber in den vergangenen Jahren immer präsenter, weil mit der
digitalen Entwicklung mehr möglich geworden ist. Solange es Menschen gibt,
die Zugang zu wertvollen Ressourcen haben, wird es immer auch Betrüger
geben. In den Dreißiger Jahren gab es zum Beispiel den Österreicher Victor
Lustig. Er hat den Eiffelturm verkauft. Zwei Mal. Frankreich hatte damals
finanzielle Probleme. Lustig hatte vorgespielt, für die Regierung zu
arbeiten. Er ging zu Bauunternehmen und verkündete, die Regierung habe
entschieden, den Bau an den höchsten Bieter zu verkaufen. Das klappte. Die
Opfer haben das aus Scham nicht weitererzählt und darum hat er den Trick
später ein zweites Mal angewendet.
Gibt es eine Typologie oder Charakteristik für Social Engineerer?
Über ihren sozialen Hintergrund ist wenig bekannt, manche sind arm und
smart, andere hochgebildet. Sie schauen nicht verdächtig aus, sondern wie
du und ich. Sie sind charmant, haben Charisma und viele soziale Fähigkeiten
und verstehen die menschliche Psyche sehr gut. Es macht Spaß, mit ihnen zu
reden, aber natürlich ist das fake.
Weiß man mehr darüber, woher die Engineers wissen, wie sie vorgehen müssen?
Sehr viele sind Autodidakten, sie haben sich das selber beigebracht und mit
Opfern experimentiert. Oft haben sie auch Psychologie studiert. In
kriminellen Kreisen gibt es manchmal auch Veteranen, die ihr Wissen
weitergeben. Wir kennen die kriminellen Netzwerke etwa aus Foren im Dark
Web. Es gibt einzelne Akteure oder ganze kriminelle Organisationen, die zum
Beispiel Callcenter betreiben.
Das heißt, ich könnte das auch lernen und meinen Chef manipulieren?
Absolut. In Bewerbungsgesprächen, im professionellen Verkauf, beim Kampf um
eine Gehaltserhöhung – Social Engineering gibt es überall, die Prinzipien
werden zum Beispiel in Werbung und Marketing ausgenutzt, oder von
Politikern, die ihre Ideen verkaufen wollen. Es gibt aber auch Social
Engineering zu einem guten Zweck. Ärzte nutzen die Tricks, damit Patienten
ihre Therapie machen. Wir vergleichen die Technik immer mit einem Messer:
Du kannst damit Essen für deine Familie zubereiten, oder damit jemanden
töten.
Was ist das Werkzeug der Betrüger?
Gute soziale und kommunikative Fähigkeiten. Ein Mann raubte einmal eine
Bank aus und benutzte dabei nur seinen Charme und Schokolade. Er konnte die
Diamanten stehlen, weil die Sicherheitsleute ihm vertrauten und ihn
unbeaufsichtigt im Tresorraum zurückließen. Heutzutage werden meist auch
technische IT-Kenntnisse benötigt, wenn Social Engineers Attacken online
durchführen.
Wie finden Engineers heraus, welche Schwachstellen eine Person hat?
Sie recherchieren zunächst unter anderem Verfehlungen, unbefriedigte
Bedürfnisse, Ängste oder auch Hobbies von Personen von Interesse.
Emotionale Bedürfnisse zählen für uns mehr als alles andere, auch mehr als
finanzielle Bedürfnisse. Der Engineer befriedigt unsere Bedürfnisse und
unser Hirn blendet deswegen automatisch aus, welche Bedrohung der Engineer
eigentlich darstellt. Selbst wenn sie Dinge thematisieren, die unangenehm
sind: Bietet jemand etwas an, was man emotional brauchen kann, ändert man
seine Haltung zu ihm nicht, sondern ignoriert wohlwissend jegliche
Warnhinweise. Daher suchen sie nach Leuten, die naiv oder generell ignorant
sind. Aber auch wenn du introvertiert bist, kann es dich treffen. Solange
du unbefriedigte Bedürfnisse hast, ist man ein gutes Opfer.
Was ist die häufigste Strategie, die Engineers anwenden?
[2][Phishing Mails.] Zirka 80 Prozent der Cyberangriffe sind im ersten
Schritt Social Engineering Attacken.
Gerade die Gefahr von Phishing-Mails ist doch seit Jahren bekannt?
Die Sicherheitstechnologien haben sich zwar verbessert, aber die
menschliche Psyche ist die gleiche geblieben. Alle Menschen sagen sich
immer: Mir passiert das nicht. Hinzu kommt, dass Unternehmen ihr Geld
lieber in Technologien investieren, anstatt in Schulungen der Mitarbeiter,
wie sie sich schützen und verhalten sollen.
Wie soll ich mit einem Engineer umgehen, wenn ich ihn an der Strippe habe?
Bleiben Sie standhaft. Niemals eine Debatte darüber beginnen, wieso Sie
eine Information nicht weitergeben wollen. Wenn Ihnen etwas verdächtig
vorkommt, sagen Sie den Satz: „Es tut mir leid, so sehr ich dich mag/ Sie
schätze, aber ich kann dir/ Ihnen diese Informationen nicht geben“. Drohen
Sie damit, den Anruf polizeilich oder im Unternehmen zu melden, das
verscheucht den Anrufer. Werden Sie nach einem Passwort gefragt, weigern
sie sich. Versuchen Sie, die Identität des Anrufers so weit wie möglich zu
verifizieren. Trauen Sie niemals der Nummer, die ist leicht zu fälschen.
Sie arbeiten für eine Sicherheitsfirma. Wie können sich Unternehmen
schützen?
Aufmerksamkeit und Bewusstsein kann man trainieren. Wir bieten Unternehmen
dazu Trainings an. Wir untersuchen auch, welche Social
Engineering-Schwachstellen Mitarbeiter und Unternehmen haben könnten, damit
die Firmen besser vorbereitet sind. Ich habe auch selber schon Attacken
ausprobiert und weiß, wie das funktioniert. Jede Firma hat unterschiedliche
Bedürfnisse und Schwächen und diese arbeiten wir gemeinsam in deren
Verteidigungsstrategien ein.
Woher kommt Ihr Interesse an Engineering?
Bereits als ich ein Kind war, hat mein Vater in der
Cyber-Sicherheitsindustrie gearbeitet und mich regelmäßig mit seinen
Geschichten fasziniert. Aus diesem Grund handelte vermutlich mein erstes
selbstgekauftes Buch von Profiling. Ich liebe es einfach, herauszufinden,
wie das menschliche Gehirn und Social Engineering funktioniert. Menschen
dabei zu helfen, sich selbst zu schützen, macht mich zudem glücklich.
Und wurden Sie selber schon attackiert?
Ja! Es hat jedoch nicht geklappt. Aber das muss nichts heißen, auch
Sicherheitsexperten können reinfallen. Niemand ist gegen „Social
Engineering“ komplett immun.
13 Sep 2020
## LINKS
(DIR) [1] /Provinz-Aceh-in-Indonesien/!5502766&s=Social+Engineering/
(DIR) [2] /Unterschaetzte-Cyberkriminalitaet/!5685254&s=Phishing+Mails/
## AUTOREN
(DIR) Simon Schramm
## TAGS
(DIR) IT-Sicherheit
(DIR) Betrug
(DIR) Wirtschaftskriminalität
(DIR) Enkeltrick
(DIR) Günter Grass
(DIR) Wirecard
(DIR) Wirecard
## ARTIKEL ZUM THEMA
(DIR) Prozess um Veruntreuung in Bremen: Betrügerpaar darf sich bewähren
Vielfach sollen ein Juraprofessor und die Vorsitzende der Grass-Stiftung
Geld veruntreut haben. Opfer waren die Stiftung – und die eigenen Kinder.
(DIR) Aufarbeitung des Wirecard-Skandals: Sondersitzungen zum Bilanzbetrug
Der Finanzausschuss will Kanzleramtsvertreter zu dem Bilanzskandal
befragen. Ein Untersuchungsausschuss wird immer wahrscheinlicher.
(DIR) Konsequenzen aus dem Wirecard-Skandal: Finanzminister Scholz muss liefern
Am Mittwoch muss Olaf Scholz vor dem Finanzausschuss zu Wirecard aussagen.
Er muss erklären, wie die Finanzwirtschaft wirksam zu kontrollieren ist.