Social Engineering – Was steckt genau dahinter?

Kurz gesagt: Eine große Gefahr, denn Social Engineers versuchen, Menschen für ihre Zwecke zu instrumentalisieren. Und das kann schnell zu einem Fass ohne Boden werden.

Ursprünglich stammt die Idee des Social Engineerings aus der Philosophie. Karl Popper schuf den Begriff 1945 und bezeichnete damit zunächst soziologische und psychologische Elemente zur Verbesserung gesellschaftlicher Strukturen. Poppers Prinzip basiert im Wesentlichen darauf, dass der Mensch wie eine Maschine optimiert werden kann. In den 1970er Jahren ergänzten Poppers Nachfolger seine Theorie um einige psychologische Taschenspielertricks. Ihr Ziel war jedoch nicht der Datenraub – sie wollten die Menschen zu einem besseren Miteinander und einem größeren Gesundheitsbewusstsein bewegen. Auch hier handelt es sich genaugenommen um Manipulation, nur das Ziel ist ein anderes. Im allgemeinen Sprachgebrauch verstehen wir heute unter Social Engineering jedoch eher die betrügerische Form der unterschwelligen Beeinflussung.

Nehmen wir zum Beispiel den guten alten Telefonbetrug. Obwohl es nichts Neues ist, ist ein Unterschied, dass es als Vishing (Voice Phishing) bekannt wurde. Kriminelle haben auch lange Zeit Betrug per Post betrieben. Sie alle kennen die Schreiben, wo sie über einen vermeidlichen Millionen Gewinn oder eine Traumreise in die Südsee per Post informiert wurden und sich schnell unter einer Telefonnummer zurückmelden sollen, um Ihre Daten abzugleichen. Und schon kann das Kind in den Brunnen gefallen sein.

Heutzutage erstreckt sich ein Element des Social Engineerings auf E-Mail-Betrug, den man als Phishing bezeichnet. Die gleichen Prinzipien gelten für Betrug durch Textnachrichten, das so genannte Smishing (SMS und Phishing). In jeder dieser Formen von Social Engineering kann der Verbrecher ausbeuterisch sein. Er kann sich auch auf einen Vorwand stützen. So oder so, der Verbrecher ist entweder nach Daten (Namen, Geburtsdaten, Kontoinformationen und mehr) oder nach Geld aus.

Es entsteht ein Gefühl der Dringlichkeit oder es entsteht eine Bedrohung. Sie können mit einem Spendenaufruf angesprochen werden, um Opfern von Überschwemmungen, Bränden, Erdbeben oder anderen Arten von Notfällen oder Gesundheitskrisen zu helfen.

Andererseits können Sie eine Phishing-E-Mail erhalten, die Sie mit einer betrügerischen Benachrichtigung über eine Parkplatzverletzung, einer unbezahlten (und nicht existierenden) Rechnung oder einem (wieder falschen) Kontoablauf informiert. Möglicherweise erhalten Sie einen Anruf von jemandem, der vorgibt, ein Verwandter oder Bekannter zu sein. Der bekannte „Enkel-Trick“ zum Beispiel. Der wird gerade bei älteren Menschen gerne angewandt und dies oftmals erfolgreich.

Gerne wird aber auch mit falschen Vorwänden und Sicherheitsgefühlen gespielt. Hier verlässt sich ein Krimineller auf leicht zugängliche Informationen, um einen Vorwand zu finden, der eine Person in ein falsches Sicherheitsgefühl wiegt, oder die Bereitschaft, persönliche Informationen weiterzugeben. Denken Sie an jemanden, der Sie anruft und sich selbst als interner Auditor des Unternehmens identifiziert, oder (wieder) als jemanden vom Finanzamt, einer Regierungsstelle oder einer Personalvermittlungsfirma.

Social Engineering findet auch vermehrt persönlich statt. Heutzutage, mehr denn je in Büroumgebungen, möchten Sie sich der Menschen um Sie herum bewusst sein. Kriminelle haben es verstanden, sich als Lieferleute zu verkleiden. Sie kommen mit einem Paket, einem Blumenstrauß oder einem Tablett mit Lebensmitteln in Ihr Büro, als ob sie eine Bestellung liefern würden. Sie können sie sogar mit vollen Armen sehen und nachdenklich eine Tür für sie offenhalten oder sie durch Drücken einer Aufzugstaste in ihrem Namen herauslassen.  Tatsächlich liefern diese Kriminellen nichts als Ärger. Sie könnten Hardware stehlen. Andere könnten schnell einen Memory Stick/USB in einen Computer oder Laptop stecken, um über Keylogging Zugriff auf Anmeldeinformationen und kritische Daten zu erhalten.

Apropos Gefahrengut Memory-Sticks/USBs: Haben Sie schon einmal an einer Konferenz oder Veranstaltung teilgenommen, bei der USBs/Speichersticks verteilt wurden? Sicherlich, denn diese Sticks sind nach wie vor begehrte give aways. Ich habe gerade gestern in Köln wieder solch einen USB überreicht bekommen und abgelehnt. Achten Sie dabei auch auf potenzielle Risiken? Sicherlich nicht. Warum kann das gefährlich sein?

Kriminelle können bösartige Software auf solche Sticks laden. Wenn Sie den USB in Ihre Hardware stecken, zeichnet diese Software Ihre Tastenanschläge auf. Denken Sie an all die Informationen, die Sie im Laufe eines Tages, einer Woche, eines Monats oder eines Jahres eingegeben haben. Beurteilen Sie, wie viel davon sensibel ist, und betrachten Sie das Ausmaß des Schadens, der entstehen könnte, wenn die falsche Person Ihre Zugangsdaten und mehr hatte. Kriminelle können Zugang zu allen Informationen erhalten, auf die Sie auf Ihrem Bildschirm zugreifen. Dazu gehören auch Inhalte, die sich auf Ihre Rolle und die Ihrer Führungskraft beziehen. Wenn Sie bei der Arbeit nicht arbeitsbezogene Suchen im Internet durchgeführt haben, können diese Tastenanschläge auch aufgezeichnet werden.

Wie kann man sich also vor Social Engineering schützen?

• Social Media: Überdenken Sie stets kritisch, mit wem Sie welche Inhalte teilen und wer Zugriff zu den Fotos auf Ihren sozialen Medien hat. Es lohnt sich ein regelmäßiger Check der Privatsphäre-Einstellungen. Setzen Sie sich dafür regelmäßige Reminder, alle drei Monate z.B.
• E-Mail: Wir bekommen alle unzähligen Spam und das tagtäglich. Schützen Sie sich vor zu offensichtlicher Manipulation. Ist beispielsweise der Absender einer E-Mail unbekannt und nicht sicher, wie derjenige an die Adresse gekommen ist, sollten Sie sofort misstrauisch werden. Aktivieren Sie den Spam Filter und löschen sie diese Absender sofort aus Ihrem Posteingang heraus.
• Telefon: Auch bei Anrufern gilt: Wen Sie nicht kennen, dem sollten Sie keine sensiblen Daten anvertrauen. Klingt einfach, aber warum passiert dann noch immer so viel Betrug?
• Links: Öffnen Sie keine Links, die Sie zu einer Login-Seite führen sollen. Egal, was in der E-Mail steht. Idealerweise speichern Sie wichtige Seiten wie die Startseite Ihres Online-Banking-Portals oder Ihre favorisierten Online-Shopping-Seiten als Lesezeichen und nutzen diese, um sich einzuloggen. So können Sie schnell feststellen, ob es sich um eine echte Mail oder um einen Betrugsversuch handelt.
• Gewinne: Und auch wenn Ihnen jemand einen Gewinn oder sehr viel Geld verspricht, sollte sich der gesunde Menschenverstand einschalten. Schließlich hat kaum jemand etwas zu verschenken – vor allem nicht an eine wildfremde Person. Reagieren Sie keinesfalls auf derartige SMS, E-Mails oder Anrufe.
• Sicherheitssoftware: Mit dem Unterbinden von Spam und einem zuverlässigen Phishing Schutz kann das Risiko, darauf hereinzufallen, deutlich minimiert werden. Hierzu gibt es diverse Software Anbieter auf dem Markt.

Und? Fühlen Sie sich nun besser aufgestellt? Ich hoffe, dass diese Hinweise nochmals die Brisanz des Themas geschärft haben. Denn es kann jeden von uns treffen. Bleiben Sie daher wachsam.