Angriffsziel: Mensch

Unter Social Engineering – auf Deutsch in etwa soziale Manipulation – versteht man die Praxis, bei der versucht wird, eine Person zu Handlungen zu verleiten, die diese sonst niemals tun würde. Oder wie der US-amerikanische Experte für Kryptographie und Computersicherheit Bruce Schneier so schön gesagt hat: "Amateurs hack systems, professionals hack people."

Aber wie funktioniert das?

Social Engineering kann auf unterschiedliche Weise geschehen. Wir illustrieren das gerne mit ein paar Beispielen.

1. Der totale Stress

Man versucht Sie unter Druck zu setzen und Stress zu erzeugen. Wer Stress hat denkt oft weniger nach, trifft Entscheidungen impulsiv und unüberlegt und agiert so im Sinne jener Person, die davon profitiert. Sie kennen das vielleicht aus Phishing-Mails, wo immer eine "sofortige Handlung erforderlich ist", weil die Fristen sehr kurz sind und Ihnen sonst großes Ungemach droht. Auf diese Art und Weise werden Sie dazu verleitet ihren Usernamen, Ihr Passwort, Ihre Kreditkartendaten etc. an der falschen Stelle einzugeben und so der angreifenden Person den "Schlüssel zum Königreich" zu überlassen.

2. Der einzige Retter

Man erzählt eine wilde Geschichte in der NUR SIE jetzt und sofort helfen können. Ein gutes Beispiel dafür ist der gute alte "Neffen- bzw. Enkeltrick", bei dem Sie einem Ihnen nahestehenden und vermeintlich in Not befindlichen Menschen helfen können. Auch hier wird wieder mit künstlich erzeugtem Stress gearbeitet, damit Sie nur ja nicht zu viel nachdenken.

3. Der große Gewinn

"Gratuliere, Sie haben 100.000 Euro gewonnen. Bitte überweisen Sie 100 Euro Spesen auf unser Konto XYZ, damit wir Ihnen das Geld zukommen lassen können." Wer jetzt meint, auf solche Tricks würde doch niemand hereinfallen, leider weit gefehlt. Bei manchen Menschen setzt beim Gedanken an das zu erwartende Vermögen leider kurzfristig die Vernunft aus. Dieser Trick funktioniert auch damit, Menschen zu einer Investition zu verleiten, die innerhalb kurzer Zeit absurd hohe Gewinne erwarten lässt. Sie müssten nur JETZT SOFORT (wir erinnern uns an den Faktor Stress und dessen Einfluss auf rationale Entscheidungen) investieren. Der Gewinner bzw. die Gewinnerin sind da leider nicht Sie, sondern die andere Person. Eine Variante ist auch, Ihnen ein völlig risikofreies Geschäft vorzuschlagen: Man überweist 10.000 Euro auf ihr Konto, Sie überweisen 9.500 Euro davon weiter auf ein anderes Konto und die 500 Euro sind Ihre Provision für 5 Minuten Arbeit. Klingt gut, oder? Damit sind Sie dann ein "Money Mule" und vermutlich wird bald darauf die Polizei mit einem Durchsuchungsbefehl an Ihre Tür klopfen und Sie wegen Ihrer Geldwäschegeschäfte befragen.

4. Die wahre Liebe

Eine ganz perfide Masche ist es auch, Menschen unter der Vorspiegelung falscher romantischer Gefühle und großer Liebe dazu zu verleiten,  mit Geld auszuhelfen, meist gepaart mit einer tragischen Geschichte. Hier macht Liebe leider manchmal blind und taub und am Ende kommt zur emotionalen Krise noch der finanzielle Verlust dazu.

5. Der falsche Polizist

Es werden Ihnen falsche Tatsachen vorgespielt und ein vermeintlicher Polizist nimmt Ihnen Ihre Wertsachen "zur sicheren Verwahrung" ab, weil in letzter Zeit "ja so viel eingebrochen wird in dieser Gegend". Hier finden Sie einen dieser Fälle zum Nachlesen.

6. Der Agent Provocateur

Aus Agenten- und Agentinnen-Filmen kennen wir sie alle, die "Lockvögel". Jemand, der Interesse an Ihnen, Ihrer Arbeit oder Ihrem Hobby (solche Informationen findet man rasch heraus. Sei es das Foto vom Familienhund auf Facebook, das Reitfoto auf Instagram, das Urlaubsfoto auf Twitter etc.) heuchelt. Seien Sie einfach skeptisch, wenn eine Ihnen unbekannte Person, die Sie eben erst kennengelernt haben, plötzlich Detailfragen über Ihre Arbeit stellt weil "Sie so toll sind und das alles furchtbar interessant ist". Ja, mit Schmeicheleien erreicht man oft sehr viel und schon plaudert das Gegenüber stundenlang über Dinge aus der Arbeit, über Abläufe, Personen und sonstige Interna.

7. Wie können Sie sich schützen?

Ihr Hausverstand und eine gesunde Skepsis sind die besten Waffen gegen solche Aktivitäten!

• Je mehr Stress man Ihnen macht, desto ruhiger und überlegter sollten Sie handeln. Keine Bank der Welt setzt Ihnen spontan eine absurd kurze Frist, um Ihre Daten preiszugeben oder irgendeine Software zu installieren, weil sonst Ihr Konto gesperrt wird.
• Ist ein Angebot zu gut, um wahr zu sein, dann ist es auch nicht wahr. Fertig. Oder wie man im angloamerikanischen Raum gerne sagt: "There's no free lunch." Als Beispiel: Stellen Sie sich vor, eine wildfremde Person klopft an Ihre Wohnungstür und erzählt "Wenn Sie mir jetzt 500 Euro geben, bringe ich Ihnen in einer Stunde 1000 Euro zurück." Es würde ja hoffentlich jede:r hier diese Person auslachen und die Tür wieder schließen.
• Schauen Sie immer zweimal hin, bevor Sie Ihre Daten eingeben. Scheuen Sie sich nicht, ein zweites Augenpaar dazu zu holen, wenn Sie unsicher sind. Jemanden aus Ihrer Familie, Kollegenschaft oder IT-Expertinnen oder -Experten, denen Sie vertrauen.
• Glauben Sie niemals, sie wären ohnehin "zu unwichtig" oder "zu uninteressant", um das Ziel von Social Engineering zu werden. Wenn ein:e Angreifer:in Sie als Ziel auserkoren hat, dann sind Sie für diese Person auf jeden Fall wichtig oder interessant genug, egal was Sie selbst glauben.

8. Besser immer skeptisch sein

Es kann jedem Menschen passieren, auf die eine oder andere Masche hereinzufallen. Auch wenn man beim Lesen von Zeitungsartikeln zu solchen Fällen manchmal denkt "Wie kann man nur so naiv sein?", es braucht nur den passenden Hebel. Niemand ist komplett davor gefeit, nicht auf einen Trick hereinzufallen. Daher: Fragen Sie nach, bleiben Sie skeptisch, urteilen Sie nicht voreilig.