Social Engineering

Allgemeines
Unter Social Engineering versteht man die zwischenmenschliche Beeinflussung mit dem Ziel, bestimmte Verhaltensweisen einer Person zu manipulieren. Klassische Beispiele für Social Engineering lauten:
– die Preisgabe bestimmter vertraulicher Informationen hervorzurufen
– jemanden zum Kauf eines bestimmten Produktes bewegen
– Freigabe bestimmter Finanzmittel herbeiführen

Personen, die Social Engineering betreiben bezeichnet man als Social Engineers. Ein Social Engineer spioniert das Umfeld seines Zielobjektes aus, täuscht Identitätszugehörigkeiten und bestimmte Verhaltensmuster vor und versucht sich so bewusst Informationen und unbezahlte Dienstleistungen anzueignen. In besonders schwerwiegenden Fällen spricht man auch von Social Hackern.

Social Engineering im Betrieb
Die Grenzen von Social Engineering und kriminellem Schaffen sind fließend. Ein typisches Grundmuster sich vertraulicheInformationen anzueignen lautet wie folgt: der Social Engineer ruft einen Mitarbeiter an und maßt sich ein falsches Amt an. Beispielsweise tritt er als Techniker auf, welcher für ein Datensystem bestimmte Informationen benötigt, die im Laufe des Telefonats erfragt werden. Um die Rolle so glaubhaft wie möglich erscheinen zu lassen, hat der Täter im Vorfeld bereits Informationsfetzen gesammelt und ist sich über die betriebliche Hierarchiestruktur, Gerüchten über Mitarbeitern und individuellen Verhaltensweisen im klaren. Auf diesem Hintergrundwissen aufbauend wird die Zielperson bestimmt. Social Engineering ist nur dann wirksam, wenn de Zielperson Vertrauen für den Anrufer entwickelt.

Rhetorik
Der Social Engineer verwirrt sein Opfer mit übermäßigem Gebrauch von Fachsprache und spekuliert auf die Unwissenheit der Zielperson. Durch Smalltalk, beispielsweise über einen angeblich gemeinsamen Kollegen, wird Sympathie aufgebaut. Die Zielperson ist nur bereit Informationen preiszugeben, wenn sie den Anrufer als Insider anerkennt. Sollte sich die Zielperson im Gesprächsverlauf weigern die angeforderten Informationen preiszugeben, verschärft der Social Engineer seinen Ton. Er droht mit Konsequenzen und erwähnt beiläufig, dass er ansonsten aufgrund unterlassener Kooperation den Vorgesetzten stören müsse.

Bei technischen Problemen fordert der Social Engineer häufig schon im Vorfeld Hilfe an, sodass die Zielperson mit einem Anruf des Social Engineers rechnet und das Vertrauensverhältnis von Anfang an besteht. Es gilt, dass Informationen von höherer Tragweite durch nur eine entsprechend ausgeklügelte und komplexe Strategie in Erfahrung gebracht werden können.

Die Methodik erscheint banal und führt jedoch regelmäßig zu spektakulären Datendiebstählen. So ist es einem Schüler 2015 gelungen den Mail-Account von John Brennan, CIA Chef, über drei Tage lang nutzen zu können. Kevin Mitnick, ein ebenfalls aus den USA stammender Hacker, wurde im Jahr 2010 zu einer der meistgesuchten Personen des Landes, als Folge von zahlreichen Hack-Angriffen auf diverse Computer. Mitnick ging mit seinen Taten an die Öffentlichkeit, um auf Sicherheitslücken aufmerksam zu machen und ist der Ansicht, dass Social-Engineering das technische Ausspähen von Kennwörtern zeittechnisch um Längen voraus sei.

Abwehr
Da Social Engineering die positiven Eigenschaften zwischenmenschlichen Verhaltens ausnutzt, ist eine Abwehr dessen nur schwer möglich. Prinzipiell sollte Misstrauen gegenüber fremden und aufdringlichen Personen gegenübergestellt werden. Die bloße Rückfrage von Namen, Anschrift und der Telefonnummer des Anrufers kann bereits zahlreiche Hacking-Versuche enttarnen. An Unbekannte sollten generell so wenig Informationen wie möglich weitergegeben werden. Denn schon scheinbar Belangloses kann dem Täter dabei helfen, Vertrauen bei einem Dritten zu erzeugen. In unbekannten Mails enthaltene Links sollten niemals über das E-Mail-Fenster geöffnet werden, sondern separat im Browser eingegeben werden.