32
TITEL
_DATENSCHUTZ
personalmagazin 01/18
M
ein Name ist Max Litzner.
Ich bin neu im Team für
das Vorstandsprojekt zur
digitalen Transformation.
Dummerweise ist mein Kollege heute
nicht da und ich brauche dringend das
Passwort, um an eine Unterlage für unse-
re Vorstandssitzung zu kommen. Könn-
ten Sie mir da vielleicht weiterhelfen?
Ich weiß wirklich nicht, was ich sonst
tun soll. Die Sitzung beginnt doch schon
in einer halben Stunde.“
Der angerufene Mitarbeiter stutzt und
überlegt kurz. Den Namen des neuen
Mitarbeiters hat er schon mal gehört
und heute ist tatsächlich eine Vorstands-
sitzung zu dem Projekt. Das wird daher
schon in Ordnung sein, denkt er und gibt
dem Anrufer das Passwort. Doch der ist
weder Herr Litzner noch Mitarbeiter,
sondern ein Hacker, der sich gerade mit
den Methoden des „Social Engineering“
erfolgreich Zugriff zu vertraulichen Da-
ten verschafft hat.
Der Begriff „Social Engineering“
stammt ursprünglich aus Soziologie und
Politikwissenschaft. Bezogen auf das
Thema Sicherheit bezeichnet er die zwi-
schenmenschliche Manipulation, mit der
Betrüger unter Vortäuschung falscher
Tatsachen unberechtigten Zugang zu In-
formationen oder IT-Systemen erlangen.
„Social Engineering“ greift also nicht an
der Technik, sondern „amMenschen“ an.
„Die größte Schwachstelle ist nun einmal
der Mensch“, sagt Dietmar Pokoyski, Ge-
schäftsführer der Kölner Agentur Known
Sense, die Unternehmen bei Awareness-
Von
Bärbel Schwertfeger
Maßnahmen berät. Inzwischen gehe man
davon aus, dass fast alle Hackerangriffe
mit „Social Engineering“ vorbereitet wür-
den. Doch diese Erkenntnis setzt sich erst
langsamdurch. Die Attacken technisch in
den Griff zu bekommen ist zwar wichtig,
aber nicht ausreichend. Wie verhängnis-
voll die psychologischen Einfallstore sein
können, ist in den meisten Unternehmen
unbekannt. Das gilt auch für den Begriff
„Social Engineering“.
Social Engineering ist fiese Täuschung
In einer Studie von Pokoyskis Beratungs-
unternehmen Known Sense, für die in 35
zweistündigen psychologischen Tiefen
interviews unter anderem die Anfällig-
keit für bestimmte psychologische Stra-
tegien ausgelotet wurde, zeigte sich, dass
alle Befragten den Begriff nicht kannten
und er oft mit positiven Assoziationen
verbunden wurde. So lenkte das Wort
„social“ (offenbar in Assoziation zu Social
Media) auf die falsche Fährte und auch
„Engineering“ war (vermutlich in Anleh-
nung an deutsche Ingenieurstugenden)
positiv besetzt. Die Bezeichnung wurde
zudem als modern und fortschrittlich
empfunden. Manche der Interviewten
fragten sogar nach konkreten Weiterbil-
dungsmöglichkeiten zum „Social Engi-
neer“. Die Erklärung, dass dahinter eine
arglistige Manipulation steckt, führte bei
vielen Befragten zu Enttäuschung und
Unmut. Dabei ist „Social Engineering“
keineswegs per se negativ. „Wir sind nun
mal soziale Wesen und benötigen soziale
Beziehungen zum Überleben“, erklärt die
Psychologin Ivona Matas, die die Studie
durchgeführt hat. Und Beziehungen wür-
den eben durch Interaktionen und Kom-
munikation aufgebaut. Das nutzen „So-
cial Engineers“ aus und setzen dabei an
Einfallstoren wie Hilfsbereitschaft, Neu-
gier, Leichtgläubigkeit, Druck oder dem
Wunsch nach Anerkennung an. Wer sich
besonders hilflos gibt, kommt daher nicht
selten schnell ans Ziel. Das zeigt ein Bei-
spiel auf Youtube. Dort gibt sich die Anru-
ferin bei einem Telekommunikationsun-
ternehmen als hilflose und überforderte
Mutter aus, die dringend die Passwörter
ihres Mannes braucht. Im Hintergrund
ist lautes Babygeschrei zu hören. Inner-
halb von zwei Minuten bekommt sie alle
Passwörter (siehe Video).
„Social Engineering ist eine sehr Erfolg
versprechende Methode, um an Informa-
Manipulierte Mitarbeiter
HINTERGRUND.
Mit Methoden des „Social Engineering“ erschleichen Hacker wichtige
Informationen. Unternehmen sollten ihre Mitarbeiter für die Gefahr sensibilisieren.
© SIMPLEDESIGN79 / ADOBE STOCK
VIDEO
In unserer Personalmagazin-App sehen
Sie das im Text erwähnte Video über
eine Hackerin beim Social Engineering.
© YOUTUBE
ADD-ON
Außerdem erfahren Sie in der App mehr
über die Tricks, die die Hacker nutzen.
