R
wirtschaft + weiterbildung
07/08_2017
43
dem Anrufer das Passwort. Doch der ist
weder Herr Litzner noch Mitarbeiter,
sondern ein Hacker, der sich gerade mit
den Methoden des „Social Engineering“
erfolgreich Zugriff zu vertraulichen Daten
verschafft hat.
Der Begriff „Social Engineering“ stammt
ursprünglich aus Soziologie und Politik-
wissenschaft. Bezogen auf das Thema
Sicherheit bezeichnet er die zwischen-
menschliche Manipulation, mit der
Betrüger unter Vortäuschung falscher
Tatsachen unberechtigten Zugang zu In-
formationen oder IT-Systemen erlangen.
„Social Engineering“ greift also nicht an
der Technik, sondern „am Menschen“ an.
„Die größte Schwachstelle ist nun einmal
der Mensch“, sagt Dietmar Pokoyski, Ge-
schäftsführer der Kölner Agentur Known
Sense. Inzwischen gehe man davon aus,
dass fast alle Hackerangriffe mit „Social
Engineering“ vorbereitet würden. Doch
diese Erkenntnis setzt sich erst langsam
durch. So ging es auch in den Berichten
nach dem letzten großen Hackerangriff
„Wannacry“ vor allem um die Technik
und darum, die Attacken „technisch in
den Griff“ zu bekommen. Das ist zwar
wichtig, zumal offenbar viele betroffene
Unternehmen ein regelmäßiges Update
ihrer Systeme versäumt hatten, aber es
reicht nicht. Doch wie verhängnisvoll die
psychologischen Einfallstore sein können,
ist in den meisten Unternehmen unbe-
kannt. Das gilt auch für den Begriff „So-
cial Engineering“.
„Social Engineering“ ist
arglistige Täuschung
In einer Studie von Known Sense, für die
in 35 zweistündigen psychologischen
Tiefeninterviews unter anderem auch
die Anfälligkeit für bestimmte psycho-
logische Strategien ausgelotet wurde,
zeigte sich, dass alle Befragten den Be-
griff nicht kannten und er oft mit posi-
tiven Assoziationen verbunden wurde.
So lenkte das Wort „social“ (offenbar in
Assoziation zu Social Media) auf die fal-
sche Fährte und auch „Engineering“ war
(vermutlich in Anlehnung an deutsche
Ingenieurstugenden) positiv besetzt. Die
Bezeichnung wurde zudem als „modern“
und „fortschrittlich“ empfunden. Man-
che der Interviewten fragten sogar nach
konkreten Weiterbildungsmöglichkeiten
zum „Social Engineer“. Die Erklärung,
dass dahinter eine arglistige Manipulation
steckt, führte dann bei vielen Befragten
zu Enttäuschung und Unmut. Dabei ist
„Social Engineering“ keineswegs per se
negativ. „Wir sind nun mal soziale Wesen
und benötigen soziale Beziehungen zum
Überleben“, erklärt die Psychologin Ivona
Matas, die die Studie durchgeführt hat.
Und Beziehungen würden eben durch
Interaktionen und Kommunikation auf-
gebaut. Das nutzen „Social Engineers“
aus und setzen dabei an Einfallstoren wie
Hilfsbereitschaft, Neugier, Leichtgläu-
bigkeit, Druck oder dem Wunsch nach
Anerkennung an. Wer sich besonders
hilflos gibt, kommt daher nicht selten
schnell ans Ziel. Das zeigt ein Beispiel
auf Youtube. Dort gibt sich die Anrufe-
rin bei einem Telekommunikationsun-
ternehmen als hilflose und überforderte
Mutter aus, die dringend die Passwörter
ihres Mannes braucht. Im Hintergrund
ist lautes Babygeschrei zu hören. Inner-
halb von zwei Minuten bekommt sie alle
Passwörter
„Social Engineering ist eine sehr Erfolg
versprechende Methode, um an Informa-
tionen zu kommen, weil es an normale
menschliche Bedürfnisse andockt“, sagt
Matas. „Das ist dasselbe Prinzip wie beim
Heiratsschwindler oder Enkeltrick.“ Nur
wer wisse, dass es „Social Engineering“
gebe, könne sich auch zur Wehr setzen.
„Die meisten Hackerangriffe funktionie-
ren aufgrund von menschlichen Fakto-
ren“, bestätigt auch José Esteves, Profes-
sor für Informationssysteme und digitale
Innovation an der IE Business School in
Madrid. Haupteinfallstor sei „Social En-
gineering“, ein weiteres der menschliche
Irrtum. „Menschen machen Fehler“, so
Esteves, der selbst einmal Hacker war. Sie
schauen bei einer vermeintlichen E-Mail
ihrer Bank nicht genau hin und klicken
auf einen Link. „Hacker nützen es aus,
dass Menschen nicht so sehr auf Details
achten und oft in Eile sind“, erklärt der
Professor.
Hacker warten sehr geduldig
auf ihre Chance
Also erfinden Hacker ein Szenario und
behaupten in einer E-Mail zum Beispiel,
das Passwort sei aufgrund eines Updates
der Datenbank ungültig, oder sie geben
sich als der IT-Dienstleister des Unter-
nehmens aus. Dabei seien Hacker oft-
mals sehr geduldig. „Die wissen, eines
Tages macht einer einen Fehler und dann
nützen sie die gestohlene Identität“, so
der Experte. Oder es wird ein USB-Stick
– vielleicht noch mit der Aufschrift Ge-
hälter – im Unternehmen platziert. „Zwar
sagen alle, dass sie den Stick nie nutzen
würden, aber einer tut es dann doch und
das ganze Unternehmen wird gehackt“,
so Professor Esteves.
Hacker seien keineswegs immer nur ver-
schrobene Einzelgänger. Viele hätten her-
vorragende kommunikative Fähigkeiten,
die sie gezielt nutzen. „Die werden meist
eher am Anfang eingesetzt“, sagt der
Professor und empfiehlt Unternehmen,
sich stärker in die Köpfe von Hackern
José Esteves.
Der Professor
für Informationssysteme war
selbst einmal Hacker.
Ivona Matas.
Die Diplom-Psychologin
führte eine Befragung zu den Erfolgs-
chancen des „Social Engineering“ durch.
Foto: Known sense
Foto: IE Business School
