Was ist eigentlich
Social Engineering?

G DATA Ratgeber

Sie ist hübsch, Single und ihre Nachrichten sind so aufregend wie ihre blonde Mähne. Und ehe sich der Empfänger ihrer Freundschaftsanfrage auf Facebook versieht, schreiben sie sich ununterbrochen kurze, verführerische Nachrichten. An manchen Tagen auch lange, sehr intime E-Mails. Es ist echt verrückt, wie viel er und seine zufällige Online-Bekanntschaft gemeinsam haben. Er fühlt sich geborgen und zum ersten Mal seit Jahren aufrichtig verstanden. Und das, obwohl sie sich noch nie persönlich begegnet sind. Manche Menschen führt das Schicksal zusammen – und andere fallen auf einen Betrüger herein. Das ist Social Engineering.

Ohne dass die Opfer auch nur einen Moment darüber nachdenken, geben sie vertrauliche Informationen von der Arbeit preis oder überweisen Geld an einen ihnen eigentlich völlig unbekannten Menschen. Social Engineering bringt Menschen dazu, etwas gerne zu tun, das sie eigentlich nie vorhatten. Anders als Sie nun vermuten könnten, ist Social Engineering jedoch keine Motivationstechnik, sondern eine besonders raffinierte Form des Betrugs. Wir erklären Ihnen, was Social Engineering ist, wen es treffen kann und wie Sie sich davor schützen können.

Wie ist Social Engineering entstanden?

Ursprünglich stammt die Idee des Social Engineerings aus der Philosophie. Karl Popper schuf den Begriff 1945 und bezeichnete damit zunächst soziologische und psychologische Elemente zur Verbesserung gesellschaftlicher Strukturen. Poppers Prinzip basiert im Wesentlichen darauf, dass der Mensch wie eine Maschine optimiert werden kann. In den 1970er Jahren ergänzten Poppers Nachfolger seine Theorie um einige psychologische Taschenspielertricks. Ihr Ziel war jedoch nicht der Datenraub – sie wollten die Menschen zu einem besseren Miteinander und einem größeren Gesundheitsbewusstsein bewegen. Auch hier handelt es sich genaugenommen um Manipulation – nur das Ziel ist ein anderes. Im allgemeinen Sprachgebrauch verstehen wir heute unter Social Engineering jedoch eher die betrügerische Form der unterschwelligen Beeinflussung. 

Wie funktioniert Social Engineering?

Auch wenn die Methode ihren philosophischen Wurzeln treu bleibt, haben sich die Motive der Social Engineers deutlich gewandelt. Wer versteht, wie Menschen ticken, kann sie mit etwas Fingerspitzengefühl – und etwas mehr kriminellem Potenzial – gezielt manipulieren. Oft schlüpfen die Betrüger in die Rolle eines Bekannten, eines vertrauenswürdigen Handwerkers oder täuschen vor, von einer Bank oder gar der Feuerwehr zu sein. So erschleichen sich die Täter das Vertrauen und oft auch sensible Daten.

Kurz: Social Engineers versuchen, Menschen für ihre Zwecke zu instrumentalisieren. Einer der bekanntesten Social Engineers ist der Hacker Kevin Mitnick. Durch die schiere Zahl der Einbrüche in fremde Computer wurde Mitnick bald zu einem der meist gesuchten Personen der Vereinigten Staaten. Er soll hunderte Male in einige der bestgesicherten Netzwerke der USA eingedrungen sein; auch das Verteidigungsministerium und sogar die NSA soll er ausspioniert haben. Mitnick schreibt in seinem Buch „Die Kunst der Täuschung“, dass Social Engineering deutlich schneller zu den gewünschten Informationen führt als rein technische Methoden. Statt Spionagesoftware zu entwickeln, programmiert Mitnick den Willen seiner Mitmenschen.

Wie sieht Social Engineering im Internet aus?

Beispiel: Robin Sage

Ein prominentes Beispiel für Social Engineering über soziale Netzwerke ist der Fall von Robin Sage: Sage war jung, hübsch – und frei erfunden. 2010 erstellte der US-IT-Experte Thomas Ryan ein Social Media-Profil mit dem Foto und den Interessen einer attraktiven jungen Frau. Ryans fiktive Figur wickelte Militärs, Industrielle und Politiker reihenweise um den Finger und entlockte ihnen vertrauliche und höchst sensible Informationen. Dabei hatte keiner der Betroffenen Sage je persönlich getroffen. Allein über die sozialen Medien verschickte Ryan derart glaubwürdige und verführerische Nachrichten, dass seine Opfer keinen Verdacht schöpften – und offen drauflos plauderten. Ryan ging es dabei aber weniger um die erbeuteten Daten. Er wollte den Menschen als Sicherheitslücke entlarven, was ihm eindrucksvoll gelungen ist.

Was bedeutet Human Hacking?

Da die Social Engineers die Beeinflussbarkeit des Menschen als Sicherheitslücke erkannt haben, sprechen IT-Experten auch von Human Hacking. Statt eines Computers wird dabei die Psyche eines Menschen gehackt und ihm werden so unbemerkt Informationen entlockt, die er eigentlich nicht preisgeben wollte. Außerdem kann er durch die Manipulationen auch zu Taten gebracht werden, die er eigentlich nicht ausgeführt hätte. Plakativ gesprochen ist der Mensch also ein ernstzunehmendes Sicherheitsrisiko: Während Virenscanner und Firewalls das IT-System sehr gut schützen können, bleiben die Anwender weiterhin manipulierbar. Das Bundeskriminalamt spricht deshalb auch von der „Schwachstelle Mensch“. Während ein Computer rein rational arbeitet, wird der Mensch auch von seinen Emotionen geleitet. Manche Forscher nehmen an, dass fast 80 Prozent unserer Entscheidungen gefühlsbasiert getroffen werden. Unser Verstand hat demnach in vielen Fällen wenig Mitspracherecht. Und genau das nutzt das Human Hacking aus.

Wen bedroht Social Engineering?

Deshalb tritt Social Engineering praktisch überall dort auf den Plan, wo Menschen der Schlüssel zu Geld oder interessanten Informationen sind. So können staatliche Einrichtungen und Behörden genau so wie Konzerne oder Privatpersonen manipuliert und ausspioniert werden. Laut einer Studie des IT-Branchenverbands Bitkom verursachen digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl deutschen Unternehmen jedes Jahr ein Schaden von rund 51 Milliarden Euro. 19 Prozent der befragten Unternehmen haben in diesem Zusammenhang Social Engineering registriert. Neben Geld werden nicht selten auch Ideen oder geheime Daten erbeutet. Und das alles, ohne dass der Herausgebende etwas von dem Betrug ahnt. 

Warum fallen Menschen auf die Betrüger herein?

Welche psychischen Mechanismen stecken dahinter?

Beispiel: Die Russian-Bride-Masche

Besonders deutlich wird das am Beispiel der sogenannten Russian Bride-Masche: Sie hat gezielt west- und mitteleuropäische Single-Männer im Visier. In Spam-E-Mails verführen junge, meist sehr attraktive Russinnen Männer dazu, Waren oder fremdes Geld weiterzuleiten oder sich mit ihnen zu treffen. In der Hoffnung auf die große Liebe oder zumindest ein schnelles Liebes-Abenteuer beteiligen sich die Männer unwissentlich an Geldwäsche und Schmuggel. Viele Opfer verlieren auf diese Weise sogar ihr Vermögen.

Mit Bitten wie „Ich kann Dich nur besuchen, wenn ich die passenden Papiere bekomme, aber hier sind alle korrupt. Schick mir Geld für die Dokumente und Anwälte.“ schmeicheln sich die Täter direkt in die Brieftaschen ihrer Opfer. Später bitten sie zusätzlich um Geld für die Reise oder neue Kleidung. Sie bedienen sich solange am Vermögen ihrer Opfer, bis diese Verdacht schöpfen – oder mittellos sind. Doch nicht nur die Absichten der jungen Frauen, sondern auch deren Existenz sind oft eine Täuschung: Statt einer heiratswilligen Russin sind nicht selten auch Männer jeden Alters aus unterschiedlichsten Herkunftsländern Absender der verführerischen Nachrichten.

Was wissen die Angreifer über die potentiellen Opfer?

Um jemanden zum unwissenden Mittäter zu machen, gehen die Betrüger sehr unterschiedlich vor. Auch die Kenntnis über das zukünftige Opfer variiert. Beim klassischen Spam wissen die Betrüger nichts über ihre Opfer. Diese Methode basiert auf der reinen Masse an Mails, die wie ein riesiges Treibnetz funktioniert. Bei der Vielzahl von Adressaten gehen den Tätern mit hoher Wahrscheinlichkeit einige Opfer ins Netz. Andere Methoden erinnern dagegen eher an das Angeln einer ganz bestimmten Fischart: gezielt und mit dem Wissen darüber, bei welchem Köder der Fisch anbeißen wird. Solche spezialisierten Phishing-Aktionen nennen sich auch Spear-Phishing, da die Täter ihr Opfer dabei wie beim Speerfischen ganz gezielt aussuchen. Wenn der Fisch etwas größer ist, beispielsweise ein ranghoher Mitarbeiter eines internationalen Unternehmens, sprechen Experten auch von Whaling – der Jagd auf einen Wal. Das Wissen über die Opfer hängt also vor allem von der erhofften Beute ab.

Wie finden die Täter etwas über ihre Opfer heraus?

Eine Mischung aus Offline- und Onlinebemühungen ist das so genannte Dumpster Diving: Die Betrüger durchsuchen den Abfall der Zielperson, um möglichst viel über deren Verhalten, Interessen und die Lebenssituation herauszufinden. Babywindeln, Medikamentenschachteln oder Boxen vom Pizzalieferanten? Aus solchen vermeintlichen Kleinigkeiten können Social Engineers wichtige Informationen ableiten. Viel bequemer als das Durchwühlen von Mülltonnen ist das Durchleuchten eines Menschen auf Social Media-Plattformen. In öffentlichen Posts, Likes oder Fotos präsentieren unbedachte Nutzer den Tätern ihre Persönlichkeit auf dem Silbertablett und machen es Betrügern leicht, sich mit vorgetäuschten Gemeinsamkeiten bei ihnen einzuschmeicheln. 

Wie kann ich mich vor Social Engineering schützen?

  • Social Media: Der erste und auch der einfachste Schritt zu mehr Sicherheit ist es, kritisch zu überdenken, mit wem Sie private Inhalte in den sozialen Medien teilen möchten.

  • E-Mail: Wer vorsichtig ist, kann sich zumindest vor sehr offensichtlicher Manipulation schützen. Ist beispielsweise der Absender einer E-Mail unbekannt und nicht sicher, wie derjenige an die Adresse gelangt ist, sollten Sie misstrauisch werden. Oder kontaktieren Sie den Absender telefonisch und klären Sie, was es mit der verdächtigen Nachricht auf sich hat.

  • Telefon: Auch bei Anrufern gilt: Wen Sie nicht kennen, dem sollten Sie keine sensiblen Daten anvertrauen.

  • Links: Öffnen Sie keine Links, die Sie zu einer Login-Seite führen sollen. Egal, was in der E-Mail steht. Idealerweise speichern Sie wichtige Seiten wie die Startseite Ihres Online-Banking-Portals oder Ihre favorisierten Shopping-Seiten als Lesezeichen und nutzen diese, um sich einzuloggen. So können Sie schnell feststellen, ob es sich um eine echte Mail oder um einen Betrugsversuch handelt.

  • Gewinne: Und auch wenn Ihnen jemand einen Gewinn oder sehr viel Geld verspricht, sollte sich der gesunde Menschenverstand einschalten. Schließlich hat kaum jemand etwas zu verschenken – vor allem nicht an einen Wildfremden. Reagieren Sie keinesfalls auf derartige SMS, E-Mails oder Anrufe.

  • Sicherheitssoftware: Mit dem Unterbinden von Spam und einem zuverlässigen Phishing-Schutz kann das Risiko, darauf hereinzufallen, deutlich minimiert werden.

Weitere Informationen und Quellen

Ines Maria Eckermann
Online Editor