Das schwächste Glied in jedem Sicherheitssystem ist der Mensch. Ob es nun ein Smartphone- oder Computernutzer ist, der auf einen Link in einer E-Mail klickt, das ihn zum Downloaden einer Rechnung, zum Ausfüllen eines Formulars oder zur Anmeldung bei einem Gewinnspiel lockt. Oder ob es sich um einen Programmierer handelt, der ein paar Codes zu viel oder zu wenig eingetippt hat, dies übersieht oder vergisst, die Eingabe zu bereinigen. Die meisten Sicherheitsprobleme sind auf menschliches Fehlverhalten oder Versagen zurückzuführen.

„Selbst kluge Menschen glauben, dass ihnen so etwas nicht passieren kann und wollen daher oft kein Geld ausgeben, um ihre Informationen zu schützen«, sagte mir Frank W. Abagnale, einen Mann, den viele kennen. Frank W. Abagnale junior gilt als der König der Hochstapler, sein Leben war die Filmvorlage für „Catch me if you can“ (mit Leonardo DiCaprio in der Hauptrolle des Frank Abagnale und Tom Hanks als FBI-Beamten Carl Hanratty). Grundsätzlich verfügen wir bereits über „großartige Technologien“, um Attacken und Einbrüche zu erkennen und zu verhindern, doch wenn diese Technologie am Markt nicht genutzt und Mitarbeiter nicht dahin gehend geschult würden, würden Unternehmen unweigerlich Opfer von Hackerangriffen. „Ich habe in den vergangenen 15 Jahren alle Arten von Attacken gesehen. Und bei jeder gelungenen Attacke habe ich festgestellt, dass jemand in dem betroffenen Unternehmen etwas getan hat, das er nicht tun hätte sollen oder etwas nicht getan hat, das er sehr wohl tun hätte sollen“, meint Abagnale, der heute IT-Sicherheitsberater ist und regelmäßig Vorträge hält. Nicht Hacker allein verursachen Verstöße. Es machen sich auch jene Menschen mitschuldig, durch deren Unachtsamkeit Hacker einen Fuß in die Tür setzen können. „Hacker suchen nur nach Schwachstellen oder offenen Türen und es gibt Millionen von ihnen.“

Die Techniken des Social Engineering

Frank W. Abagnale war ein Meister des Social Engineering (SE), SE ist die Bezeichnung für eine Reihe von Techniken, die dazu dienen, diese menschlichen Schwachstellen auszunutzen und Menschen zu manipulieren, damit sie bestimmte Aktionen ausführen oder sensible Informationen preisgeben. SE nutzt dieselben psychologischen Prinzipien, die Betrüger seit Jahrhunderten anwenden, und wendet diese wiederum auf die Welt der Informationssicherheit an. Experten unterscheiden beim Social Engineering zwar zwischen Phishing, Vishing, Baiting, Scamming, Tailgating oder „Quid pro quo“, allerdings treten diese Formen meist nicht unabhängig oder getrennt voneinander auf, sondern ergänzen einander. SE an sich ist keine Straftat. Es liefert nur die Basis für kriminelle Attacken – das beginnt bei Phishing-Angriffen, geht über Sex-Scamming und endet bei terroristischen Anschlägen, weil die Täter im Vorfeld Informationen über die Opfer gesammelt haben, um im Zuge des Attentats dann das richtige Ziel zu treffen. Geschehen war das beispielweise bei der Terrorattacke in Mumbai vom 26. November 2008. Bei diesem Anschlag, dem 172 Menschen zum Opfer fielen, stürmten Terroristen zehn Ziele, darunter auch die Nobelhotels Taj Mahal Palace und Oberoi.

Auf das Background-Wissen kommt es an

Ob eine Phishing-Mail inaktiv im Spamordner landet, geöffnet, oder aus Skepsis sofort gelöscht wird, hängt vor allem davon ab, wie es formuliert ist. Eine betrügerische Phishing-Mail ist meist dann erfolgreich, wenn die richtigen Worte in der Betreffzeile verwendet wurden. Für perfektes SE muss man nicht unbedingt ein Programmierer sein. Die perfekten Social Engineers sind Psychologen, Detektive, Menschenkenner, einige von ihnen beinahe Literaten, die das Backgroundwissen, das sie über eine Person, eine Familie, ein Unternehmen und ihre Firmenkultur haben, in so überzeugende Texte verpacken, dass selbst misstrauische Adressaten nicht davor gefeit sind, ihren Manipulationsversuchen auf den Leim zu gehen.

Freilich schmunzelt man nicht allzu selten, wenn man einen Blick in seinen Spamordner wirft und sich die Betreffzeilen der einzelnen Mails durchliest, die in diesen Ordner verschoben wurden. Kann jemand tatsächlich so naiv sein, auf diese oder jene Mail zu reagieren und tatsächlich auf einen Link zu klicken? – Ja, es gibt Menschen, die es tatsächlich für möglich halten, dass die Witwe eines Öl-Multis freizügig Millionen vergibt, dass Warren Buffet per Mail eine Vier-Millionen-Euro-Spende ankündigt oder dass Apple, Bill Gates oder ein anderer Milliardär Geld verschenkt, einfach so.

Andererseits: Würde nicht jeder von uns auf eine E-Mail hereinfallen, die so gestaltet ist, als käme sie vom Vorgesetzten, dem Partner, den Eltern oder Enkelkindern? Vor allem dann, wenn diese mit Details versehen wäre, die nur jemand kennen kann, dem man beruflich oder privat wirklich nahesteht? Niemand sollte sich in Sicherheit wiegen. Denn wenn es unsere ver- letzlichsten und intimsten Lebensbereiche betrifft, sind wir relativ leicht zu beunruhigen und somit zu knacken.

Mehr im Buch „Internet of Crimes“:

+ Warum künftig Vishing immer populärer wird

+ Welche Tricks beim Social Engineering angewendet werden

+ Wie CEO-Fraud, Deepfake und Voice-Fake zusammenhängen

+ Welche Erfolge man mit Open Source Intelligence erzielt