Suchen

Social Engineering und der Hauptmann von Köpenick Psychisches Hacking der „Schwachstelle Mensch“

| Autor / Redakteur: Dennis Pokupec / Peter Schmitz

Der Kampf gegen Social Engineering wird häufig auf das Aussortieren der lästigen Phishing-Mails reduziert. Dabei nutzen Angreifer noch ganz andere Taktiken für ihr Ziel: den Menschen. Mit Kniffen, tief aus der psychologischen Trickkiste, triggern sie diverse Verhaltensmuster. Das Vorgehen ähnelt stark dem der Figur des Hauptmanns von Köpenick.

Firmen zum Thema

Jetzt wird’s psychologisch: was Social Engineers und der Hauptmann von Köpenick gemeinsam haben.
Jetzt wird’s psychologisch: was Social Engineers und der Hauptmann von Köpenick gemeinsam haben.
(Bild: gemeinfrei / Pixabay )

Security Awareness hat keinen leichten Stand in Unternehmen. Die Mitarbeiter sind tendenziell „Security-müde“, und das Management sieht häufig keine wirksamen Erfolge der jährlichen Sicherheitsunterweisungen. Das hat einen Grund: Security Awareness wird oft mit Verteidigung gegen Phishing-Mails gleichgesetzt. Dabei sind die Abwehrmaßnahmen deutlich weitreichender zu gestalten.

Es geht um psychisches, nicht technisches Hacking

Das Aufsetzen von Security-Maßnahmen krankt häufig bereits am falschen Herangehen. Phishing beispielsweise ist kein IT-Angriff, und Hacker nehmen nicht das IT-System ins Visier, sondern es geht rein um den Faktor Mensch. Kriminelle versuchen, Schwachstellen im System Mensch zu nutzen. Um sich dagegen wirksam verteidigen zu können, müssen Unternehmen die speziellen Angriffsvektoren kennen. Dazu gehört zunächst zu verinnerlichen, dass sie es nicht mit IT-Hackern im klassischen Sinne zu tun haben, sondern mit Spezialisten für Social Engineering.

Social Engineering meint die Manipulation einer Person, damit diese eine bestimmte Handlung ausführt, die in ihrem oder auch nicht in ihrem Interesse liegt. Ein Social Engineer macht sich somit psychische Verhaltensstrukturen des Menschen zu Nutze und entwickelt dementsprechend seine Angriffsvektoren.

Das psychologische Rüstzeug

Für Unternehmen bedeutet die Abwehr von Social Engineering, dass sie anderes Know-how einsetzen müssen, das technische Verteidigen der E-Mail-Postfächer reicht nicht. Die Security-Spezialisten müssen sich in die Arbeit ihrer Gegner hineindenken. Dafür ist psychologisches Verständnis gefragt. Dazu zählen folgende Grundlagen menschlichen Verhaltens:

Reziprozität

Viele Angriffe im Social Engineering zielen auf die Gegenseitigkeit im sozialen Austausch, Reziprozität genannt. Gemeint ist damit eine Art gesellschaftliche Norm, sich für erhaltene Geschenke, Gefälligkeiten oder Ähnliches zu revanchieren. Das Ausmaß der Entschädigung ist in der Regel größer als die erhaltene Gefälligkeit.

Konsistenz

Social Engineers nutzen zudem klassische Verkaufsstrategien, beispielsweise unser aller Neigung, mit früheren Handlungen und Aussagen im Einklang zu sein und sich nicht selbst zu widersprechen. Das kann dazu führen, dass wir gegen unser eigenes Interesse handeln, um uns treu zu bleiben.

Knappheit

Aus der Trickkiste der Verkäufer stammt die Masche, die Begehrlichkeit nach einem Produkt zu steigern, indem man vorgaukelt, dass das Produkt bald vergriffen ist. Möglichkeiten, die uns schwerer erreichbar scheinen, kommen uns besonders wertvoll vor. Dasselbe gilt für Informationen. So wirken Informationen, die zunächst vorenthalten werden, besonders wichtig und man gibt mehr, um diese zu erhalten.

Soziale Bewährtheit

Eine sozialpsychologische Strategie nutzt aus, dass wir ein Verhalten in einer gegebenen Situation als richtig betrachten, weil wir es bei anderen beobachten. Das Ganze wird undifferenziert auch als Herdentrieb bezeichnet. Dieses Prinzip greift umso stärker, je unsicherer wir uns in einer Situation fühlen. Oft lässt sich ein Manipulationsansatz erahnen, wenn gezielt versucht wird, Bewährtheit zu suggerieren. Beispielsweise wird der Neuling in der Abteilung sehr wahrscheinlich darauf hören, wenn der ältere Kollege ihm sagt: „Das macht hier jeder so“. Ein bisschen simpler – aber offenbar erfolgreich – geht die Werbeindustrie vor, wenn sie behauptet: „20.000 zufriedene Kunden können nicht lügen“.

Soziale Anerkennung

Ein grundlegendes Bedürfnis von Menschen ist die soziale Anerkennung, und das nicht erst seitdem es Instagram- und Snapchat-Likes gibt. Dadurch kann ein Angreifer einen Mitarbeiter um einen Gefallen bitten, der die Wertschätzung des Mitarbeiters entweder gegenüber dem Angreifer oder auch gegenüber Dritten erhöht. Beispielsweise kann einem Mitarbeiter versprochen werden, bei Zulieferung von Informationen zu einem angeblichen Projekt, seine Arbeit gegenüber der Geschäftsleitung zu loben.

Sympathie

Eher trivial erscheint es, dass man eher sympathischen Menschen traut und auch eher geneigt ist, ihnen eine Gefälligkeit zu erweisen. Durch den Halo-Effekt kann eine herausstechende Eigenschaft andere, eher schlechte Eigenschaften überstrahlen. Dieser Effekt wurde bei der Attraktivität eines Menschen besonders oft belegt. So werden einem sehr gut aussehenden Menschen auch hohe Intelligenz und beruflicher Erflog zugesprochen. Neben der Attraktivität gibt es weitere Merkmale, die andere Menschen für uns sympathisch erscheinen lassen – beispielsweise die Ähnlichkeit durch Suggerieren derselben Hobbys oder durch Tragen ähnlicher Kleidung. Für Attacken, die auf Sympathie abzielen, ist Wissen über die Firma, ihre Angestellten und die Positionen, in denen sie arbeiten, äußerst nützlich.

Autorität

Eine gerne ausgeübte Masche ist, Druck auszuüben. Zwei bekannte Beispiele, Autorität zur Manipulation einzusetzen, sind der Hauptmann von Köpenick, der sich in falscher Uniform mit schneidigem, militärischem Auftreten geschickt Zugang zur Stadtkasse verschafft hatte, sowie das Milgram-Experiment, in dem erwachsene Menschen bereit waren, jemand anderen zu foltern, nur weil ein Wissenschaftler den Befehl dazu gab.

In Wirtschaftsunternehmen gibt es zwar meistens keine Organisation in Befehlsketten. Dennoch gibt es Möglichkeiten, ein Opfer zum Handeln zu bewegen, zum Beispiel mit Sätzen wie: „Hier geht es um einen sehr wichtigen Auftrag“ oder „Morgen kommt die Revision ins Haus, wenn wir die Unterlagen nicht zusammenhaben, dann …“.

Neugier

Menschen sind von Natur aus neugierig. Der Entdecker in uns ist tief verankert und hat viele wissenschaftliche Errungenschaften hervorgebracht. Im Fall von Social Engineering kann Neugier jedoch schädlich sein. Sie verleitet allzu oft dazu, einen gefundenen USB-Stick oder Ähnliches an den PC anzuschließen.

Security Awareness muss in Fleisch und Blut übergehen

Dieses psychologische Wissen ist die Basis dafür, dass Unternehmen wirksame Verteidigungsstrategien aufbauen können. Nur wer die Arbeitsweise des Gegners kennt, kann passende Abwehrmaßnahmen entwickeln. Die Maßnahme allein reicht allerdings nicht, sondern es braucht auch deren systematische Verankerung in den Arbeitsalltag. Wichtig ist, Security Awareness niemals als statisch zu betrachten, sondern die Strategie laufend anzupassen. Social Engineering und Phishing-Angriffe haben sich in letzter Zeit stark gewandelt. Anstatt auf Quantität und eine Schrotflinten-Strategie setzen Angreifer immer mehr auf gezielte, qualitativ hochwertige Angriffe. Sie setzen viel mehr Recherche ein und kombinieren die erwähnten psychologischen Trigger.

Sensibilisierung durch regelmäßige Trainings und Unterweisungen wird da nicht viel helfen. Die Maßnahmen sind zu theoretisch und werden von Mitarbeitern eher als lästige Pflichtaufgabe verstanden. Ein nachhaltiges Training, das eine Verhaltensänderung anstrebt, braucht die Konditionierung im Tagesgeschäft. Die Mitarbeiter müssen das Erlernte selbst anwenden. Autofahren konnte man auch nicht nach den Theoriestunden, sondern man hat die Praxisstunden benötigt.

Ein ganzheitliches Konzept beinhaltet einen Wissenstransfer der Theorie, ein nachhaltiges und sich kontinuierlich wiederholendes Training sowie eine effektive, ressourcenschonende Steuerung.

Die Theorie bläut sich beispielsweise mithilfe von Live-Hacking-Veranstaltungen ein, bei denen Mitarbeitern und den Sicherheitsverantwortlichen die Psycho-Tricks der Social Engineer so anschaulich wie möglich vor Augen geführt werden.

Rollenspiele in Workshops helfen dabei, das Angriffspotenzial am eigenen Leib zu erleben und sich in die Rolle des Angreifers zu versetzen. Mitarbeiter erhalten ein Gespür dafür, wie Social Engineers denken und handeln. Zudem üben sie so die passenden Abwehrreaktionen.

Unterstützende Spear-Phishing-Kampagnen mit gezielten und persönlichen E-Mails über mehrere Monate fordern die Mitarbeiter immer wieder heraus, das Erlernte unter realen Bedingungen anzuwenden. Im Idealfall orientieren sich die personalisierten E-Mails daran, wie ein Mitarbeiter auf die verschiedenen psychologischen Kniffe reagiert.

Angriffssimulationen, wie Zutrittsversuche, Versuche, einen entsperrten Computer zu nutzen, und Dumpster Diving, steigern das Bewusstsein bei Mitarbeitern für das, was passieren kann, wenn Social Engineering erfolgreich ist.

Damit Security Awareness keine gefühlte Größe im Unternehmen bleibt, brauchen Unternehmen eine Steuerungskomponente in Form von Zielen und Kennzahlen. So lassen sich das Sicherheitsniveau einzelner Bereiche und der Fort- oder Rückschritt messen sowie Maßnahmen anpassen. Kennzahlen helfen zudem dabei, den Schulungsbedarf im Unternehmen zu ermitteln und Trainings danach auszurichten. Das spart Ressourcen und Unternehmen kommen – wie ihre Gegner – weg von einer Schrotflinten-Strategie, und kurieren alle Symptome nicht mit derselben Dosis Medizin.

Über den Autor: Dennis Pokupec ist Information Security Consultant von Sopra Steria. Sein Themenschwerpunkt liegt auf Informationssicherheitsmanagementsysteme und Schulungen zur Security Awareness.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46401254)