Statue of Sun Tzu in Yurihama, Tottori, in Japan

SEMICOLON: Social Engineering

Im Bereich der IT-Sicherheit wird dieser Begriff meist genutzt, um eine Vielzahl von Techniken zu beschreiben, die von Kriminellen genutzt werden, um ihre Opfer zu manipulieren.

Statue of Sun Tzu in Yurihama, Tottori, in Japan
Statue of Sun Tzu in Yurihama, Tottori, in Japan

Ziel ist es dabei natürlich, Informationen in Erfahrung zu bringen, die genutzt werden können, um z.B. Spionage zu betreiben. Das Buzzword „Social Engineering“ oder „Social Hacking“ etc. lenkt eher davon ab, dass wir es hier mit den ältesten Methoden z.B. im Rahmen von Spionage zu tun haben. Und Spionage, wie wir wissen, ist das innofiziell älteste Gewerbe der Welt.

Ganz egal wie ausgeklügelt ein Passwort ist, ganz egal wie hoch irgendwelche sonstigen Sicherheitsmaßnahmen sind, schafft man es, einen Geheimnisträger entsprechend zu manipulieren, erübrigen sich alle weiteren Tricks. Das alles hat weniger mit Technik, als mit Psychologie zu tun.

Um etwa 500 v. Chr. verfasste Sun Tzu die 13 Gebote der chinesischen Kriegskunst, die bis heute verbindlich sind. Ein nicht unerheblicher Teil dieses Ansatzes verfolgt im Grunde Strategien, die man heutzutage durchaus im Bereich des Social Engineering verorten könnte. Es sei günstig, seine Vorhaben und Pläne mehrfach zu ändern, Umwege zu gehen und sogar die eigenen Kommandeure und Soldaten irrezuführen. Spione kamen deshalb überall zum Einsatz: am Fürstenhof des Gegners, bei den Adligen, in den Zelten der Feldherrn. Die geheimen Ermittler legten Listen an, die Informationen zu Gewohnheiten des Gegners, Details wie Spitznamen, persönliche Eigenschaften und einiges mehr enthielten. Aus derartigen Listen lassen sich regelrechte Charakterstudien anfertigen. Diese könnten auch heute in der IT Ära genutzt werden, um Passwörtern auf die Spur zu kommen, oder um Erpressung und Manipulation zu ermöglichen. Nichts Neues also.
Foto von Mata Hari
Mata Hari – sicher eine recht angenehme Form des Social Engineering.

Daneben gibt es traditionelle Kriminelle wie Trickbetrüger, Urkundenfälscher, Betrüger – die ebenfalls eigentlich „schon immer“ existierten und ebenfalls Techniken angewendet haben und anwenden, die durchaus als Social Engineering bezeichnet werden können.

Man denke nur an den berühmten und fiesen sog. Enkeltrick. Hier wird durch Manipulation, unter Ausnutzung der Besonderheiten von gealterten Gehirnen, eine falsche Identität entwickelt, um an das Geld von Senioren zu gelangen.
Bekannte „Experten“ aus dem Bereich des Trickbetrugs, wie Kevin Mitnick oder Frank Abagnale, gehören heute jedoch zu den renommiertesten Sicherheitsberatern.

Social „Engineerer“ verlassen sich wahrscheinlich nicht nur und nicht unbedingt zuerst auf Technisches, um an Informationen zu gelangen.  Es ist zwar ziemlich dämlich sein Passwort am Telefon preiszugeben, doch was ist, wenn an einem schönen  Sonntagmorgen, während Frau und Kind schon freudestrahlend den Ausflug erwarten, der „Technik-Support“ Ihres Arbeitgebers anruft? Dieser verlangt dann, dass Sie für ein kleines technisches Update auf Ihrem Computer ins Büro kommen sollen.Nach einigem Hin- und Her mit vielen Details zu ihrem Arbeitsplatz bietet der Servicetechniker Ihnen an das Update zu übernehmen, er braucht aber Ihr Passwort! Na ja – der Rest ist klar. Die Glaubwürdigkeit hängt hier auch von Informationen ab, die der Anrufende im Vorfeld ermittelt hat, und unbemerkt während des Gesprächs weiter erhebt. Gelingt es Ihm mit Insidern und Informationen zu glänzen, die eigentlich nur ein Kollege haben kann – dann hat er sein Ziel praktisch erreicht.

Was sind heute u.a. IT bezogene Techniken des Social Engineering:

  • Vortäuschung falscher Identität.
  • Vortäuschung von Autoritäten.
  • Vortäuschung von E-Mails und Webseiten.
  • Vortäuschung von Interessen und Gemeinsamkeiten.
  • Ausnutzung angenehmer Situationen.
  • Ausnutzung unangenehmer Situationen.
  • Ausnutzung von Vertrauen.
  • Ausnutzung von Nachlässigkeit.