Social Engineering – Die gefährliche Kunst der Täuschung

Bei der OSPA (Outstanding Security Performance Awards) Verleihung, welche die Allianz für Sicherheit in der Wirtschaft Norddeutschland e.V. (ASWN) im Jahr 2022 in Hannover im Zoo ausgerichtet hat, stand ich mit Michael Willer von der Human Risk Consulting GmbH auf der Bühne. Kurz vorher hatte Michael das Publikum über die Grundlagen des Social Engineerings informiert. Was das Publikum nicht wusste: Ein Mitarbeiter von Michael hatte sich schon als ungebetener Gast eingeschlichen. Zutritt obwohl er nicht auf der Gästeliste stand? Kein Problem, ein Badge wurde schnell beim Einlass für ihn nachgedruckt, nachdem er sich höflich (und unter falscher Identität) vorgestellt hatte.

Seine Legende war denkbar einfach: Er hatte sich als Fotograf der Location ausgegeben, obgleich wir zu Beginn der Veranstaltung das offizielle Fototeam vorgestellt hatten. Der zusätzliche Fotograf kam trotzdem niemandem verdächtig vor. Er erzählte den Gästen, dass er sich unter anderem darauf spezialisiert habe, tolle Fotos für Social Media Profile zu schießen. Die Fotografierten sollten ihm „ganz einfach“ ihre Visitenkarte geben und er würde Ihnen dann einen Dropbox Link per Mail schicken, mit dem Betreff „Deine OSPA-Fotos 2022“.

Als wir diesen Pen-Test schlussendlich auflösten, hatte der falsche Fotograf etwas mehr als 30 Visitenkarten gesammelt, nahezu ausnahmslos von Sicherheitsmitarbeitenden. Die meisten nahmen es mit Humor und viele haben schworen, dass sie natürlich niemals eine fremde Mail geöffnet hätten.

Das Beispiel zeigt eindrucksvoll, wie leicht es ist, Menschen zu täuschen, selbst diejenigen, die die Gefahren kennen. Der Fotograf hatte das richtige Auftreten, passende Kleidung und einen augenscheinlichen Grund „da zu sein“. Er erschien sympathisch, bewusst harmlos sogar. Ein ganz wichtiger Aspekt: Indem er ihnen tolle LinkedIn Fotos anbot, appellierte an die Eitelkeit der Menschen. Die vertraute, geschlossene Umgebung mit vielen bekannten Gesichtern und zeitigem Ausschank, tat ihr Übriges. Die Anwesenden fühlten sich „sicher“, waren weniger auf der Hut – das Einmaleins des Social Engineerings:

Der Social Engineer nutzt grundlegende psychologische Mechanismen bewusst aus. Er schafft blitzschnell Vertrauen, erzeugt selten eine Bedrohung und weiß genau, wie 97 von 100 Menschen in bestimmten Situationen reagieren. Ein netter Plauderton, überzeugendes authentisches Auftreten und schon sagt das Gehirn: Keine Bedrohung! Warum? Weil „alles passt“.

Um zu verstehen, warum wir reagieren wie wir reagieren, müssen wir in eine Zeit zurück gehen in der es noch keine Sprache gab. Unser Gehirn ist darauf getrimmt (auch wenn wir es manchmal nicht mehr merken) blitzschnell zu kategorisieren: Freund oder Feind? Anzeichen für Bedrohung oder Aggressivität? Diesen Radar weiß der Social Engineer zu umgehen, indem er das Gehirn mit genau den Signalen füttert, die es zur Beruhigung braucht.

Die Anekdote mit dem falschen Fotografen zeigt nur eine von vielen Methoden auf die im Rahmen des Social Engineering eingesetzt werden. Weitere Angriffsmöglichkeiten beinhalten technische Hilfsmittel bzw. Tricks wie den Einsatz einer bekannten Telefonnummer durch sogenanntes „Spoofing“. In so einem Fall spricht man von einer Vishing (Voice Phishing) Attacke.

Stellen wir uns folgende Situation vor: Sie befinden sich auf Dienstreise, mitten im Stress und zwischen den Meetings erhalten Sie einen Anruf von der IT Abteilung Ihres Arbeitgebers. Zwar kennen Sie die Person am anderen Ende der Leitung nicht, aber die Nummer stimmt. Ein kurzer Austausch am Telefon, der vermeintliche Kollege erklärt einen kleinen IT Vorfall, nichts Großes, aber es sollte schon unbedingt gehandelt werden. Sie erhalten gleich eine E-Mail, müssen lediglich auf den Link klicken bzw. ein Programm ausführen und schon ist alles erledigt. Klick, klick, Doppelklick – erledigt, im wahrsten Sinne.

Was genau ist passiert? Mit Hilfe von Spoofing haben die Angreifer die Telefonnummer der IT Abteilung simuliert. Dadurch wächst das Vertrauen und die Awareness sinkt, schließlich passte die Nummer und alles wirkte „echt“.

Es gibt noch zahlreiche andere Angriffsmethoden, die der Social Engineer benutzt, um sich beispielsweise Zugang zu gesicherten Bereichen zu verschaffen (Tailgating) oder aber um ein Opfer per Textnachricht zu manipulieren (Smishing). Die Methoden sind unterschiedlich, das Ziele jedoch häufig gleich: Vertrauen schaffen, Wachsamkeit senken, Zugang erhalten.

Mit der EURO 2024 stehen wir vor einem internationalen Groß-Event in Deutschland. Zehntausende Fans in den Stadien und weit mehr in den Fanmeilen. Dazu unzählige Besucher in den Städten. Ein Spielplatz für den geübten Social Engineer.

Um dieser Herausforderung zu begegnen organisieren die Deutsche Polizeigewerkschaft Hamburg (DPolG) und die Allianz für Sicherheit in der Wirtschaft Norddeutschland e.V. (ASWN) ein Tagesseminar am 28.02. rund um das Thema Social Engineering. Gemeinsam mit der Polizei werden Vertreter der Sicherheitsbranche von unserem Mitglied und Social Engineering Experten Michael Willer einen Einblick in die Grundlagen, Techniken aber auch Abwehrmöglichkeiten des Social Engineering erhalten.

Anmeldungen sind noch möglich unter: https://aswnord.de/media/workshop-dpolg-aswn/

Das Thema Social Engineering ist für den Wirtschaftsschutz von enormer Bedeutung. Denn immer dann wenn Angreifer den technischen Schutzwall nicht überwinden können kommt der Social Engineer ins Spiel. Aus diesem Grund werden wir auch in Zukunft weitere Workshops zu dem Thema anbieten und stehen Ihnen jederzeit mit den Experten aus unserem Mitgliedernetzwerk zur Verfügung.

Weitere News

  • Historischer Schlag gegen die Drogenmafia: Innensenator Andy Grote zur erfolgreichen Sicherstellung von 2,1 Tonnen Kokain in Hamburg

    Historischer Schlag gegen die Drogenmafia: Innensenator Andy Grote zur erfolgreichen Sicherstellung von 2,1 Tonnen Kokain in Hamburg

  • Was kommt auf Staat und Wirtschaft im Spannungsfall und in anderen Fällen des äußeren (und inneren, Anm.) Notstands zu?

    Was kommt auf Staat und Wirtschaft im Spannungsfall und in anderen Fällen des äußeren (und inneren, Anm.) Notstands zu?

  • Bekämpfung der Organisierten Kriminalität in Deutschland: Weiter höchstmöglicher Ermittlungsdruck

    Bekämpfung der Organisierten Kriminalität in Deutschland: Weiter höchstmöglicher Ermittlungsdruck

  • ASW fordert Schutz von Sicherheitsmitarbeitern!

    ASW fordert Schutz von Sicherheitsmitarbeitern!

  • Russische Sabotage: Sicherheitshinweise für die Wirtschaft

    Russische Sabotage: Sicherheitshinweise für die Wirtschaft

  • Großrazzien bei Sicherheitsdiensten-Verdacht: Steuerbetrug in Millionenhöhe. Ein Kommentar der ASW Nord

    Großrazzien bei Sicherheitsdiensten-Verdacht: Steuerbetrug in Millionenhöhe. Ein Kommentar der ASW Nord

  • Dunkelfeldstudie beleuchtet erstmals jüdisches Leben und Alltag in Hamburg – ASW Nord auf der Pressekonferenz

    Dunkelfeldstudie beleuchtet erstmals jüdisches Leben und Alltag in Hamburg – ASW Nord auf der Pressekonferenz

  • Ihre Meinung ist gefragt! ASW-Sicherheitsumfrage zum Wirtschaftsschutz

    Ihre Meinung ist gefragt! ASW-Sicherheitsumfrage zum Wirtschaftsschutz

  • Tödliche Angriffe und die Folgen. Die ASW Nord zu den Morden an einem Sicherheitsmitarbeiter und einem Polizisten

    Tödliche Angriffe und die Folgen. Die ASW Nord zu den Morden an einem Sicherheitsmitarbeiter und einem Polizisten

  • Wirtschaftsschutz: Verbände und Netzwerke als Schlüssel zur Resilienz von Unternehmen – Interview mit Thorsten Neumann von ASWN und TAPA

    Wirtschaftsschutz: Verbände und Netzwerke als Schlüssel zur Resilienz von Unternehmen – Interview mit Thorsten Neumann von ASWN und TAPA

  • Kampf gegen internationale Drogenkriminalität: Anonymes Hinweisgeberportal für Hafenbeschäftigte vorgestellt

    Kampf gegen internationale Drogenkriminalität: Anonymes Hinweisgeberportal für Hafenbeschäftigte vorgestellt

  • Brandaktuell: Bekämpfung der Organisierten Kriminalität und des Drogenhandels: Europäische Konferenz im Hamburger Hafen

    Brandaktuell: Bekämpfung der Organisierten Kriminalität und des Drogenhandels: Europäische Konferenz im Hamburger Hafen

  • Wirtschaftsschutzkonferenz Nord – „Wirtschaftsschutz ist unsere Leidenschaft“

    Wirtschaftsschutzkonferenz Nord – „Wirtschaftsschutz ist unsere Leidenschaft“

  • Cannabisgesetz: Schlechtes Handwerk! – Ein Kommentar der ASW Nord

    Cannabisgesetz: Schlechtes Handwerk! – Ein Kommentar der ASW Nord

  • Stärkung des Wirtschaftsschutzes durch Informationsaustausch – Kritik an der Informationspolitik

    Stärkung des Wirtschaftsschutzes durch Informationsaustausch – Kritik an der Informationspolitik

  • Kursbuch für den Hafenstandort Deutschland

    Kursbuch für den Hafenstandort Deutschland

  • Gemeinsames Tagesseminar von Polizei Hamburg und Sicherheitsdienstleistung – ein zukunftsweisendes Format

    Gemeinsames Tagesseminar von Polizei Hamburg und Sicherheitsdienstleistung – ein zukunftsweisendes Format

  • Nationale Wirtschaftsschutzstrategie: Stärkerer Schutz von Wirtschaft und Wissenschaft vor Spionage und Sabotage

    Nationale Wirtschaftsschutzstrategie: Stärkerer Schutz von Wirtschaft und Wissenschaft vor Spionage und Sabotage

  • Save the Date: Schulterschluß im Norden: Wirtschaftsschutzkonferenz Nord am 16.04.2024 in Bremen

    Save the Date: Schulterschluß im Norden: Wirtschaftsschutzkonferenz Nord am 16.04.2024 in Bremen

  • Hamburg, na sicher! Der Grüne Sicherheitskongress – ASW Nord war dabei

    Hamburg, na sicher! Der Grüne Sicherheitskongress – ASW Nord war dabei