Bei der OSPA (Outstanding Security Performance Awards) Verleihung, welche die Allianz für Sicherheit in der Wirtschaft Norddeutschland e.V. (ASWN) im Jahr 2022 in Hannover im Zoo ausgerichtet hat, stand ich mit Michael Willer von der Human Risk Consulting GmbH auf der Bühne. Kurz vorher hatte Michael das Publikum über die Grundlagen des Social Engineerings informiert. Was das Publikum nicht wusste: Ein Mitarbeiter von Michael hatte sich schon als ungebetener Gast eingeschlichen. Zutritt obwohl er nicht auf der Gästeliste stand? Kein Problem, ein Badge wurde schnell beim Einlass für ihn nachgedruckt, nachdem er sich höflich (und unter falscher Identität) vorgestellt hatte.

Seine Legende war denkbar einfach: Er hatte sich als Fotograf der Location ausgegeben, obgleich wir zu Beginn der Veranstaltung das offizielle Fototeam vorgestellt hatten. Der zusätzliche Fotograf kam trotzdem niemandem verdächtig vor. Er erzählte den Gästen, dass er sich unter anderem darauf spezialisiert habe, tolle Fotos für Social Media Profile zu schießen. Die Fotografierten sollten ihm „ganz einfach“ ihre Visitenkarte geben und er würde Ihnen dann einen Dropbox Link per Mail schicken, mit dem Betreff „Deine OSPA-Fotos 2022“.

Als wir diesen Pen-Test schlussendlich auflösten, hatte der falsche Fotograf etwas mehr als 30 Visitenkarten gesammelt, nahezu ausnahmslos von Sicherheitsmitarbeitenden. Die meisten nahmen es mit Humor und viele haben schworen, dass sie natürlich niemals eine fremde Mail geöffnet hätten.

Das Beispiel zeigt eindrucksvoll, wie leicht es ist, Menschen zu täuschen, selbst diejenigen, die die Gefahren kennen. Der Fotograf hatte das richtige Auftreten, passende Kleidung und einen augenscheinlichen Grund „da zu sein“. Er erschien sympathisch, bewusst harmlos sogar. Ein ganz wichtiger Aspekt: Indem er ihnen tolle LinkedIn Fotos anbot, appellierte an die Eitelkeit der Menschen. Die vertraute, geschlossene Umgebung mit vielen bekannten Gesichtern und zeitigem Ausschank, tat ihr Übriges. Die Anwesenden fühlten sich „sicher“, waren weniger auf der Hut – das Einmaleins des Social Engineerings:

Der Social Engineer nutzt grundlegende psychologische Mechanismen bewusst aus. Er schafft blitzschnell Vertrauen, erzeugt selten eine Bedrohung und weiß genau, wie 97 von 100 Menschen in bestimmten Situationen reagieren. Ein netter Plauderton, überzeugendes authentisches Auftreten und schon sagt das Gehirn: Keine Bedrohung! Warum? Weil „alles passt“.

Um zu verstehen, warum wir reagieren wie wir reagieren, müssen wir in eine Zeit zurück gehen in der es noch keine Sprache gab. Unser Gehirn ist darauf getrimmt (auch wenn wir es manchmal nicht mehr merken) blitzschnell zu kategorisieren: Freund oder Feind? Anzeichen für Bedrohung oder Aggressivität? Diesen Radar weiß der Social Engineer zu umgehen, indem er das Gehirn mit genau den Signalen füttert, die es zur Beruhigung braucht.

Die Anekdote mit dem falschen Fotografen zeigt nur eine von vielen Methoden auf die im Rahmen des Social Engineering eingesetzt werden. Weitere Angriffsmöglichkeiten beinhalten technische Hilfsmittel bzw. Tricks wie den Einsatz einer bekannten Telefonnummer durch sogenanntes „Spoofing“. In so einem Fall spricht man von einer Vishing (Voice Phishing) Attacke.

Stellen wir uns folgende Situation vor: Sie befinden sich auf Dienstreise, mitten im Stress und zwischen den Meetings erhalten Sie einen Anruf von der IT Abteilung Ihres Arbeitgebers. Zwar kennen Sie die Person am anderen Ende der Leitung nicht, aber die Nummer stimmt. Ein kurzer Austausch am Telefon, der vermeintliche Kollege erklärt einen kleinen IT Vorfall, nichts Großes, aber es sollte schon unbedingt gehandelt werden. Sie erhalten gleich eine E-Mail, müssen lediglich auf den Link klicken bzw. ein Programm ausführen und schon ist alles erledigt. Klick, klick, Doppelklick – erledigt, im wahrsten Sinne.

Was genau ist passiert? Mit Hilfe von Spoofing haben die Angreifer die Telefonnummer der IT Abteilung simuliert. Dadurch wächst das Vertrauen und die Awareness sinkt, schließlich passte die Nummer und alles wirkte “echt”.

Es gibt noch zahlreiche andere Angriffsmethoden, die der Social Engineer benutzt, um sich beispielsweise Zugang zu gesicherten Bereichen zu verschaffen (Tailgating) oder aber um ein Opfer per Textnachricht zu manipulieren (Smishing). Die Methoden sind unterschiedlich, das Ziele jedoch häufig gleich: Vertrauen schaffen, Wachsamkeit senken, Zugang erhalten.

Mit der EURO 2024 stehen wir vor einem internationalen Groß-Event in Deutschland. Zehntausende Fans in den Stadien und weit mehr in den Fanmeilen. Dazu unzählige Besucher in den Städten. Ein Spielplatz für den geübten Social Engineer.

Um dieser Herausforderung zu begegnen organisieren die Deutsche Polizeigewerkschaft Hamburg (DPolG) und die Allianz für Sicherheit in der Wirtschaft Norddeutschland e.V. (ASWN) ein Tagesseminar am 28.02. rund um das Thema Social Engineering. Gemeinsam mit der Polizei werden Vertreter der Sicherheitsbranche von unserem Mitglied und Social Engineering Experten Michael Willer einen Einblick in die Grundlagen, Techniken aber auch Abwehrmöglichkeiten des Social Engineering erhalten.

Anmeldungen sind noch möglich unter: https://aswnord.de/media/workshop-dpolg-aswn/

Das Thema Social Engineering ist für den Wirtschaftsschutz von enormer Bedeutung. Denn immer dann wenn Angreifer den technischen Schutzwall nicht überwinden können kommt der Social Engineer ins Spiel. Aus diesem Grund werden wir auch in Zukunft weitere Workshops zu dem Thema anbieten und stehen Ihnen jederzeit mit den Experten aus unserem Mitgliedernetzwerk zur Verfügung.