DLG-Expertenwissen 10/2024

Social Engineering 

Die Bedeutung des Faktors „Mensch“ in der Informationssicherheit in der Lebensmittelwirtschaft

Teil 2: Angriffsmethoden der Täter und Maßnahmen zur Abwehr

DLG-Expertenwissen 10/2024
1. Auflage, Stand 10/2024

Autorin:

  • Jennifer Strunz, Social Engineer & Security Consultant
  • Christian Urban, Kommunikationswissenschaftler
  • Alexander Fischer, Geschäftsführer - Human Risk Consulting GmbH, Bad Wildungen info@hrc-gmbh.de

Kontakt:

DLG-Ausschuss Lebensmittelqualität und Sensorik
Dr. Désirée Schneider (Vorsitzende)
Bianca Schneider-Häder (Projektleiterin)
sensorik@DLG.org

Bild © RMTH – stock.adobe.com
© RMTH – stock.adobe.com

Wie bereits im ersten Teil des Expertenwissens aufgezeigt, tritt immer häufiger sowohl im privaten als auch im beruflichen Lebensbereich das Phänomen des „Social Engineering“ in Erscheinung. Dabei versuchen „kriminelle, skrupellose Energien“, über die gezielte Manipulation und Beeinflussung von menschlichem Verhalten gesetzeswidrige Handlungen umzusetzen. Dies können Telefon- oder Türgespräche von fiktiven Verwandten oder Bankangestellten sein, die die Freigabe von Finanzmitteln und Wertsachen fordern oder digitale „Ansprachen“ zur Preisgabe von vertraulichen Informationen.

Das aus zwei Teilen bestehende Expertenwissen, beleuchtet das Thema „Social Engineering“ näher und zeigt anhand fiktiver Fallbeispiele aus der Lebensmittel-Praxis die Verhaltensweisen der kriminellen Täter auf. Während im Teil 1 das Verhalten der Täter im Vordergrund stand, werden im Teil 2 die Angriffsmethoden der Täter und die Maßnahmen zur Abwehr thematisiert.

Teil 2: Angriffsmethoden der Täter und Maßnahmen zur Abwehr

Social Engineering-Methoden

Im Folgenden werden verschiedene Social Engineering-Methoden vorgestellt und erläutert:

OSINT (Open-Source Intelligence)

Informationsbeschaffung: Angreifer wie Kai nutzen OSINT, um im Voraus Informationen über das Zielunternehmen und dessen Mitarbeiter zu sammeln. Dies kann durch das Auswerten von Social-Media-Profilen, Websites oder öffentlich zugänglichen Dokumenten geschehen. 

Definition: Open Source Intelligence bezeichnet die Sammlung und Analyse von öffentlich zugänglichen Informationen aus verschiedenen offenen Quellen, wie z. B. Webseiten, sozialen Medien, Nachrichtenartikeln, Foren usw. Diese Informationen werden genutzt, um nützliche Erkenntnisse zu gewinnen. Das Nutzen von OSINT-Techniken findet sich in den Bereichen Cybersicherheit, Strafverfolgung und bei Nachrichtendiensten wieder1)


1)  https://data.europa.eu/en/publications/datastories/what-osint-open-source-intelligence 

© Skórzewiak– stock.adobe.com

Fallbeispiel: Kai hat im Internet so nicht nur allgemeine Informationen wie die Öffnungszeiten der Bäckerei recherchieren können. Auf der Facebook-Seite der Bäckerei hat er einen Post von vor zwei Monaten gefunden, in dem Erika – seine spätere Zielperson in der Bäckerei – auf einem Foto mit breitem Lächeln hinter der Bedientheke als neue Mitarbeiterin vorgestellt wird. Mehrere Personen haben den Post der Bäckerei geliked, wobei drei von ihnen öffentlich zugängliche Profile mit einsehbaren Freundeslisten haben. Schnell ist dort das eine Profil gefunden, mit dem alle drei verknüpft sind – das von Erika. Obwohl Erikas Profil nur das Bild einer Sonnenblume zeigt, hat Kai sie so auch auf Facebook identifizieren können. Bei der Durchsicht aller Nutzer, die das Bild von Erikas erstem Arbeitstag geliked haben, stößt Kai auf das Profil einer Frau namens Annemarie. Schnell hat er Annemarie als Erikas Schwester identifiziert. Annemarie hat ein Foto mit dem Titel „Oma Hildes 80. Geburtstag“ gepostet, welches neben der Jubilarin auch Annemarie und eine dritte Person zeigt: Erika. Der Kommentar eines Nutzers unter dem Foto „Ihr beide habt eine tolle Oma, liebe Grüße!“ stellt die familiäre Verbindung schließlich zweifelsfrei her. Und tatsächlich, obwohl Erika selbst keine Bilder von sich veröffentlicht hat, gibt das Profil ihrer Schwester auch einige Informationen über sie preis. Erika ist auf mehreren von Annemaries Fotos zu sehen, stets im Kreis der Familie und Freunden, und stets mit einem offenen, warmen Lächeln. Kai kann sich so bereits vor dem ersten Kontakt in der Bäckerei ein Bild von der jungen Frau machen, die er später gezielt mit seiner Rolle als Lebensmittelkontrolleur konfrontieren wird. 

Auch dass der Geschäftsführer an genau diesem Mittwochmorgen nicht im Haus sein wird, hat Kai aus frei zugänglichen Quellen schließen können. Nicht zufällig hat Kai den Tag seines Angriffs auf den Termin der regionalen Back- und Konditoreimesse „Nordback“ gelegt. Der Geschäftsführer der Bäckerei hatte bereits vor zwei Wochen auf seinem LinkedIn Profil gepostet, dass er sich darauf freut, bei der Nordback persönlich mit einem Messestand vertreten zu sein. Somit kann Kai davon ausgehen, dass bis auf das Verkaufspersonal niemand in der Bäckerei für eventuelle Rückfragen erreichbar sein würde, wenn er zu seiner „unangemeldeten Kontrolle“ erscheint. 

Schließlich war es dann noch einfach, über den Internetauftritt des Verbands der Lebensmittelkontrolleure des Bundeslandes den Auftritt in der Rolle perfekt vorzubereiten. Eine 15-minütige Reportage auf der Homepage zeigt echte Lebensmittelkontrolleure bei ihrer Arbeit, was es Kai ermöglicht nicht nur Kleidung und Ausrüstung passend vorzubereiten, sondern auch einen Eindruck von deren Auftreten und den Abläufen einer unangemeldeten Kontrolle zu bekommen. 

© Johannes – stock.adobe.com

Phishing-Methoden

Täuschung durch Autorität: Phishing setzt oft auf Autoritätsvortäuschung, um nicht nur das Vertrauen des Opfers zu gewinnen, sondern auch um die Zielperson in bereits verinnerlichte, soziale Rollen zu weisen. Aussagen und Anweisungen von Autoritätspersonen wie Polizeibeamten, Behördenmitarbeitern oder vermeintlichen Vorgesetzten im Beruf werden ab einem gewissen Punkt nicht mehr hinterfragt oder angezweifelt, da das Anerkennen von Autorität in unserer Sozialisierung fest verankert ist. 

Definition: Phishing bezeichnet den Versuch, über gefälschte E-Mails, Webseiten oder SMS an persönliche Daten wie Passwörter oder Bankinformationen zu gelangen, um diese kriminell zu missbrauchen. Phisher geben sich oft als vertrauenswürdige Dienstleister aus, um Opfer zur Preisgabe sensibler Daten zu bewegen2)

Fallbeispiel: Kai Wolfhardt nutzt diesen Reflex bei Erika ganz bewusst durch psychologische Manipulation aus. Ganz am Ende setzt Kai dazu eine klassische Phishing-Methode ein: Bevor er sich endgültig von Erika verabschiedet, hinterlässt er ihr eine Visitenkarte. Sie möge in seinem Büro anrufen, falls sie noch Fragen habe. Immerhin habe er Erika ja völlig überrumpelt und unangemeldet mitten in der Backstube gestanden, scherzt er mit einem Augenzwinkern, bevor er durch die Tür des Verkaufsraums zurück zu seinem Auto geht. 

Erika ruft wenig später die Nummer auf der Visitenkarte an, um sich zu vergewissern, dass auch wirklich alles ordnungsgemäß abgelaufen ist. Immerhin arbeitet sie erst seit einigen Wochen in der Bäckerei und hofft, auch wirklich alles richtig gemacht zu haben. Der vermeintliche Mitarbeiter der Lebensmittelaufsicht am anderen Ende der Leitung ist jedoch ein weiterer Angreifer, den Kai bewusst dort platziert hat: „Hat Herr Wolfhardt es doch heute schon zu Ihnen in die Bäckerei geschafft, das freut mich! Machen Sie sich keine Gedanken. Wenn etwas bei der Kontrolle nicht in Ordnung gewesen wäre, hätte mein Kollege das längst hier im Büro gemeldet“, hört Erika ihn sagen. Das zerstreut ihre letzten Zweifel, denn wenn das Büro über die Kontrolle Bescheid wusste, und es keine Beanstandungen gab, muss ja wirklich alles in Ordnung sein. Erika geht beruhigt zurück hinter den Bedientresen und widmet sich der nächsten Kundin.


 2) https://wirtschaftslexikon.gabler.de/definition/phishing-53396 

Baiting/Ködern

Definition: Manipulation von Menschen und Umgebung: Angreifer nutzen oft Lockmittel, um Neugier oder Wünsche beim Opfer zu wecken. Baiting ist eine Social-Engineering-Technik, bei der Angreifer einen „Köder“ (engl. „bait“) verwenden, um Opfer zur Preisgabe sensibler Informationen oder zur Installation von Malware zu verleiten. Der Köder kann z. B. ein USB-Stick sein, der in der Öffentlichkeit gezielt platziert wird oder verlockende Download-Angebote im Internet. Ziel ist es, das Opfer aus Neugier oder Gier in eine Falle zu locken. Baiting kann aber auch anders eingesetzt werden, wie das folgende Fallbeispiel zeigt:

Fallbeispiel: Im Szenario nutzt Kai seine freundliche Art und die angebliche Autorität, um Erika dazu zu bringen, ihm Zugang zu Bereichen zu gewähren, die normalerweise geschützt wären. Kai selbst ist in diesem Fall das „Köderobjekt“. Erikas Aufgabe in der Bäckerei ist es, täglich eine Vielzahl von Kunden zu bedienen und auch auf unvorhergesehene Situationen im Alltag einer Bäckerei freundlich und kompetent zu reagieren. Obwohl ihr die Arbeit Spaß macht, kostet sie ein langer Arbeitstag hinter dem Bedientresen körperlich wie mental viel Kraft. Nicht jeder Kunde hat freundliche Worte übrig, und oft herrscht Hektik auf beiden Seiten der Warenauslage. Ein sympathisches Gespräch und eine konfliktfreie Interaktion mit den Kunden – oder in diesem Fall mit dem vermeidlichen Lebensmittelkontrolleur – sind deshalb ein passendes Lockmittel für Erika. Hier sind gar keine Geschenke oder ähnliches nötig. Die Aussicht darauf, dass die Kontrolle schnell vorüber ist und die Gesprächsatmosphäre mit dem Kontrolleur weiter so menschlich und angenehm bleibt, reichen völlig aus, um Erika einen persönlichen Vorteil in Aussicht zu stellen. So verzichtet sie darauf, Kais Ausweis vor Beginn der Kontrolle einzufordern, denn sie möchte den „persönlichen Gefallen“, den der Kontroller ihr durch seine ruhige und verständnisvolle Art gerade erweist, auf keinen Fall aufs Spiel setzten. 
 

©  Romolo Tavani – stock.adobe.com
© Romolo Tavani – stock.adobe.com

Kai wiederum hat sich Erika ganz bewusst als Opfer für seinen Angriff ausgesucht. Über offen zugängliche Informationen aus sozialen Medien hat er sich bereits ein gutes Bild von Erikas Persönlichkeit machen können. Die Fotos im Profil von Erikas Schwester Annemarie geben auch einen Einblick in das Leben der jungen Frau. Ein Sinn für Familie, ein behütetes ländliches Umfeld, ein Wochenendausflug ins große Hamburg als der Höhepunkt des Jahres, und jetzt der neue Job in der Kreisstadt. Jahrelange Erfahrung im Umgang mit und schließlich in der Manipulation von Menschen sagen Kai, dass genau diese junge Bäckereiverkäuferin genau für diese Form des Angriffs empfänglich sein wird. Sie ist menschenbezogen, stets bemüht anderen zu gefallen und Konflikte zu vermeiden, und wird ihr Selbstbewusstsein erst mit den Jahren voll ausgeprägt haben. Sie möchte keine Fehler machen, doch genauso wenig möchte sie andere Menschen verärgern. Sie fasst Vertrauen in Menschen, die Sicherheit und Kontrolle ausstrahlen. 

Kai weiß nach unzähligen Interaktionen mit Opfern genau, wer für welchen „Köder“ empfänglich ist. Ein anderes Opfer hätte sich von freundlichen Worten wohlmöglich gar nicht beeindrucken lassen oder hätte darauf gar misstrauisch reagiert. Einen Ausweis präsentiert zu bekommen wäre für andere vielleicht der passende Schlüssel gewesen, auch wenn es keinen Anhaltspunkt gegeben hätte, die Echtheit des Ausweises zu prüfen. Regeln strikt einzuhalten, dabei unnötigen Smalltalk zu vermeiden und Formalien gemeinsam abzuarbeiten, kann ein Köder für Menschen sein, die soziale Interaktion scheuen und deshalb dankbar für eine „berührungsarme“ Lösung sind. Erika ist jedoch definitiv kein solcher Mensch. Der passende Köder für Erika ist ein Lächeln, und Kai hat dies schnell erkannt, und für seine Zwecke ausgenutzt. 
 

Pretexting

Definition: Erstellung einer fiktiven Identität: Ein zentraler Teil von Pretexting ist das Erstellen einer plausiblen Geschichte oder Identität, um das Opfer zu manipulieren. 

Fallbeispiel: Kai hat sich als Lebensmittelkontrolleur ausgegeben, um seine Ziele zu erreichen. Dabei reicht es ihm nicht, einfach spontan zu behaupten, ein solcher zu sein. Kai hat sich mehrere Tage lang in seine Rolle hineingedacht und recherchiert. Das passende Auftreten bei einer unangemeldeten Kontrolle hat er anhand von Reportagen auf der Homepage der Lebensmittelaufsicht einstudiert. Wie treten sie an die „Kunden“ heran? Welche Sprache nutzen sie dabei? Gibt es wohlmöglich Dinge, die ein Außenstehender eigentlich nicht wissen kann, die jedem Eingeweihten aber sofort zeigen würden, dass es sich hier um keinen echten Lebensmittelkontrolleur handelt? Die passend ausgewählte Ausrüstung verstärken automatisch wie unbewusst ihren Eindruck, dass Kai ein Profi in seinem Fach ist. 

Auf mögliche Fragen von Erika hätte er passende Antworten parat gehabt – etwa, dass er vor seiner Ausbildung zum Lebensmitteltechniker selbst mal im Restaurant seiner Eltern gearbeitet habe. Dass er seit einigen Jahren bei der Lebensmittelaufsicht verbeamtet sei, aber erst vor einigen Monaten aus familiären Gründen in den Norden zog, und deshalb neu im Landkreis ist. Dass er an diesem Mittwochmorgen eigentlich gerne auf die Messe „Nordback“ gegangen wäre, aber der hohe Krankenstand bei seinen Kollegen ihm keine Zeit dafür lässt. Dass er sonst hauptsächlich in fleischverarbeitenden Betrieben kontrolliert, und er deshalb bei der Kontrolle einer Bäckerei selbst etwas aufgeregt sei. Aber das hätte er Erika nur ganz im Vertrauen verraten, falls Erika misstrauisch geworden wäre. Auf jede Frage und für jede Situation hätte er eine plausible Erklärung gehabt, die seine Rolle als Lebensmittelkontrolleur nicht nur bestätigt, sondern mit noch mehr Leben füllt und noch glaubhafter macht.

Erika sieht stets nur das, was sie zu sehen erwartet. Ein Kontrolleur kontrolliert, und erfüllt dabei die Erwartungen, die sie an eine solche Kontrolle hat. Nichts gibt ihr einen Anlass, Kai Wolfhardts Auftreten zu hinterfragen, denn das Bild, welches dieser abliefert, ist für sie stimmig. Kais stets gewissenhafte Vorbereitung zahlt sich somit bei diesem Angriff abermals aus. 

© Intelligent Horizons – stock.adobe.com
© Intelligent Horizons – stock.adobe.com

Tailgating

Definition: Unauffälliges Eindringen: Tailgating nutzt die Höflichkeit oder Unaufmerksamkeit der Mitarbeiter aus, um unbefugt Zugang zu gesicherten Bereichen zu erhalten, oft ohne die eigenen Zugangsdaten zu nutzen.  

Fallbeispiel: Erika hat Kai bereitwillig in die Produktion geführt, doch auch von hier aus hat Kai noch weiter vordringen können. Zum Ende der angeblichen Kontrolle bittet er darum, noch einmal auf die Toilette gehen zu dürfen, was Erika ihm bereitwillig zugesteht. Doch statt den Flur entlang und dann links zur Toilette zu gehen, biegt er rechts ab und folgt einem Bäckergesellen in Richtung der Lagerräume. Dieser hält Kai sogar noch freundlich die Tür auf, die ansonsten mit einem Zahlenschloss gesichert ist. Der Bäckergeselle hatte Kai zuvor schon gemeinsam mit Erika in der Produktion gesehen und schöpft jetzt keinerlei Verdacht, als dieser freundliche Herr sich nun weiterhin frei in den Räumen der Bäckerei bewegt. Er scheint hier hinzugehören, warum sonst hätte die gewissenhafte Erika ihn hinter den Tresen gelassen.  Kai bedankt sich freundlich und hält mit ausgestrecktem Arm die sich langsam schließende Tür seinerseits auf, damit der Bäckergeselle, nun beladen mit einem schweren Sack Dinkelmehl, erneut hindurchgehen kann. Kai hat jetzt freien Zugang zum sonst verschlossenen Lager und macht auch hier noch einige Fotos. 
 

Rapport aufbauen

Definition: Beziehungsaufbau: Angreifer arbeiten bewusst daran, eine Beziehung zu ihrem Opfer aufzubauen, um Vertrauen und Sympathie zu gewinnen. Dies kann durch gemeinsames Lachen, freundliche Gesten oder das Zeigen von Verständnis geschehen. 

Fallbeispiel: Kai nutzt seinen Charme und seine freundliche Art, um Erika zu beruhigen und Vertrauen aufzubauen. Erika wird sich noch lange an diesen Mittwochvormittag in der Bäckerei erinnern, doch genau das ist das Ziel von Kais Plan. Denn er ist es, der in Erinnerung bleiben wird, und nicht die vermeintliche Lebensmittelkontrolle. 

Psychologisch betrachtet vollbringt Erika als Bäckereiverkäuferin jeden Tag Höchstleitungen. Sie begrüßt, bedient und verabschiedet täglich hunderte Kunden. Jede dieser Interaktionen folgt einem bestimmten Muster, das uns so trivial und gleichzeitig perfekt einstudiert erscheint: 

Guten Morgen.
Moin. Zwei Franzbrötchen bitte.
Gerne. Darf es sonst noch etwas sein?
Nein, danke.
Drei Euro sechzig bitte. Danke. 
Auf Wiedersehen.  
Tschüss.

Erika führt diesen Dialog so oder so ähnlich unzählige Male, ohne eine wirkliche Verbindung zu dem Kunden oder der Kundin auf der anderen Seite der Warenauslage aufzubauen. Und beim nächsten Kunden ist der vorherige schon wieder vergessen, da diese Interaktionen nicht auf einer emotionalen, sondern einer rationalen Ebene stattfinden. Müsste Erika zu jedem Menschen, der die Bäckerei betritt, eine persönliche Beziehung aufbauen, bevor sie zwei Franzbrötchen verkauft, wäre sie spätestens zur Mittagspause völlig erschöpft. Dies hat nichts mit mangelnder Kundenfreundlichkeit oder Desinteresse zu tun, sondern ist ein ganz natürlicher Mechanismus unseres Gehirns, Energie zu sparen. Anders als im „Autopilot“ wären so viele Begegnungen und Verkaufsgespräche gar nicht zu leisten.
 

© littlewolf1989 – stock.adobe.com
© littlewolf1989 – stock.adobe.com

Hin und wieder kommt jedoch eine persönliche Verbindung zustande, ohne dass es willentlich beabsichtigt ist: Eine Kundin trägt ein T-Shirt von Erikas Lieblingsband, und spontan sprechen die beiden Frauen kurz darüber, dass sie neulich dasselbe Festival besucht haben, während Erika die Backwaren in die Papiertüte verpackt. Oder eine alte Dame betritt die Bäckerei, die Erika sofort an ihre geliebte Oma erinnert. Die Dame trägt sogar so eine Seidenbluse, wie auch Oma sie zu allen passenden oder unpassenden Anlässen anhat. Und die alte Dame ist so süß und freundlich, dass Erika ihr ein extra großes Stück Sahnetorte einpackt. Als sie ihr schließlich hilft, die verpackten Tortenstücke im Korb ihres Rollators zu verstauen, hört Erika geduldig zu, als die alte Dame erzählt, dass ihre Enkelin vom Studium in Hamburg heute zu Besuch ist. Hamburg – ja, da war Erika vor einigen Monaten auch mit ihrer Schwester für ein Wochenende, das war abenteuerlich. Die Begegnung mit der alten Dame bleibt Erika noch lange im Gedächtnis, und wenn sie sie das nächste Mal sieht, wird sie sich bestimmt danach erkundigen, wie es der Enkelin denn in Hamburg gefällt. 

In beiden Situationen ist eine persönliche Verbindung zustande gekommen, es wurde „Rapport“ aufgebaut. Erikas Gehirn hat mehr Energie als sonst für diese Interaktionen aufgewendet, denn es gab einen persönlichen Anhaltspunkt, einen Anreiz, eine soziale Bindung zu formen. Und mit beiden – der jungen Festivalbesucherin und der alten Dame mit der Enkelin in Hamburg – wird es bei einer möglichen nächsten Begegnung Punkte zum Wiederanknüpfen geben. 

Kai Wolfhardt macht sich diese Arbeitsweise unseres Gehirns zunutze. Er bemüht sich bewusst darum, eine persönliche Verbindung zu seinen Opfern aufzubauen. In Erikas Fall fällt ihm das leicht, denn die junge Frau reagiert prompt auf seine menschliche, sympathische Art. Kai hätte jedoch noch einige Ideen vorbereitet, falls es ihm unerwartet schwergefallen wäre, Erikas Vertrauen zu gewinnen. Er hatte Erika im Vorfeld ja eingehend studiert und somit viele Anhaltspunkte, um sie durch das scheinbar beiläufige Einstreuen einiger persönlicher Informationen eine Verbindung zu ihm aufbauen zu lassen: Gerade im Auto hatte er das Pflegeheim am Telefon, in dem seine Oma wohnt. Deshalb war er im Kopf ganz woanders und hat den Ausweis vergessen. Und er ist gerade erst aus Hamburg in die Provinz gezogen und kennt sich deshalb noch nicht so gut aus. Ein Wunder, dass er die Bäckerei gefunden hat. Hamburg ist eine großartige Stadt. 

„Waren Sie schon einmal dort, Erika?“ Kai weiß ganz genau, diese Themen würden bei Erika spontan etwas Positives auslösen. Und dieses Positive würde sie mit ihm, Kai Wolfhardt, dem Angreifer, verbinden. Und schon hätte er einen persönlichen Zugang zu ihr, Erika, dem Opfer des Angriffs. Genau deshalb wird sich Erika noch lange an diesen Mittwochvormittag erinnern. Nicht weil der Lebensmittelkontrolleur ihr verdächtig vorkam, sondern weil sie ihn doch unbedingt noch fragen wollte, ob er vielleicht einen Rat für sie hätte, wo man in Hamburg gute Bäckereiverkäuferinnen sucht. Träumen von einem Leben in der großen Stadt darf man ja, sagt sich Erika. 

Reziprozität

Definition: Geben und Nehmen, und die Vermeidung von Ungleichgewicht: Die Regel der Reziprozität besagt, dass Menschen sich verpflichtet fühlen, eine Gefälligkeit zu erwidern (siehe Abb.). Dieses Verhalten ist tief im Bedürfnis nach sozialer Bestätigung verwurzelt. Im Laufe der Evolution hat das menschliche Gehirn Mechanismen für soziales Verhalten entwickelt, um die Kooperation in Gruppen zu erleichtern. Menschen, die freundlich sind und keine Schulden zurücklassen, werden in sozialen Verbünden positiv wahrgenommen und erhalten Anerkennung in Form von Schutz und Unterstützung. Das Bedürfnis diese Bestätigung zu erhalten kann so stark sein, dass Menschen Handlungen durchführen, die rational betrachtet riskant oder unangemessen sind. Alle Zweifel werden dann von der eigenen Wahrnehmung ignoriert, nur um Anerkennung oder positive Rückmeldungen von anderen zu bekommen.

Abbildung 1: Reziprozität, das gegenseitige Geben und Nehmen: Person A gibt Person B etwas, Person B fühlt sich  verpflichtet, Person A bringt ein Anliegen vor, Person B, der sich verpflichtet fühlt, gewährt das Anliegen, nun fühlt sich  Person A Person B verpflichtet und so geht der Kreislauf weiter. (eigene Darstellung)
Abbildung 1: Reziprozität, das gegenseitige Geben und Nehmen: Person A gibt Person B etwas, Person B fühlt sich verpflichtet, Person A bringt ein Anliegen vor, Person B, der sich verpflichtet fühlt, gewährt das Anliegen, nun fühlt sich Person A Person B verpflichtet und so geht der Kreislauf weiter. (eigene Darstellung)

Fallbeispiel: Angreifer nutzen diese psychologische Prägung, um das Opfer zu Handlungen zu bewegen, die es sonst nicht in Betracht ziehen würde. Kai Wolfhardt betritt die Bäckerei an diesem Mittwochmorgen in der festen Absicht, zuerst zu „geben“, um später so viel wie möglich zu „nehmen“. Er setzt seine taktischen Gefälligkeiten gezielt ein, um Erika das Gefühl zu geben, dass sie ihm etwas schuldet. Er zeigt Verständnis und Geduld, als sie nervös reagiert, und lobt sie mehrfach für ihre Sorgfalt und die Qualität der Backwaren. Erika fühlt sich gesehen und wertgeschätzt, was in ihr das Bedürfnis weckt, diese positive Interaktion zu erwidern.

Es entsteht eine Art Handel mit Gefälligkeiten und positiven Gefühlen, der jedoch nicht explizit ausgesprochen werden muss. Reziprozität findet praktisch immer auf der impliziten Ebene statt. Kai gibt Erika indirekt zu verstehen, dass er bereit ist, die Lebensmittelkontrolle schnell, unauffällig und gegebenenfalls sogar wohlwollend durchzuführen, und ihr dadurch Stress und mögliche Schwierigkeiten im Nachgang zu ersparen. Kai weiß aus Erfahrung, dass dies in Erika den unterbewussten Wunsch auslösen wird, ihm die gleiche Form von Entgegenkommen zurückzugeben. Nicht nur Freundlichkeit und Sympathie werden so miteinander in ein Gleichgewicht gebracht, sondern auch das Handeln beeinflusst. „Der nette Mann“, so denkt Erika, „kommt mir schon so sehr entgegen mit seiner ruhigen Art und seinem Verständnis für meine Nervosität. Eigentlich müsste ich seinen Ausweis ja noch vor der Kontrolle prüfen, und nicht erst hinterher. Aber wenn ich ihn jetzt sofort zurück zu seinem Auto laufen lasse, um seinen Ausweis zu holen, denkt er bestimmt ich wäre undankbar und wolle absichtlich schwierig sein. Und so nett wie er ist, wird das schon alles in Ordnung sein. Habe ich ein Glück, dass er es mir so leicht macht, gerade heute, wo ich allein hier bin.“ Und so führt Erika Kai beinahe sorglos durch die Räumlichkeiten der Bäckerei, um „ihren“ Teil des ungeschriebenen sozialen Vertrags zu erfüllen und kein Ungleichgewicht in Freundlichkeit und Entgegenkommen entstehen zu lassen. Dass sie dabei von uralten menschlichen Verhaltensmustern gesteuert ist, die dafür sorgen, dass sie die positive Bestätigung, die Kai ihr für ihr Handeln gibt, versucht aufrechtzuerhalten, ist ihr nicht bewusst. Kai versteht es hingegen umso besser und bringt Erika dazu, Dinge zu tun, die sie rational betrachtet wohlmöglich niemals getan hätte. 

Wenn beim Lesen der Eindruck entstanden ist, Erika sehr persönlich kennengelernt zu haben, dann ist das kein Zufall. Kai Wolfhardt hat sich in den Wochen vor dem Angriff genau das zur Aufgabe gemacht. Informationen, die er aus sozialen Medien und dem Internet bezogen hat, weiß er mit Intuition und jahrelanger Erfahrung so zu verknüpfen, dass er am Tag des Angriffs mit Erika wie mit einer alten Bekannten reden kann. Eine alte Bekannte, die keine Ahnung hat, warum das Gespräch mit diesem ihr eigentlich fremden Lebensmittelkontrolleur so angenehm und hindernisfrei funktioniert. 

Kai gibt ihr die Aufmerksamkeit und die positive Rückmeldung, die ihr die innere Anspannung nimmt, die sie ganz tief in sich jeden Tag in der Bäckerei spürt. Er weiß, wie er Erika davon überzeugen kann, alles richtig gemacht zu haben, und belohnt ihr Verhalten mit genau den kleinen verbalen und nonverbalen Rückmeldungen, die in ihr das angenehme Gefühl von „alles ist gut“ auslösen. Erika trifft dabei keine Schuld. Sie ist weder Mittäterin noch fahrlässige Wegbereiterin. Sie ist einfach ein Mensch, der allzu menschliche Bedürfnisse und Prägungen hat – nicht mehr und nicht weniger alle anderen Menschen auch. 

Kai Wolfhardt hat sein Opfer ganz bewusst ausgewählt. Als Angreifer agiert er weder brutal noch aggressiv, zumindest nicht offen und physisch. Er ist ein geradezu sensibler und empathischer Mensch und war in jüngeren Jahren wohlmöglich gar nicht so viel anders als Erika es heute ist. Er weiß, wie Menschen „ticken“, worauf sie reagieren, welche Bedürfnisse wie zu wecken sind und was sie befriedigt. Er versteht, dass fast alles davon unbewusst abläuft und seit zehntausenden von Jahren fest in der Programmierung des Menschen verankert ist. Vielleicht versteht er es so genau, weil er selbst schmerzlich lernen musste, wie angreifbar eigentlich jeder Mensch ist. Und aus diesem Wissen schlägt er heute sein Kapital, indem er Techniken des Social Engineering bewusst einsetzt, um sein Ziel zu erreichen. Der Schlüssel zur Bäckerei ist dabei Erika, die wahrscheinlich nichts von diesem Mittwochmorgen in Erinnerung behalten wird, außer dem ebenso beruhigenden wie trügerischen Gefühl, alles richtig gemacht zu haben. 

Wie kann man sein Unternehmen schützen?

Social Engineering stellt eine ernsthafte Bedrohung dar und es scheint, als würden die Akteure unendliche Möglichkeiten haben, sich in Unternehmen und Systeme zu hacken. Dennoch gibt es keinen Grund zur Resignation. Grundsätzlich kann man sich bereits mit einfachen Schritten vor Gelegenheitstätern und kleineren Kampagnen schützen:

  1. Bewusstsein schärfen: Wenn man „Up To Date“ mit den neuesten Social Engineering Techniken und Taktiken ist, kann man sich auch gezielter davor schützen.
     
  2. Skepsis: Seien Sie vorsichtig bei unerwarteten Anfragen nach Informationen oder bei ungewöhnlichen Kommunikationsversuchen. Hinterfragen Sie Identität und Zweck des Angefragten.
     
  3. Sichere Kommunikation: Die Verwendung von sicheren Kommunikationskanälen löst schon häufig die ersten großen Probleme mit Eindringlingen.
     
  4. Passwörter: Starke Passwörter bewirken Wunder, konkret: mindestens zehn Zeichen bestehend aus Groß- und Kleinbuchstaben, Zeichen, Zahlen etc. Bitte nutzen Sie keine sinnvollen Sätze, keine Namen von Haustieren oder Kindern, kein Datum usw. Empfohlen wird auch, die eigenen Passwörter regelmäßig zu ändern. Um sich aber den ganzen Aufwand ein wenig zu ersparen, gibt es gute Passwortmanager, die Verwendung finden sollten. Stärken können Sie ihr Passwort auch mit einem Multi-Faktor-Authentifizierung.
     
  5. Regelmäßige Updates: Halten Sie Software und System stets auf dem neuesten Stand, um Sicherheitslücken zu schließen.
     
  6. Phishing-Tests: Simulierte Phishing-Angriffe stärken das Bewusstsein für Angriffe und die Reaktionsfähigkeit.
     
  7. Physische Sicherheit: Arbeitsbereiche und Büros müssen ebenfalls in den Fokus rücken, wenn man sich vor solchen Angriffen schützen möchte, bspw. Zugangskontrollen und Überwachung von Besuchern können unbefugten Zugriff verhindern.

Informationssicherheitsmanagementsystem (ISMS)

Das sind viele Anforderungen, um sich, die Mitarbeiter und das Unternehmen zu schützen, aber es gibt Hilfestellungen, die bei der Implementierung von Sicherheit unterstützen. Informationssicherheitsmanagementsystem ist ein unverzichtbares Instrument zur Abwehr von Social Engineering und zur Erfüllung umfangreicher Sicherheitsanforderungen. Indem es eine strukturierte und systematische Herangehensweise an die Sicherheit bietet, unterstützt ein ISMS dabei, Sicherheitsmaßnahmen zu koordinieren und kontinuierlich zu verbessern. Ein ISMS schärft das Bewusstsein für Bedrohungen, etabliert klare Richtlinien und Verfahren und fördert sichere Kommunikations- und Authentifizierungspraktiken. Durch regelmäßige Schulungen, Simulationen und die Einführung strenger Zugangskontrollen trägt ein ISMS maßgeblich dazu bei, die Resilienz einer Organisation gegen Cyberangriffe und physische Begehungen zu stärken und den Schutz sensibler Daten zu gewährleisten. 

Die angesprochenen Lösungen werden vom ISMS abgedeckt.
 

Business Continuity Management (BCM)

Ein Business Continuity Management kann wichtig für die Aufrechterhaltung des Geschäftsbetriebes bei unvorhergesehenen Ereignissen sein. Das BCM umfasst die Entwicklung von Plänen und Strategien, die sicherstellen, dass wesentliche Geschäftsprozesse auch in Krisensituationen fortgeführt werden. Durch sorgfältige Risikobewertung, Nofallplanung und regelmäßige Übungen, ermöglicht ein BCM, dass Unternehmen schnell auf Störungen reagieren, die Schäden minimieren und den Geschäftsbetrieb zügig in den Normalzustand bringen. Kurzum: Ein BCM trägt maßgeblich zur Widerstandsfähigkeit und Stabilität von Organisationen bei. 


Business Impact Analysis (BIA)

Eine Business Impact Analyse ist ein zentraler Bestandteil des BCM. Die BIA hilft dabei, potenzielle Auswirkungen von Störungen auf die Geschäftsprozesse zu identifizieren und zu bewerten. Zusammengefasst: Eine BIA identifiziert kritische Prozesse, bewertet finanzielle, operative und reputationsbezogene Auswirkungen, die eine Unterbrechung kritischer Prozesse haben könnte, legt Prioritäten fest und weist Ressourcen zu, hilft bei der Entwicklung von Notfallplänen, unterstützt bei der Risikominimierung und assistiert bei regulatorischen Anforderungen. 

Mit BCM und der dazugehörigen BIA können längere Ausfallzeiten vorgebeugt werden. Es ist nicht die Frage, ob ein Angriff passiert, sondern wann er passiert. Leider sind Störungen und Ereignisse oft unvorhersehbar, aber wenn sie letztendlich passieren, dann hilft es, gewappnet zu sein und die Schäden auf ein Minimum zu reduzieren.
 

Die Bedeutung von Awareness-Schulungen 

In einer Zeit, in der Cyberkriminalität allgegenwärtig ist, sind Awareness-Schulungen und physische Penetrationstests unverzichtbare Werkzeuge, um Social Engineering Angriffe effektiv widerstehen zu können.

Um Mitarbeiter die Gefahren des Social Engineerings bewusster zu machen, braucht es Awareness-Schulungen. In diesen Schulungen lernen sie, wie Angreifer vorgehen und welche Tricks sie anwenden, um an vertrauliche Informationen zu gelangen. Das Ziel ist es, die Mitarbeiter wachsam und skeptisch zu machen. 

Stellen Sie sich vor, jemand ruft an und gibt sich als IT-Support aus, der dringend Ihr Passwort benötigt. Ohne das richtige Bewusstsein könnte man in die Falle tappen und sensible Informationen mit dem Angreifer teilen. Damit sowas nicht passiert, vermitteln Awareness-Schulungen solche Szenarien und üben bestimmte Reaktionsmuster. Verdächtige E-Mails, Anrufe oder sogar persönliche Anfragen müssen erkannt werden. 

Schulungen fördern zudem eine Kultur der Sicherheit im Unternehmen. Wenn jeder Mitarbeiter sich seiner Verantwortung bewusst ist und aktiv zur Sicherheit beiträgt, wird das gesamte Unternehmen widerstandsfähiger gegen Angriffe. 
 

© Phunnada – stock.adobe.com
© Phunnada – stock.adobe.com

Die Bedeutung von Physical Pentests 

Während Awareness-Schulungen das Bewusstsein und die Reaktionsfähigkeit der Mitarbeiter stärken, zielen physische Penetrationstests darauf ab, die tatsächliche Sicherheit der physischen Umgebung zu überprüfen. Diese Tests simulieren reale Angriffe, bei denen professionelle Tester versuchen, in gesicherte Bereiche des Unternehmens einzudringen. Dabei werden potenzielle Schwachstellen aufgedeckt, die sonst vielleicht unentdeckt blieben.

Schwachstellen sind bspw. eine unscheinbar offenstehende Tür, die Zugang zum Gebäude gewährt. Ein Angreifer könnte ohne großen Aufwand einfach hindurchschlüpfen und sich an sensible Daten zu schaffen machen. Physical Pentester decken solche Sicherheitslücken auf und zeigen, wo Verbesserungen notwendig sind. 

Kontakt

Bianca Schneider-Häder - Projektleiterin, DLG-Fachzentrum Lebensmittel - Tel.: +49 69 24788-360  B.Schneider@DLG.org