Sebastian Gerstl (SG): Social Engineering als Aspekt der Cybersecurity wird ja oft massiv unterschätzt. Keine Firewall, keine Antivirensoftware kann da verlässlich davor schützen. Aber worum handelt es sich jetzt konkret dabei, wenn wir von Social Engineering sprechen?

Dr. Christian Schunck (Dr. CS): Social Engineering ist im Grunde viel älter als Cybersecurity und setzt bei Menschen an. Als Menschen sind wir soziale Wesen, deswegen auch Social Engineering. Wir haben uns typische menschliche Verhaltensweisen angeeignet, die es uns erlauben, als Wesen in einer Gesellschaft gut zu funktionieren, da reinzupassen, Zugehörigkeitsgefühle zu entwickeln und Menschen zu helfen. Gerade diese sozialen Verhaltensweisen werden dann angesprochen, um Menschen zu beeinflussen, bestimmte Entscheidungen zu treffen oder auch Menschen gezielt zu manipulieren.

SG: Was für Mechanismen kommen dabei zum Einsatz? Also wo setzt dieses Social Engineering denn konkret an?

Dr. CS: Es ist so, dass diese sozialen Verhaltensweisen und das Beeinflussen einer Entscheidung ja erst mal gar nicht im Cybersecurity Kontext so interessant sind. Wenn ich einfach sage oder sagen würde, wir möchten die Entscheidungsfindung von Menschen beeinflussen, dann würden sie vielleicht an Marketing denken, an Vertrieb, an Verkauf. Und aus diesem Bereich kommt auch die Forschung zum Thema Social Engineering. Da wurde untersucht, welche Mechanismen funktionieren denn, damit ich Menschen dazu bewegen kann, etwas zu kaufen oder etwas zu tun. Und welche Mechanismen sind das? Das sind Mechanismen wie Hilfsbereitschaft.

Wir sind als Menschen erst mal gewillt, anderen Mitmenschen zu helfen. Nun muss ich diese Hilfsbereitschaft vielleicht ein bisschen anstupsen. Und dazu gibt es zwei Techniken, die letztlich dazu dienen, die Wahrscheinlichkeit, dass man die richtige Entscheidung im Sinne dessen, der die Entscheidung herbeiführen möchte, trifft. Um diese Entscheidungsfindung anzutreiben, wird dann zum Beispiel darauf gesetzt, dass wir Menschen einen Gefallen gerne honorieren wollen.

Also wenn mir jemand etwas gibt, bin ich viel geneigter, dem anderen Menschen auch in irgendeiner Form einen Gefallen zu erwidern. Das sehen Sie im Supermarkt. Da wird Ihnen ein kleines Stückchen Käse angeboten in der Hoffnung, dass Sie dann das große Stück Käse kaufen. Das kann man dann beim Social Engineering anwenden, um Menschen dazu zu bewegen, zu helfen oder auf einen Angriff reinzufallen. Es gibt Beispiele, wo zum Beispiel Angestellten ein Schokoriegel gegeben wurde und die daraufhin ihr Passwort gesagt haben. Das funktioniert natürlich dann nicht ganz so plump. Sie können sich vielleicht vorstellen, da stehen Leute vor dem Geschäft und teilen Schokolade aus und wünschen erstmal einen schönen Arbeitstag und sagen: “ Jetzt hätten wir noch eine kleine Frage. Wir machen eine Umfrage zur Passwortsicherheit und möchten mal wissen, welche Arten Passwörter denn benutzt werden können. Können Sie uns vielleicht mal einige von Ihnen mitteilen?”

SG: Das hört sich jetzt aber nach einem ziemlich extremen Beispiel an!

Dr. CS: Ja, das ist ein extremes Beispiel, aber es hat funktioniert. Und diese Mechanismen, die funktionieren extrem gut. In der Wirtschaftsforschung oder der Verhaltenspsychologie sind diese Prinzipien dafür bekannt, dass sie die Wahrscheinlichkeit, dass Menschen entsprechend reagieren, extrem steigern. Das klingt jetzt vielleicht plump, wie das Beispiel mit dem Schokoriegel, aber das geht natürlich auch subtiler und funktioniert dann immer noch.

SG: Etwas, was man in der letzten Zeit sehr häufig hört, also auch in der Medienlandschaft, ist der sogenannte CEO-Fraud: Ein Angreifer bringt es fertig, eine E-Mail so zu manipulieren, dass sie so aussieht, als würde sie vom Geschäftsführer des Unternehmens kommen. Wo setzt dieser CEO-Fraud an und wie funktioniert das Ganze?

Dr. CS: Der CEO-Fraud setzt da an, dass der CEO als eine Autorität wahrgenommen wird, dessen Anweisungen man befolgen muss. Und das ist nun auch wieder erstmal eine gewisse wünschenswerte Verhaltensweise im Unternehmen. Die Unternehmen möchten natürlich schon, dass Aufträge von Vorgesetzten auch ausgeführt werden. Das ist also ein grundsätzlich gewünschtes Verhalten und das wird von Angreifern dann ausgenutzt. Beim CEO-Fraud wird dann z. B. ein Angestellter oder eine Angestellte meist per E-Mail aufgefordert, für eine geheime Unternehmensübernahme Geld ins Ausland zu überweisen. Diese Person wird dann vielleicht noch gelobt, dass sie als besonders zuverlässig bekannt ist und zur absoluten Geheimhaltung verpflichtet ist, weil diese Übernahme hochsensibel ist und erst mal erfolgen muss, bevor man darüber sprechen kann. Deswegen darf die Person sich auch nicht an Kollegen wenden. Und so wird dann diese Person unter dem Prinzip der Autorität vielleicht noch ein bisschen geschmeichelt, aber auch extrem unter Druck gesetzt im Sinne von Geheimhaltung, nicht mit Kollegen reden. Natürlich muss alles auch wahnsinnig schnell erfolgen, denn sonst geht die Transaktion den Bach runter und dann ist der Chef unglücklich. Und ja, das funktioniert erstaunlich gut. Die Schäden in Deutschland mit diesem Trick dürften die 100-Millionen-Grenze bereits überschritten haben, weil es hier auch immer um große Summen geht. Wenn es klappt, dann werden schnell mal mehrere hunderttausend Euro überwiesen.

Sofern man als Firmenchef seine Mitarbeiter hierauf nicht vorbereitet – gerade die, die in der Lage sind, solche Transaktionen zu machen – ist natürlich die Wahrscheinlichkeit, dass solche Angriffe erfolgreich durchgeführt werden können, relativ hoch.

SG: Speziell in dem Aspekt CEO-Fraud kommen ja gleich mehrere Dinge ins Spiel, die so auch mit der Gemütswelt des Angegriffenen spielen. Da ist zum einen natürlich der Respekt. Der Chef ist die Autorität, dem folgt man. Dann ist da vielleicht auch so ein bisschen Furcht mit dabei. Man ist es in der Unternehmensstruktur meist ja nicht gewohnt, dass man dem Chef widerspricht oder ihm gegenüber entsprechende Zweifel äußert.

Dr. CS: Man geht ja davon aus, wenn das direkt vom Chef kommt, dann wird das schon seine Richtigkeit haben. Dann spielt das Thema Stolz natürlich auch eine Rolle. Man wird als Vertrauensperson herangezogen. Man kann sich da jetzt bewähren und beweisen oder man ist einfach so dermaßen im Stress und unter Arbeitsdruck, dass das reinkommt und man will das gar nicht hinterfragen. Man will das gar nicht aufhalten. Man will sich auch selber nicht lange damit beschäftigen und gibt das gleich mal wieder weiter. Also da kommen mehrere Aspekte ins Spiel, die so im gewöhnlichen Arbeitsalltag eigentlich permanent vorherrschen.

Genau das wird dann ausgenutzt. Um dagegen arbeiten zu können oder um einen Teil dieser wünschenswerten Arbeitsweisen zu erhalten, aber gleichzeitig zu verhindern, dass sie ausgenutzt werden, muss man im Unternehmen dafür sorgen, dass bestimmte Regeln eingehalten werden. Wenn also für manche Transaktionen das Vier-Augen-Prinzip notwendig ist und die Angestellten das wirklich wissen – das Prinzip muss befolgt werden und zwar immer und ausnahmslos – dann trifft so eine Bitte, das zu ignorieren, natürlich erst mal auf größere innere Widerstände, als wenn es das Prinzip in dem Unternehmen zwar gibt, aber es immer wieder mal auch auf Anordnung vom Chef verletzt wird. Also da gehört schon dazu, dass man erst mal das Personal schult und auf solche Arten von Angriffen aufmerksam macht. Das zweite ist, dass man Regeln, die notwendig sind, z. B. solche Transaktionen nicht ohne Vier-Augen-Prinzip durchzuführen, auch wirklich konsequent einhält.

SG: Jetzt sind wir sehr lange auf den CEO-Fraud eingegangen. Welche anderen typischen Angriffe gibt es für gewöhnlich noch?

Dr. CS: Die bekanntesten sind sicherlich die Phishing-E-Mails. Die gibt es in ganz vielen Varianten. Da werden Mitarbeiter beispielsweise aufgefordert, irgendwelche Webseiten zu besuchen oder Dateien zu öffnen. Nach dem Motto: „Hallo, hier ist die IT. Wir wollen die Passwörter ändern. Bitte gehen Sie auf diese sehr täuschend echt nachgemachte Webseite des Unternehmens und geben Sie hier mal Ihr Passwort ein.“ Das kann natürlich auch andere Formen haben. Es kann das verlockende Jobangebot sein, wo sich das Gehalt verdoppelt und es zusätzlich noch tolle Benefits gibt – wie zum Beispiel ein E-Auto oder einen E-Scooter. Und dann wird man aufgefordert, eine angehängte Datei zu öffnen. Oder man wird über LinkedIn angeschrieben. Man chattet über LinkedIn und irgendwann kommt eine schmeichelhafte E-Mail. Da steht dann beispielsweise, dass der Inhalt nur durch Aktivieren der Makros angezeigt werden kann. In einem solchen Fall kann die Versuchung dann schon groß sein.

Ein anderer Angriffsvektor, der sehr gut funktioniert, ist das gute alte Telefon. Da rufen Leute an, die sagen, sie seien aus der IT oder aus dem HR etc. In großen Firmen, wo man die Leute vielleicht auch nicht persönlich kennt, können sie mit allen möglichen Anfragen kommen. Da kann es sein, dass nach anderen Mitarbeitern oder nach Informationen zu anderen Mitarbeitern gefragt wird. Das klingt dann vielleicht auch harmlos, weil vielleicht nur nach einem Namen oder einer Personalnummer gefragt wird. Oft lehnt sich der Mitarbeiter nach einem solchen Anruf erstmal zurück und denkt an nichts Böses. Allerdings ist es oft so, dass diese Angreifer mehrstufig vorgehen und vier, fünf Leute im Unternehmen anrufen und so langsam die Information aggregieren, um dann vielleicht später ganz gezielt auf das eigentliche Opfer eingehen können. Insbesondere vermeintliche Anrufe der IT können sehr vielfältige Formen haben z. B. „Gehen Sie auf diese Webseite oder öffnen Sie mal die Kommandozeile und geben Sie Folgendes ein …“

Ein anderes Ziel geht dann eher in Richtung Industrie-Spionage. Also, dass man wirklich versucht, an Betriebsgeheimnisse heranzukommen. An die neue Marketingkampagne, die geplant ist und an Unterlagen dazu oder an Konstruktionszeichnungen für irgendwelche neuen Komponenten. Auch da werden immer diese Prinzipien genutzt, um zu appellieren. Also zum Beispiel: „Ihr Kollege hat mir auch schon geholfen in einer ähnlichen Situation“ und man lässt noch den Namen fallen, den man auf der Webseite gefunden hat. Oder man sucht einen unzufriedenen Mitarbeiter, der irgendwie dann so das Gefühl hat, jetzt kann er seinem Unternehmen eins auswischen – die Variante gibt es wahrscheinlich auch.

SG: Sie haben ja erwähnt, dass sehr viel über das Telefon auch heute noch geschieht. Das ist ja alles andere als ein neuer Weg. Ich meine, selbst in den 70er Jahren hat ein so berüchtigter Hacker wie Kevin Mitnick damals schon gesagt, dass häufig sein erster Weg über das Telefon ging.

Dr. CS: Auf jeden Fall! Ich würde fast sagen, es ist ziemlich alt und doch vertraut. Man versucht durch den Einsatz irgendeiner Technik Menschen in der Entscheidungsfindung zu beeinflussen – das sitzt wirklich tief. Da wundert man sich doch, wie dann anhand der ganzen fortschrittlichen Technologie und IT, die wir haben, so eine uralte Methode in der modernen Zeit immer noch so gefährlich sein kann. Man muss natürlich auch sagen, die Technik ist auch nach wie vor nicht perfekt und wahrscheinlich wird sie es auch nie sein, aber sie ist halt mittlerweile schon sehr, sehr, sehr, sehr gut.

Wenn man nicht wirklich ein spezielles Ziel hat, dann ist es einfach ein Spiel der Wahrscheinlichkeiten. Was funktioniert am besten? Und da kann ich natürlich irgendwelche Ports scannen oder nach bekannten Schwachstellen suchen. Wenn sie frisch sind, finde ich sie hier und da und dann kann ich auch die Technik überwinden, wenn diese Schwachstellen nicht rechtzeitig gepatcht wurden. Was durchaus sein kann. Wenn das Zero-Day-Exploits sind, kann ich damit ganz gut weiterkommen. Insofern kann man dann die Technik ausnutzen. Aber der Standard ist sehr hoch und es wird auch immer schwieriger.

SG: Gleichzeitig ist es ja auch so: In Zeiten immer fortschrittlicher oder immer komplizierter erscheinender IT hat der Anwender selber wahrscheinlich nicht so viel Ahnung oder Durchblick und verlässt sich dann darauf, dass wenn etwas von der IT oder von Human Resources kommt, dies schon seine Richtigkeit haben wird.

Dr. CS: Auf jeden Fall spielt das eine große Rolle. Letztlich haben wir unsere Interaktionen in der realen Welt gelernt. So ein flacher Bildschirm vor uns mit irgendwelchen Fenstern, die sich da öffnen, und Sachen, die da im Hintergrund passieren, ist für viele Nicht-ITler einfach eine fremde Welt. Davon müssen sie nicht viel verstehen und vielleicht möchten sie es auch nicht verstehen, um ihren Job gut zu erledigen. Insofern ist es auch schwierig, dafür Intuition und Verständnis zu entwickeln. Auch diese mangelnde Intuition und dieses mangelnde Verständnis kann man dann wieder ausnutzen, weil Angegriffene sich vielleicht nicht immer bewusst sind, was jetzt eine bestimmte Aktion von ihnen wirklich bewirkt.

An dieser Stelle ist es besser, man schult Mitarbeiter so, dass auch da die Wahrscheinlichkeit verringert wird, dass solche Sachen erfolgreich sind. Und letztlich – da denke ich ähnlich wie Marketingleute – ist es ein Spiel der Wahrscheinlichkeiten, dass etwas funktioniert und nicht, dass es nicht funktioniert. Bei der Technik machen wir das schon ziemlich gut. Bei Menschen sehe ich persönlich noch Entwicklungspotenzial.

SG: Auch durch KI werden die Gefahren im Bereich Cybersecurity immer größer und man kann jetzt auch schlecht eine „Misstraue-Allem-Und-Jedem“-Strategie fahren. Wie sollte man an solche Problematiken rangehen? Liegt das vielleicht auch an der Unternehmensstruktur? Oder werden Angestellte mit Security Trainings auch eher überfordert, also, dass sie sich zu sehr auf die technische Seite verlassen und dann auf der sozialen Ebene leichter angreifbar werden? Wo kann man da ansetzen? Wo liegen die größten Gefahren und die Baustellen, die innerhalb eines Unternehmens adressiert werden müssten, um solche Gefahren zumindest zu minimieren?

Dr. CS: Grundsätzlich ist es so wie bei der IT-Sicherheit auch. Man muss sich erst mal als Unternehmen fragen, was sind meine Schlüsselfähigkeiten, was sind meine Schlüssel-Assets, die ich habe, was muss ich schützen. Darauf aufbauend muss man dann überlegen, wie man dies am besten schafft: auf technischer Ebene und auf Ebene der Mitarbeiter.

Wenn wir uns Social Engineering angucken, ist es hauptsächlich auf Ebene der Mitarbeiter. Da kann ich dann – wenn ich weiß, was ich schützen möchte – auch prüfen, welche Mitarbeiter und Mitarbeitergruppe hier Schlüsselrollen einnehmen. Dann kann ich beginnen, diese Gruppen gezielt zu schulen. Sie haben die Organisationsstrukturen angesprochen. Hier sollte ich mir sehr genau anschauen, wie meine Organisation läuft und tickt – welche Kultur haben wir, wie unterstützt die Organisationsstruktur unser Geschäftsmodell? Wenn man das verstanden hat, kann man dann einen Schritt zurückgehen sowie analysieren und sich fragen: Mit welchen dieser Werkzeuge eines Social Engineers kann ich gerade hier besonders gut vorgehen, wo ist die Wahrscheinlichkeit wieder höher, dass ein Angriff funktioniert oder nicht? Dann kann man entsprechende Maßnahmen treffen. Darauf muss ich meine Mitarbeiter ganz besonders vorbereiten. Der erste Schritt ist eine Analyse und im zweiten Schritt kann man sich dann überlegen, was man den Mitarbeitern beibringen muss.

Und letztlich sehe ich das so, dass gerade der Bereich Social Engineering nicht nur in der ITSicherheit eine Rolle spielt, sondern überhaupt im ganzen sozialen Miteinander. Wie gesagt, diese Techniken werden auch im Marketing ausgenutzt, z. B. wenn ihnen jemand ein Auto verkaufen möchte. Insofern ist da eigentlich auch ein Mehrwert dabei, Mitarbeitern das mal zu zeigen und vielleicht auch ein Stück weit erleben zu lassen. Daher könnten Unternehmen dadurch, dass sie in diesem Bereich Mitarbeiter trainieren, wirklich auch für Mitarbeiter einen Mehrwert schaffen, der weit über die IT-Sicherheit des Unternehmens hinausgeht.

SG: Das klingt ja wirklich so wie ein in den 1930er Jahren geschriebenes Buch „How to Win Friends and Influence People“ von Dale Carnegie – auch heute noch eine sehr empfehlenswerte Standardlektüre für jeden Angestellten in einem Unternehmen.

Dr. CS: Ja, das klingt fast so. Aber das Fraunhofer IAO selber bietet ja auch direkt Schulungen und Kurse zum Thema Social Engineering an, damit man sich da so ein bisschen vorbereitet und wappnet. Wir machen das auf unterschiedliche Art und Weise. Teilweise können uns Unternehmen einladen, dann machen wir das für die Mitarbeiter des Unternehmens oder ausgewählte Mitarbeitergruppen. Da kann man auch erst schauen, für welche Gruppen das vielleicht am interessantesten ist. Auch bieten wir das bei uns am Fraunhofer IAO an, wo Unternehmen einige Mitarbeiter zu uns schicken können. Worum es da geht, ist auch so ein bisschen das Erleben. Wie fühlt man sich in so einer Situation? Vielleicht auch die Techniken selber mal ein bisschen ausprobieren.

Auf der anderen Seite ist das Ziel, ein Bauchgefühl zu entwickeln, welches einem ermöglicht – wenn man einen Fehler gemacht hat – möglichst schnell noch zu reagieren und die IT zu informieren. Natürlich geht es in erster Linie darum, mögliche Angriffe gleich abzuwehren, aber auch darum z. B. im Nachhinein noch schnell aktiv zu werden, weil man sowohl emotional als auch intellektuell darauf vorbereitet ist, dass sowas passieren kann. Es geht auch darum, die Techniken ein bisschen kennenzulernen – was Open Source Intelligence ist, wie sich Social Ingenieure oder Angreifer wirklich vorbereiten können auf ein bestimmtes Gespräch. Man kann auch aus öffentlich verfügbaren Informationen sehr viel rausholen. Auf sowas gehen wir dann auch ein, um einfach Menschen zu zeigen, wie gut Leute vorbereitet sein können, wenn sie vorbereitet sein wollen.

SG: Wie heißt es doch so schön: Vertrauen ist gut, ein gutes Bauchgefühl und sicherheitshalber nochmal nachhaken und nachfragen an dritter Stelle ist besser. Auch wenn die Zeit drückt und man sich besonders eingeschüchtert oder besonders gebauchpinselt fühlt, es lohnt sich immer, nochmal an entsprechender Stelle innerhalb des eigenen Unternehmens nachzuhaken. Vielen herzlichen Dank für Ihre Ausführungen und Einblicke.