Social Engineering – Fluch oder Segen?

Was Social Engineering und digitale Mündigkeit gemeinsam haben

Die digitale Welt ist eine Matrix, in der Menschen und Maschinen um die Wette manipulieren. Algorithmen durchleuchten uns Tag und Nacht, die Wirtschaft betreibt Industriespionage. Staaten suchen überall Terroristen und Spalter. Dabei ist Social Engineering der Schlüssel zu Geld und Erfolg – nicht nur für Kriminelle, Bosse und Politiker. Wie jeder die Möglichkeiten der digitalen Welt für sich nutzen kann.

Lug und Betrug im Internet: der Mensch im Brennpunkt

Die Gefahr ist real: Mit sogenanntem Social Engineering wird die Schwachstelle Mensch systematisch ausgenutzt. Internetrecherche über ein Unternehmen geht im Handumdrehen. Informationen sind schnell, problemlos und ohne Kosten im Netz beschafft. Über Suchmaschinen und soziale Netzwerke identifizieren Cyberkriminelle passende Mitarbeiter, die sich für einen Angriff eignen. Ist das Opfer einmal ausgemacht, wird über Datendiebstahl das Umfeld des Mitarbeiters ausgeleuchtet, um einen potentiell günstigen Angriffspunkt zu finden.

Besonders die großen sozialen Netzwerke sind aufgrund ihrer fehlenden Regulation und oftmals eingeschränkten Moderation höchst anfällig für jegliche Art von Social Engineering. Dies haben sowohl Staaten als auch die internationale Wirtschaft erkannt – die Manipulation von sozialen Netzwerken durch Regierungs- und Wirtschaftsorganisationen hat auf der ganzen Welt zugenommen. Soziale Netzwerke ziehen Krawallmacher, Hochstapler oder illegale Geschäftsbetreiber an, die geschickt ahnungslose Nutzer verführen. Sie nutzen die algorithmischen Wirkweisen der Filterblasen, um sich in Szene zu setzen, verleiten Nutzer durch psychologische Anprache tieferliegender Emotionen zur Herausgabe von sensiblen Informationen, erpressen sie dann damit oder verwenden diese Informationen gar zur Vorbereitung größerer Straftaten.

Soziale Netzwerke sind aber nur das Eingangstor. Das eigentliche Verbrechen findet meist über E-Mail statt. Dies ist bei Cyberkriminellen eine beliebte und offensichtlich effiziente Methode. Mitarbeiter von Unternehmen, die für Zahlungen zuständig sind, werden von gefälschten Chef-Emails angewiesen, dringende Transaktionen zu veranlassen, man spricht in diesem Zusammenhang auch von CEO-Betrug. Laut FBI gab es 2013-18 weltweit knapp 80.000 Fälle von Business Email Compromise (BEC) und E-Mail-Account-Compromise (EAC), was allein bei den betroffenen Unternehmen zu Verlusten von über 10 Milliarden Euro geführt hat. Die Dunkelziffer für Wirtschaftschäden durch Social Engineering dürfte aber noch viel höher sein, da viele Unternehmen aus Angst vor Rufschädigung dies oftmals gar nicht zur Anzeige bringen.

Aber nicht nur Unternehmen werden Opfer. Oft trifft es die Schwächsten der Gesellschaft: Kinder, Jugendliche oder einfach Menschen, die auf der Suche nach Zuneigung, Freundschaft, Hilfe oder Anerkennung sind. Betrüger suchen gezielt labile Persönlichkeiten aus, erschleichen sich ihr Vertrauen, drängen sie mit psychologischen Tricks in esoterische Heilsversprechen, Glücksspiele, Abo-Fallen oder hohe Geldzahlungen ohne Gegenleistungen. 

Unter den enormen Risiken des Social Engineering leidet nicht nur die Wirtschaft, sondern die gesamte Gesellschaft. Die ungehinderte Manipulation der Öffentlichkeit in weiten Bereichen des Internets und fehlende Transparenz über Wirkungsweisen der Algorithmen führt zu Vertrauensverlust, Opportunismus und Abschottungstendenzen. Dies mündet paradoxerweise darin, dass innovationstreibende Kräfte blockiert werden. 

Die Krux an der Sache ist: der feine Unterschied zwischen einem Troll, der auf schädliche Weise provozieren will und einem kritischen Geist, der Veränderung vorantreibt, war immer schon eher eine philosophische Frage. Denn „der Geist, der stets verneint“, wie Goethes Mephisto sich selbst benennt, weiß auch, dass er „ein Teil von jener Kraft (ist), die stets das Böse will und stets das Gute schafft“. Gibt es also am Ende gar keinen Unterschied? Das muss jede Generation aufs Neue entscheiden.

Diagnose Social Engineering: Gefahr erkannt, Gefahr gebannt

Für die Wirtschaft gilt, sich dem Problem aktiv zu stellen und effiziente Gegenmaßnahmen abzuleiten. Um Betrüger zu entlarven, muss man erst einmal ihre Strategien verstehen. Mittlerweile gibt es eine wachsende Anzahl an Literatur über Social Engineering auf dem Markt, mit der man sich über die Taktiken informieren kann. Daraus sollte ein Unternehmen Informationen zur Aufklärung für die Belegschaft erstellen. Gefahr erkannt, Gefahr gebannt? 

Nicht ganz. Im zweiten Schritt heißt es, das eigene Unternehmen möglichst nachhaltig immun gegen kriminelles Social Engineering zu machen. Security Awareness Trainings liegen im Trend und bieten Unternehmen einen ersten Einstieg, um Mitarbeiter neben IT-Faktenwissen durch praktische Demonstrationen für eigenes Fehlverhalten zu sensibilisieren. Dazu gehören das Identifizieren von Phishing-Mails und das Verständnis, wie Viren oder Malware den Computer beinträchtigen und somit erkannt werden können. Sinnvoll ist ein zentraler Sicherheitsverantwortlicher im Unternehmen, der jederzeit als Ansprechpartner für die Mitarbeiter da ist. Im Fall der Fälle kann er außerdem Folgeschäden minimieren, indem er schnell potentielle Opfer warnt.

Schulen Sie Mitarbeiter im Bewusstsein, inwieweit man durch eigene Aktivitäten im Internet Spuren hinterlässt. Ein Beispiel: E-Mails von einem Jobportal (von Google ausgelesen), ein Cookie auf einer Website für Arbeitsrecht, vielleicht noch eine Google Maps-Standortabfrage bei einer Konkurrenzfirma  – mit diesen drei Verknüpfungen kann man ziemlich genau erkennen, das der Mitarbeiter unzufrieden mit seinem derzeitigen Job ist. Über einfache Metadaten wie Loginorte, Loginzeiten und online Verweildauer kann man auf private Informationen wie den Sozialstatus und -verhalten schließen. Jemand, der 24/7 online ist und sich nur von einem Ort einloggt, ist zum Beispiel mit großer Wahrscheinlichkeit ein alleinstehender Mensch ohne feste Arbeit.

Selbst wenn durch Datenschutzauflagen der Zwang zur Anonymisierung gegeben ist, kann man außerdem vieles relativ leicht herausbekommen, indem man Metadaten geschickt verbindet oder ausschließt. Hundertprozentigen Schutz vor böswilliger Manipulation gibt es nicht. Grundlegendes Verständnis des Biotops Internet, gesundes Misstrauen, ein hohes Maß an Selbstkenntnis und souveräner Umgang mit Schwächen stärken die Resilienz des Einzelnen gegenüber Internet-Verbrechen.

Chancen emanzipierter Kommunikation: Mündige Bürger und Konsumenten

Let’s rewind and get the Matrix reloaded. Social Engineering kann jeder. Solange es nicht kriminellen Zwecken dient, ist soziale Manipulation eine legitime Form der Kommunikation. Wir manipulieren täglich, sei es bewusst oder unbewusst. Mit unseren Blicken, Gesten, unserer Körperhaltung, unserer Stimme und unserer Wortwahl im Gespräch signalisieren wir unserem Gegenüber, ob wir ihn sympathisch finden oder nicht. Schon Kinder sind darauf programmiert, ihren Willen bestmöglich durchzusetzen. Sie nutzen immer neue Strategien, um an ihr Ziel zu gelangen. 

Bürger und Konsumenten können durch digital mündiges Verhalten Vorteile erzielen, indem sie ihre Ideen mit Erfolg in Wirtschaft, Medien und Politik einbringen – ganz im Sinne der ursprünglichen Intention des Begriffs Social Engineering bei Karl Popper. Dank der Digitalisierung kann heute jeder über Social Media, Foren und Online-Petitionen seine Ansichten verbreiten und im Idealfall mit Crowd Funding Mitstreiter für sein Projekt finden.

Emanzipierte Kommunikation mündiger Bürger kann der Wirtschaft helfen, indem es neue Geschäftsmodelle inspiriert. Man kann zum Beispiel, wie Timothy Snyder vorschlägt, den Nutzern in Sozialen Netzwerken oder Freemium-Modellen eine Teilkontrolle über die Algorithmen geben, indem sie aus vorgegebenen Optionen auswählen – Entertainment, Research oder Challenge. Dies bedient nicht nur den Spieltrieb des Nutzers, sondern befriedigt das instrinsische Streben nach Mitbestimmung und Teilhabe.

Kompetenzen in digitaler Mündigkeit sind sowohl für KMU als auch für Einzelunternehmer ein Plus. Firmen investieren in ihre Sicherheit, indem sie ihre Mitarbeiter in digitaler Kommunikation schulen. Mitarbeiter können außerdem wertvolles Feedback über Probleme und Bugs in Prozessen geben, die den Arbeitsablauf oder die Kundenzufriedenheit verbessern. Freelancer und Selbstständige können sich ohne großen Aufwand über Foren oder in Social Media ein positives Image aufzubauen. Streuen Sie Appetizer an geeigneten Stellen, um potentielle Geschäftskontakte oder Kunden auf sich aufmerksam zu machen.

3 Tipps, um Ihr eigener Social Engineer zu werden

  • Vertrauen ist gut, Kontrolle ist besser

Vorsicht ist die Mutter der Porzellankiste. Digitale Anfragen von unbekannten Personen lieber erst einmal misstrauen. Checken Sie ihr Profil in Suchmaschinen, anderen Netzwerken oder am besten über verifizierte Real-Life-Kontakte nach dem 2-Faktor-Prinzip gegen. Am aussagekräftigsten ist immer noch der direkte Kontakt im echten Leben oder ggf. am Telefon, um die Ernsthaftigkeit der Absichten besser einschätzen zu können. Dasselbe gilt für Informationen im Netz, sei es auf Portalen oder Webseiten.

  • So viel digital wie nötig, so wenig wie möglich

Beschränken Sie Ihre Zeit online. Lassen Sie sich von digitalen Parallelwelten, algorithmischen Programmen, Bots und KI nur in Maßen bei Ihrer Tätigkeit kontrollieren. Vertrauen Sie zuerst auf Ihre Intuition und echte physische Gegebenheiten. Algorithmen sind eine gute Unterstützung mentaler Arbeit, sollten aber nicht die Richtung vorgeben. Dasselbe gilt für Follower im Netz – im Zweifel das Netzwerk wechseln, wenn sich kein Nutzen einstellt. Sie wissen am besten, welche Informationen relevant für Sie sind, welche Entscheidungen notwendig sind und mit wem Sie in Kontakt treten wollen. 

  • Werden Sie Ihre eigene Lobby

Nutzen Sie Ihre Möglichkeiten zur Teilhabe im digitalen Kosmos. Betreiben Sie online Kontaktpflege und suchen Sie nach interessanten und hilfreichen Kontakten in Netzwerken. Stärken Sie Ihr Selbstmarketing und unterstützen Sie eigene Interessen in Blogs, Posts, Kommentaren, Online-Umfragen oder Foren. Machen Sie sich aber bewusst, dass alles, was Sie sagen, potentiell öffentlich ist. Mit gesundem Menschenverstand, Umsicht und gezielter Provokation zum richtigen Zeitpunkt können Sie Ihre Fremdwahrnehmung geschickt lenken.

Simone Belko interessiert sich für die Schnittstelle zwischen Industrie 4.0, Wissensgesellschaft und Politik. Die Sprach- und Europawissenschaftlerin arbeitete als Journalistin und PR-Managerin in internationalen Redaktionen und Organisationen wie dem Europäischen Parlament. Zuletzt war sie für das russische Unternehmen Mail.Ru Games als Projektleiterin tätig.

Die Kommentarfunktion ist geschlossen.