• Sonja Stirnimann

Social Engineering: Die (hinterlistige?) Kunst der Verführung

Aktualisiert: Jan 10

Für den Enkeltrick sind wir noch zu jung. Auf eMails mit kuriosen Absendern fallen wir nicht rein. CEO-Fraud kann bei uns nicht passieren. Wir sind nur im Inland tätig. Die Rechtfertigungen lassen sich beliebig ergänzen. Fakt ist: Social Engineering betrifft uns alle!


Kunsthandwerk der Antike modern aufbereitet


Die Kunst des Social Engineerings ist so alt wie die Menschheit. Der Mensch versucht seine Interessen dem Gegenüber schmackhaft zu machen. Grundsätzlich nichts Schlechtes. Denken Sie an die nette Bedienung in Ihrem Lieblingshotel. Dort will man, dass Sie sich wohl fühlen und im besten Fall wiederkommen. In der Geschäftswelt versuchen wir uns gegenseitig mit den stichhaltigsten Argumenten zu überzeugen, verpackt, dass es das Gegenüber gerne entgegennimmt. Von der Politik ganz zu schweigen.


Die Medienberichte im In- und Ausland zu Betrugsmaschen bei welchen Social Engineering eine Rolle spielen sind aktueller denn je. Oft höre ich in Gesprächen mit meinen Kunden, wenn wir die Fakten ermitteln oder präventive Massnahmen erarbeiten, dass Social Engineering ein IT-Problem sei. Ist es nicht. Warum jedoch dieser Eindruck weit verbreitet ist, kann ich nachvollziehen.

Grund ist, dass sich die Kunst des Social Engineerings den Mitteln der Technik bedient.

Phishing, Spearing, Whaling, Spoofing – you got it?


Die Betrugsmuster von Wirtschaftskriminalität sind vielfältig und werden im sogenannten «Fraud Tree» der ACFE dargestellt. Sehr viele dieser Betrugsmuster – auch «Fraud Pattern» genannt, bedürfen ein gewisses Mass an Social Engineering. Immer dort, wo eine Interaktion mit Menschen stattfinden muss, um das beabsichtigte Ziel zu erreichen. Dazu nutzen die Social Engineers die technischen Möglichkeiten anhand Kontaktaufnahmen via eMail, SMS, WhatsApp und Telefon.





Ob die Social Engineers nun an sensitive Daten wie Kundeninformationen oder Geschäftsgeheimnisse gelangen, oder aber die Achillesferse von Unternehmen monatelang ausspionieren – sie werden alles tun, um Sie und Ihr Team in einem ersten Schritt zu täuschen. Wie? Darin zeigt sich die oft genutzte Kreativität der Betrüger. Abhängig vom Zielsubjekt und der Absicht unterscheiden sich die Vorgehensweisen, wie zum Beispiel Phishing (grosse Zielmasse), Spearing (dezidiertes Zielsubjekt), Whaling (dezidiertes Zielsubjekt in hoher Funktion) und Spoofing (Kontaktaufnahme via Telefon).


Vertrauensmissbrauch: Böswillige versus gutwillige Absichten


In erster Linie geht es darum, dass das Zielsubjekt – ja, Sie und Ihre Organisation werden zur Zielscheibe betrügerischer Absichten – sich in Sicherheit wähnt. Dadurch kann es Vertrauen aufbauen. Der Mensch will vertrauen können. Vertrauen reduziert Stress und bereits unsere Vorfahren wussten, dass ein Dauerzustand von Stress die Leistungsfähigkeit senkt.

Abhängig vom definierten Ziel hat der Social Engineer Zeit. Denn es wird sich lohnen. Im Kontext des gutwilligen Social Engineerings gedulden wir uns, bis unser(e) Angebete(r) bereit ist für gemeinsame Pläne. Druck aufzusetzen wäre kontraproduktiv. Genauso verhält es sich bei böswilligem Social Engineering.


Der einzige Unterschied zwischen böswilligem und gutwilligen Social Engineering ist die Absicht.

Entlarvung, die effektivste Prävention


Wie eingangs erwähnt. Social Engineering ist kein technisches Risiko. Der Risikofaktor ist der Mensch. Der Angreifer ist ein Mensch. Manipuliert wird ein Mensch (Zielsubjekt). Die effektivste Prävention im Hinblick auf Social Engineering und die damit einhergehenden Betrugsmuster wie CEO-Fraud, Enkeltrick, Spionage, etc. ist die Sensibilisierung.

Entlarven Sie und Ihr Team die böswilligen Social Engineers indem Sie die gängigsten Muster durchschauen. Wir Menschen lernen durch beobachten. Dazu brauchen wir eine Übungsanlage, die es uns ermöglicht, das Verhalten von Social Engineers zu erleben. Dies kann anhand von Praxisbeispielen und die Probe vom Ernstfall sein.


Achten Sie sich diese Woche insbesondere wo Sie gutwillig und hoffentlich nie böswillig manipuliert werden. Veranstalten Sie einen internen Wettbewerb, wer die meisten Situationen entdeckt und lassen Sie diese sammeln. Anhand dieser einfachen Massnahme werden Sie Ihre Organisation sensibilisieren und Schwachstellen entdecken. Die Investition ist gering und lohnt sich.


Ihre

Sonja Stirnimann


PS: Sie finden keine Praxisbeispiele in Ihrer Organisation? Passt eventuell eine meiner nächsten Veranstaltungen? Falls nicht, Sie wissen wo Sie mich finden.

0 Ansichten

© 2020 Sonja Stirnimann

Impressum