Dr. Christian Schunck ist studierter Physiker und beschäftigt sich beim Fraunhofer-Institut für Arbeitswirtschaft und Organisation (IAO) in Stuttgart mit dem Forschungsfeld digitales Identitätsmanagement. Als ein Teil davon gilt das Social Engineering, ein Begriff, der ursprünglich aus der Sozialwissenschaft stammt und schon länger existiert.

"Social Engineering ist viel älter als Cybersecurity und setzt beim Menschen an", erklärt Dr. Christian Schunck den Begriff im Gespräch mit Podcast-Gastgeber Sebastian Gerstl. Firmen kümmern sich im Rahmen der Cybersicherheit um alle möglichen technischen Aspekte, vergessen dabei aber manchmal den menschlichen Faktor als potenzielle Schwachstelle. Der Mensch sehne sich nach Zugehörigkeit und sei ein soziales Wesen mit Emotionen, Wünschen und bestimmten Verhaltensweisen, so der Experte. Genau diese sozialen Verhaltensweisen nützen Cyberkriminelle aus, um Menschen in ihrem Sinne zu manipulieren.

Social-Engineering-Trick: "CEO Fraud"

Es gibt es verschiedene Techniken und Wege, auf Mitarbeiter von Unternehmen zuzugehen und sie zu steuern. Eine Masche ist der sogenannte "CEO Fraud". Kriminelle setzen dabei auf das Autoritätsprinzip und geben sich dabei zum Beispiel per Mail als Geschäftsführer aus und versuchen, Beschäftigte zu bestimmten Handlungen zu verführen (etwa Überweisungen von Geld ins Ausland). Dies geschieht unter dem Deckmäntelchen der absoluten Geheimhaltung und unter Zeitdruck, niemand dürfe von der Übernahme einer anderen Firma etwas erfahren, nur der Geschäftsführer und die betreffende Person seien eingeweiht, so die Masche. Das Opfer fühlt sich geschmeichelt, dass der Chef sie so wichtig findet.

"Das funktioniert erstaunlich gut, die Schäden in Deutschland haben mit diesem Trick schon die Hundert-Millionen-Grenze überschritten", sagt Schunck. Deshalb müssen Firmenchefs ihre Mitarbeiter, die solche Transaktionen tätigen können, stärker dafür sensibilisieren und auf gewisse Regeln (Vier-Augen-Prinzip) pochen.

Die Klassiker: Phishing-E-Mails und Telefonanrufe

Als bekannteste Social-Engineering-Methode gilt Phishing, die Opfer erhalten dabei vertrauenerweckende E-Mails, die zum Klicken auf bestimmte Websites oder zum Öffnen von E-Mail-Anhängen verleiten sollen. Dies kann zum Beispiel auch durch verlockende Jobangebote mit extrem guter Bezahlung geschehen, die an die Gier von Menschen appellieren.

"Ein anderer Angriffsvektor, der sehr gut funktioniert, ist das gute alte Telefon", so der Experte vom Fraunhofer-Institut. Dabei geben sich Anrufer bevorzugt bei großen Unternehmen als IT-Mitarbeiter oder Mitglieder der Personalabteilung aus und versuchen, an alle möglichen Informationen über Angestellte zu kommen. Geschieht dies bei mehreren Opfern, die sich gut fühlen, weil sie vermeintlich helfen konnten, kristallisiert sich bei den Kriminellen ein genaueres Bild heraus, welche Zielperson(en) sie dann für einen mehrstufigen Angriff ins Visier nehmen.

