Social Engineering

Was Social Engineering ist

Social Engineering bezeichnet die psychologische Manipulation von Menschen, um sie zu Handlungen zu bewegen, die sie sonst nicht tun würden - z.B. Passwörter herausgeben, Geld überweisen, Türen öffnen.

Es ist die Grundlage fast aller Betrugsmaschen. Selbst die technisch raffinierteste Phishing-Site funktioniert nur, wenn das Opfer den Link klickt und Daten eingibt.

Die 6 psychologischen Hebel

1. Autorität

Menschen folgen Anweisungen von Autoritäten - auch wenn die Autorität nur behauptet ist.

• „Hier spricht die Polizei“
• „IT-Abteilung, bitte Passwort ändern“
• „Ihr Vorgesetzter hat das genehmigt“
• Uniformen, Ausweise (auch gefälschte)

2. Reziprozität

Wer etwas geschenkt bekommt, fühlt sich verpflichtet, etwas zurückzugeben.

• „Kostenlose Sicherheitsprüfung“ (mit Folgeanruf)
• „Geschenk in Aussicht gestellt“, wenn man jetzt Daten gibt
• Kleinere Gefälligkeiten zuerst, dann größere Bitte

3. Soziale Bewährtheit

Wenn andere etwas tun, tun wir es auch.

• Fake-Bewertungen bei Fake-Shops
• „Tausende Kunden vertrauen uns“
• „Andere Mitarbeiter haben das auch schon gemacht“

4. Sympathie

Wir sagen leichter Ja zu Menschen, die wir mögen.

• Romance Scammer bauen wochenlang Beziehung auf, bevor sie um Geld bitten
• Long-Cons in Geschäftsbeziehungen
• Anrufer, die „Gemeinsamkeiten“ finden (gleicher Geburtsort, gleicher Verein)

5. Knappheit

Was selten ist, wirkt wertvoll.

• „Nur noch 3 Plätze frei“
• „Letzte Chance“
• „Sonderangebot nur heute“

6. Verbindlichkeit und Konsistenz

Wer einmal Ja gesagt hat, sagt eher wieder Ja.

• Erst kleine Info-Anforderungen, dann größere
• „Sie haben uns ja schon zugestimmt, dass...“
• Salami-Taktik: kleine Schritte, bis ein großer Schaden entstanden ist

Typische Social-Engineering-Szenarien

Pretexting

Täter geben sich als jemand anders aus - mit ausgedachter Geschichte („Pretext“). Beispiel:

„Hallo, ich bin Klaus von der IT. Wir haben gerade einen Sicherheitsvorfall und müssen kurz Ihre Zugangsdaten überprüfen, damit Ihr Account nicht gesperrt wird.“

Baiting

Köder werden ausgelegt. USB-Sticks auf Parkplätzen, kostenlose Software-Downloads mit Malware, „Gratis-Apple-Watch wenn Sie diese Umfrage ausfüllen“.

Quid pro quo

Etwas gegen etwas. „Wir geben Ihnen einen Microsoft-Support, dafür brauchen wir kurz Ihren Bildschirm“.

Tailgating / Piggybacking

Physisches Eindringen in Gebäude, indem man sich an autorisierten Personen orientiert. „Können Sie mir die Tür aufhalten, ich hab den Ausweis vergessen“.

Wer ist besonders gefährdet?

Klassische Ziel-Gruppen:

• Ältere Menschen (Vertrauen in Autorität, weniger Tech-Wissen)
• Junge / Berufsanfänger (wollen Vorgesetzten gefallen, unsicher in Prozessen)
• Einsame Menschen (anfällig für Sympathie/Beziehung)
• Gestresste Menschen (rationale Entscheidungen werden bei Stress schwerer)
• Menschen in finanzieller Not (anfällig für Versprechungen)

Schutz gegen Social Engineering

Persönlich

• Bauchgefühl ernst nehmen
• Nie unter Zeitdruck entscheiden
• Bei Unklarheit: aussteigen, rückfragen, einmal schlafen
• Mit Familie/Kollegen sprechen, bevor unüblich Geld bewegt wird

Unternehmen

• Klare Prozesse für Auszahlungen (Vier-Augen, schriftliche Genehmigung)
• Verifizierungs-Pflicht bei ungewöhnlichen Anfragen
• Regelmäßige Mitarbeiter-Schulung (mehr in Mitarbeiter-Sensibilisierung)
• Phishing-Simulationen (kontrollierte Tests)
• Klare Eskalations-Wege bei verdächtigen Anfragen

Die wichtigste Erkenntnis

Social Engineering nutzt menschliche Grund-Eigenschaften (Hilfsbereitschaft, Respekt vor Autorität, Vertrauen). Es sind positive Eigenschaften, die ausgenutzt werden. Es ist keine Schande, darauf hereinzufallen - aber Wissen schützt.