Gefahren durch Social Engineering bleiben bestehen – aber sie ändern sich

„Der Mensch ist von Grund auf gutgläubig und konfliktscheu“, stellt einer der Protagonisten des 2014 gedrehten Techno-Thrillers „Who Am I – Kein System ist sicher“ fest. Interpreten dieses Satzes ergänzen ihn mit den Worten „…und das macht ihn manipulierbar!“ Und tatsächlich kommt man so auf den Kern dessen, was unter dem Terminus „Social Engineering“ nicht nur Sicherheitschefs (täglich mehr) Kopfzerbrechen bereitet.

Social Engineering ist die moderne Bezeichnung für das Manipulieren und Beeinflussen von Menschen, zu deren Schaden und zum eigenen (illegalen) Nutzen. Auch wenn diese Vorgehensweise schon seit Jahrtausenden praktiziert wird, ist es dennoch angebracht, sich mit ihr aktuell zu beschäftigen. Der Grund: Das Instrumentarium für solche Ränke hat sich in  den letzten Jahren explosionsartig erweitert. Wo früher noch der persönliche Kontakt gesucht werden musste, kommt heute vermehrt digitale Kommunikation zum Einsatz. Zugleich hat sich die Angriffsfläche erheblich vergrößert. Musste man vor einigen Jahrzehnten vielleicht noch einen Panzerschrank knacken, um an wichtige Firmenunterlagen zu gelangen, reicht heute gelegentlich schon eine geschickt formulierte E-Mail, die dann als Sesam öffne dich – für die Täter – gefahrlos ihre Dienste tut.

Salon Kitty

Buchautoren und Filmemacher hat ein Fall von Social Engineering inspiriert, der schon über acht Jahrzehnte zurückliegt. Obwohl er etwas pikantes und schmonzettenhaftes an sich hat, ist er auch für die heutige Zeit noch lehrreich. Ende der 1930er Jahre keimte im Führungskreis des Naziregimes die Idee, Größen aus Politik und Diplomatie ein wenig auszuhorchen. Man entschloss sich, ein nobles Etablissement des roten Lichtes, ganz in der Nähe des Berliner Kurfürstendamms gelegen, für diesen Lauschangriff zu präparieren. Sogar der italienische Außenminister Graf Ciano, Schwiegersohn des italienischen Diktators Benito Mussolini, wurde in die Hallen geführt um dort verführt zu werden. Freudenmädchen, mehrerer Sprachen mächtig, waren für diese Aufgaben speziell ausgebildet worden. Ob und was Ciano mit heruntergelassener Unterhose über die Pläne des Duce preisgegeben hat, ist nicht überliefert.

„…ausgesprochen neugierige Fragen…“

„Die Geschichte des Verrats ist voller weiblicher Lockvögel … Die Deutsche Bank setzte offenbar attraktive Damen ein“, schrieb die „Süddeutsche Zeitung“ im Mai 2010 anlässlich einer sehr unappetitlichen Spitzelaffäre. Auch bei dieser ging es um die sogenannte Venusfalle. Hintergrund war eine Affäre in der Deutschen Bank, ausgelöst durch einen kritischen Aktionär. Michael Bohndorf, so sein Name, lebt auf Ibiza und nervte bei den Aktionärsversammlungen den Bankvorstand.

An zumindest einen „weiblichen Lockvogel“, der auf ihn, wie Insider berichten, angesetzt war, kann er sich gut erinnern, schrieb zu jener Zeit das Nachrichtenmagazin „Der Spiegel“. „Es war eine damals 23-jährige, sehr gut aussehende Brasilianerin“, so Bohndorf. „Sie hat mich in einem Café angesprochen und angemacht.“ Kurze Zeit später sei er mit ihr nach Hause gefahren. „Dort habe die junge Frau für ein erstes Zusammensein ausgesprochen neugierige Fragen gestellt“, wie das Blatt berichtete. Die Staatsanwaltschaft jedenfalls sprach die Chefetage jedoch von dem Vorwurf frei, diese erotische Bespitzelung in Auftrag gegeben zu haben.

Ob nun, wie im Fall Salon Kitty oder sieben Jahrzehnte später im Fall der Deutschen Bank, der Fliegenleim der Erotik bleibt ein fester Bestandteil des Social Engineering. Die kunstvoll arrangierten persönlichen Kontakte, die die Zunge der Zielperson lösen sollen, sind mit Sicherheit die Königsdisziplin in der Welt des Social Engineering.

Cybergefahren nicht an erster Stelle

Dennoch könnte man, wenn man das Internet nach dem Stichwort „Social Engineering“ durchforstet, den Eindruck bekommen, es handle sich hier um eine reine Gefahr aus dem Cyberraum. Dieser Anschein jedoch wäre oder ist eine gefährliche Verzerrung des tatsächlichen Problems. Das Bundesamt für Verfassungsschutz hat im August 2022 ein Infoblatt zum Wirtschaftsschutz herausgegeben, dass sich mit dem Schutz vor Social Engineering beschäftigt. Nicht ohne Grund wird dort bei der Aufzählung der „Angriffswege“ an erster Stelle die „direkte telefonische Kontaktaufnahme, um z. B. an weiterführende Informationen zu gelangen“ aufgeführt. An zweiter Stelle rangiert das „persönliche Treffen, z. B. bei Messen oder – vermeintlich zufällig – auf einer Dienstreise“. Dieser Stellenwert der Kontaktaufnahme jenseits der IT ist nicht zufällig.

„Beim Social Engineering nutzen Angreifer den ‚Faktor Mensch‘ als vermeintlich schwächstes Glied der Sicherheitskette aus, um ihre kriminellen Absichten zu verwirklichen“, betont auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Um sich die Tragweite dieses Satzes vor Augen zu führen, muss man sich zuerst über die Motive der Täter Gedanken machen. Natürlich ist im Sinne der Kriminellen die Überlegung naheliegend, mit Social Engineering schnell an viel Geld zu kommen. Aber wie schon in den eingehenden Beispielen gezeigt, können ganz andere Ursachen einem Social Engineering-Angriff zugrunde liegen.

Welche Summen können beispielsweise im Spiel sein, wenn es um die Ausschreibung großer Bauprojekte geht? Hierbei ist es von allergrößter Wichtigkeit, bei der Auftragsausschreibung die Nase vorn zu haben, also zu wissen, welche Kosten die Konkurrenz aufrufen wird. Um bei einem solchen, in der Regel international ausgeschrieben Projekt erfolgreich zu sein, ist mehr als denkbar, dass der ganze „Werkzeugkasten“ des Social Engineering aufgemacht wird. Es wäre naiv, davon auszugehen, dass sich alle Mit-Bewerber lupenrein an die gesetzlichen Rahmenbedingungen halten. Also ist permanente Wachsamkeit dringend geboten.

Wenn der Abfall wertvoll wird

Dabei sind auch scheinbar unorthodoxe Wege erfolgversprechend. „Eine sehr gute Quelle für interne Informationen ist beispielsweise der Abfall. Social Engineers durchsuchen gerne den Müll des Unternehmens, das sie ausspionieren wollen, um in späteren Gesprächen vertrauenserweckende Informationen über das Büroleben streuen zu können“, schreibt das sozialwissenschaftliche Magazin „Katapult“. Dieser Abfall muss nicht unbedingt materieller Natur sein. Wie wertvoll können Gesprächsfetzen werden, wenn einige Lästermäuler zum Beispiel beim Mittagstisch in dem nahegelegenen Restaurant über die Chefetage herziehen. „Wenn der Alte nächste Woche in Asien rumtourt, kann sich Schmidtchen endlich wieder in Ruhe die Nägel lackieren.“ Könnte so ein banaler Satz in den Ohren ungebetener Lauscher nicht plötzlich Gold wert sein? Man erfährt auf diese Art und Weise, dass der Chef zu einer Geschäftsreise nach Fernost aufbricht, seine Sekretärin „Schmidtchen“ gerufen wird und eine Vorliebe für gepflegte Mani- oder Pediküre hat.

Wenn – wie das BfV in seinem Info-Blatt betont – Social Engineering Angriffe oft mit einem Telefonat beginnen, sind mit diesen Informationen die Chancen, sich in das Vertrauen der Angerufenen einzuschleichen, wieder um einiges gewachsen. Das Puzzlespiel, mit dem viele Internas zu einem Gesamtbild zusammengefügt werden, kennt also viele Wege, sich die einzelnen Puzzleteile zu „erarbeiten“.

Evaldas Rimasauskas – der „größte“ Social Engineering Fall

Betrachten wir den Fall von Evaldas Rimasauskas, der bislang als der größte Coup im Bereich Social Engineering gilt. Vor fünf Jahren wurde der damals 50-jährige Rimasauskas in den USA zu fünf Jahren Haft verurteilt. Er hatte 122 Millionen US-Dollar von den Unternehmen Facebook und Google ergaunert. Über die Vorgehensweise des Litauers Rimasauskas ist (vielleicht verständlicherweise) sehr wenig im deutschsprachigen Raum publiziert worden. Aber allein die Fakten, die von der Staatsanwaltschaft für den Südbezirk von New York über dem Fall bekannt gegeben wurden, lassen unschwer erkennen, mit welcher kriminellen Energie dieser Raubzug ausgeführt worden sein muss. Rimasauskas hat mit weiteren, nicht bekannt gewordenen Mittätern, eine Firma eröffnet, die exakt denselben Namen trug wie der taiwanesische Hardware-Ausrüster Quanta Computers. Dieser Schachzug geschah natürlich nicht zufällig. Man kann sich nur ausmalen, mit welcher Akribie und Tricks diese Firma ausspioniert worden ist. Noch interessanter ist jedoch, dass Rimasauskas an die Informationen kam, dass Google und Facebook dort eine größere Bestellung aufgegeben hatten. Auf diese Bestellung bezogen sich dann E-Mails, in denen die Ware in Rechnung gestellt wurde. Dafür wurden Bankkonten in Lettland und auf Zypern eröffnet. Die beiden geschädigten Unternehmen überwiesen prompt. Dann habe Rimasauskas „diese Gelder auf Bankkonten auf der ganzen Welt abgeschöpft“, so der Staatsanwalt Geoffrey S. Berman. Das führende taiwanesische Fachmagazin „Financial News“ zitiert in diesem Zusammenhang Lin Hongjia, den stellvertretenden Direktor für Informationssicherheit und Risikomanagement bei Microsoft Taiwan, der zu der Einschätzung kam, „dass diese kriminelle Methode als fortgeschrittenste Anwendung von Social Engineering angesehen werden kann.“

Selbst Internet-Ikonen und Politik-Größen nicht gefeit

Auch wenn der Betrugsversuch wohl nicht den erhofften Effekt erreichte, steckt dahinter ein großer Coup. Im Juli 2020 berichtete das Nachrichtenmagazin „Der Spiegel“ unter der Dachzeile „Sicherheitsprobleme bei Twitter“, dass auf den offiziellen Accounts bei Twitter (jetzt „X“) des Microsoft-Gründers Bill Gates, des milliardenschweren Investors Warren Buffett und von Amazon-Gründer Jeff Bezos plötzlich zu lesen war, dass jeder, „der an eine bestimmte Adresse Bitcoins sende, das Doppelte seiner Einzahlung“ postwendend zurückbekäme. Die Masche an sich war nicht neu, aber bei diesem Betrugsversuch ging es nicht um Fake-Accounts. Die Konten der Promis, zu denen auch die von Elon Musk und Jo Biden gehörten, waren real kompromittiert worden. Der „Spiegel“: „Einem Hacker oder einer Hackergruppe war es offenbar gelungen, zahlreiche echte und von Twitter sogar mit einem blauen Haken verifizierte Accounts zu kapern. Es war die Breite und Sichtbarkeit des Hacks, die irritierte.“ Man gehe davon aus, einem koordinierten Social Engineering Angriff auf die Schliche gekommen zu sein, ließ das Unternehmen Twitter damals verlauten. Dem Unternehmen zufolge war es Personen gelungen, „erfolgreich einige unserer Mitarbeiter mit Zugang zu internen Systemen und Werkzeugen ins Visier zu nehmen“. An die am häufigsten von den Betrügern genutzte Adresse waren dennoch „umgerechnet rund 103.000 Euro gesendet worden – bei einigen Bitcoin-Besitzern könnte die Betrugsmasche, kombiniert mit dem ungewöhnlichen hohen Promi-Faktor, also doch Eindruck gemacht haben“, so das Magazin.

Cyberattacken als Teil eines größeren Ganzen

Die vorstehend aufgeführten Fälle sollen nicht die Attacken aus dem Cyberraum kleinreden, sondern sich vielmehr in den Kontext der exemplarisch genannten „Großangriffe“ stellen. Sie haben seit langem ihren festen Stellenwert im Bereich von Social Engineering.

Als Beispiel hierfür kann auch der Hackerangriff vom Februar 2016 auf die Zentralbank von Bangladesch angesehen werden, der ebenfalls zu den weltweit größten Social Engineering- Coups zählt. Mithilfe von Insidern hatten sie sogenannte Spear-Phishing-E-Mails mit durch Malware infizierte Anhänge verschickt. Als die angeschriebenen Personen diese Anhänge schließlich öffneten, gewährten sie damit den Hackern unwissentlich Zugriff auf das Netzwerk und die Systeme der Bank.

Spear Phishing ist als eine der raffiniertesten Methoden, um via Internet eine Zielperson zu manipulieren. Die hier angewandte Vorgehensweise beschreibt das Bundesamt für Verfassungsschutz in ihrem Cyber-Brief Nr. 01/2023: „Im zweiten Schritt findet die persönliche Kontaktaufnahme statt, bei der das Opfer durch Social Engineering manipuliert und mit falschen Versprechungen zu sicherheitskritischem Verhalten verleitet werden soll. Sobald sich die Konversation etabliert hat, sendet der Angreifer in einem dritten Schritt eine Einladung zu einem Online-Videochat. Um am Videochat teilnehmen zu können, muss das Opfer auf den vom Angreifer versendeten Link klicken. In der Anmeldemaske geben die Opfer ihre Login-Daten ein und ermöglichen dem Angreifer Zugriff auf die von ihnen genutzten Onlinedienste.“ Nur wer die Komplexität von Social Engineering Angriffen versteht, ist in der Lage, die Gefahren auch scheinbar unbedeutender Detailangriffe zu erkennen.