02.10.2023 - Im Oktober findet der «European Cyber Security Month (ECSM)» statt. Die jährliche, europaweite Kampagne wird von der European Union Agency for Cybersecurity (ENISA) gemeinsam mit den europäischen Mitgliedstaaten durchgeführt und widmet sich in diesem Jahr dem Thema Social Engineering. Als Kooperationspartner der ENISA nimmt das NCSC eine aktive Rolle in der Kampagne ein. Um die Aufmerksam der Bevölkerung für Social Engineering zu fördern, hat das NCSC mit verschiedenen Organisationen zielgruppenspezifische Inhalte für Jugendliche, Berufstätige und Senioren entwickelt. Sämtliche Kampagneninhalte werden über die Partnernetzwerke schweizweit gestreut.
Cyberkriminelle sind nicht nur technisch versiert, sondern oftmals auch geschickt bei der Manipulation ihrer Opfer. Nutzen Cyberkriminelle Psychologie und Manipulation, um an wertvolle Informationen oder Geld zu kommen, nennt man dieses Vorgehen Social Engineering. Social Engineering nutzt grundlegende menschliche Eigenschaften wie Begehrlichkeiten, Vertrauen, Neugier, Angst oder Respekt vor Autorität aus. Das Erwerben oder Erschleichen von Vertrauen nimmt hierbei eine zentrale Rolle ein. Tagtäglich damit konfrontiert, gibt Chantal Billaud von der Schweizerischen Kriminalprävention (SKP) Auskunft rund um das Thema Social Engineering.
Psychologie und Manipulation im cyberkriminellen Umfeld – ein Interview des NCSC mit Chantal Billaud der SKP
Was bedeutet Social Engineering?
Social Engineering ist ein Fachbegriff, der mit Cyberkriminalität aufkam. Damit sind Versuche von Cyberkriminellen gemeint, die darauf abzielen, menschliches Verhalten mittels verschiedener Techniken zu manipulieren, um beispielsweise an ihre Daten zu kommen, Zugang zu ihren digitalen Geräten zu erhalten oder von ihnen Geld zu erbeuten.
Wie schätzen Sie die aktuelle Gefahr ein, welche von Social Engineering ausgeht?
Kriminelle nutzen diese Techniken seit Beginn von Cyberdelikten. Experten und Expertinnen berichten immer wieder, dass der Mensch der hauptsächliche Schwachpunkt in der Cybersicherheit darstellt. Die Gefahr ist also immer aktuell und akut. Daher ist die Sensibilisierung sehr wichtig. Je besser auch die zusätzlichen technischen Schutzmassnahmen greifen, desto grösser werden die Hürden für erfolgreiche Social Engineering-Bemühungen sein.
Was sind die Kernthemen von Social Engineering aus psychologischer und welche aus kriminologischer Sicht?
Diese zwei Fragen können nicht unabhängig voneinander beantwortet werden. Aus psychologischer Sicht wird die Opferseite, aus kriminologischer Sicht die Täterseite beleuchtet. Wobei die Viktimologie (Hypothesen und Theorien zur Opferwerdung) auch Teil der Kriminologie ist und somit beide Fragen auf dasselbe zielen: Kriminelle versuchen, die menschlichen Schwachstellen gezielt so zu nutzen, dass sie die gewünschten Zugänge oder Informationen erhalten. Je nach Betrugsart werden unterschiedliche Schwachstellen (Kernthema bei den Opfern) mit unterschiedlichen Manipulationen (Kernthema bei der Täterschaft) angegriffen. Die Schwachstellen reichen von Sehnsucht nach Liebe bis zur reinen Geldgier. Die Manipulationen reichen von einem einfachen Spam mit Gewinnversprechen einer spanischen Lotterie bis zu stunden- resp. tagelangem Auskundschaften von Entscheidungsträgern in Firmen.
Ein Thema von Social Engineering ist das Aufbauen einer Vertrauensbasis. Wie gehen Cyberkriminelle vor?
Vertrauen herzustellen, ist Bedingung für den Erfolg von Manipulationen. Im Gegensatz zum technischen Hacking beabsichtigen Betrüger und Betrügerinnen, dass die Menschen eine Handlung vollziehen, die den Kriminellen in die Hände spielt. Da geht es um Vorgänge wie Passwörter mitteilen, Computerzugriffe erlauben, Links anklicken, Anhänge öffnen oder infizierte Memorysticks nutzen. Analog zum Diebstahl kann man das Hacking mit dem klassischen Einbruch vergleichen und Datendiebstahl mittels menschlicher Manipulation als den Trickdiebstahl. So brechen die einen Delinquenten Türen ein und andere erschleichen sich den Zugang mit fiesen Tricks. Nicht nur das Wissen und das Können darüber, wie man Vertrauen herstellt, gehören zum psychologischen Know-How der Social Engineers, sondern auch andere Verhaltensweisen, die geeignet sind, das gewünschte Ziel durch Manipulation zu erreichen.
Haben Sie ein konkretes Beispiel?
Wir sehen solche Beispiele täglich. Jedes Vorschussbetrugs-Mail beinhaltet Social-Engineering-Methoden, jede Phishing-Mail, alle Kontaktanfragen auf Social Media von (schönen, übertrieben verliebten, erfolgreichen) Fremden. Eine typische Betrugsart, die Manipulation als Kernkompetenz nutzt, ist der Liebesbetrug, der so genannte Romance- oder Love-Scam. Die kriminelle Energie der Betrügerinnen und Betrüger konzentriert sich dabei auf Vertrauensbildung und die Herstellung emotionaler Abhängigkeit.
Ein konkretes Beispiel wird in der Sendung Kassensturz Espresso beleuchtet: https://www.srf.ch/sendungen/kassensturz-espresso/multimedia-teil-1-honey-i-miss-you-so-much
Im Grundsatz geht es immer um dasselbe: Vertrauen schaffen, das Herz gewinnen, emotionale Abhängigkeiten herstellen, eine Notlage berichten, an die Liebe und Hilfsbereitschaft appellieren und Geld fordern, damit man endlich zusammenkommen kann. Der Austausch kann sich über Monate bis Jahre erstrecken!
Wer sind die Opfer von Social Engineering?
Wie bereits erwähnt, sind alle Menschen täglich mit Social Engineering konfrontiert. Ob der Manipulationsversuch zum Erfolg führt, hängt davon ab, ob die konkrete Manipulation auf eine akute Schwachstelle trifft. Wenn die Person zudem über wenig Medienkompetenz verfügt oder schlicht die Manipulationsmöglichkeiten im Netz unterschätzt, wird ein vollendeter Betrug wahrscheinlicher.
Kurz, es kann jeden und jede treffen, weil Cyberdelinquenten ihre Maschen auf unterschiedlichste Schwachstellen ausrichten. Und wer von uns ist nicht mal schwach in einem Moment? Die SKP hat hierzu einen Artikel verfasst: https://www.skppsc.ch/de/wer-ist-anfallig-fur-betrugsdelikte/
Wie suchen sich Cyberkriminelle ihre Opfer aus? Gibt es bestimmte Merkmale wonach Cyberkriminelle ihre Opfer auswählen?
Auch hier drängt sich eine Analogie mit dem Einbruch auf: Einbrecher, die auf kleinere Summen aus sind, nutzen einfache Brechwerkzeuge und jede Chance, die sich ihnen bietet. Sie versuchen es recht unspezifisch und bei einigen gelingt der Einbruch rasch, weil zu wenig gesichert wurde und bei anderen nicht.
So funktionieren auch alle Spams. Dieselben Manipulations- und Datendiebstahlsversuche werden an unzählige Menschen versandt. Die einen fallen auf die Masche herein, alle anderen löschen die Nachrichten.
Wenn Cyberkriminelle auf einen grossen Fang aus sind, dann bereiten sie sich intensiver vor, wie auch der Einbrecher, der beispielsweise eine Bank ausrauben will. Beim CEO-Fraud werden zum Beispiel oft viele Vorarbeiten seitens der Kriminellen geleistet; sie spionieren Daten der Firma aus, informieren sich über die Entscheidungsträger in der Firma usw. So erhöhen sich die Chancen, dass ein CEO-Fraud gelingt und deutlich mehr erbeutet werden kann. Die Formel ist also dieselbe wie bei der klassischen Kriminalität (und auch bei legalen Geschäftsvorgängen...): Je grösser der erhoffte Gewinn, desto grösser die Vorbereitungshandlungen.
Ein zusätzlicher Punkt noch: Kriminelle, die mit Spams oder sonstigen Massenanfragen arbeiten, beginnen mit wenig Aufwand, erhöhen aber die Bemühungen – gerade im Social Engineering-Bereich – drastisch, wenn eine Person «angebissen» hat. Beim Liebes-, aber auch z. B. beim Anlagebetrug, investieren die Kriminellen viel Zeit und Energie, um den Fisch an der Angel dann wirklich an Land zu ziehen. Das heisst, sie schreiben, rufen an und versuchen mit allen Mitteln, die Betroffenen von der Echtheit des Angebots (Bitcoin-Reichtum oder den erfolgreichen Professor aus Kanada heiraten zu können) zu überzeugen.
Gibt es einen Zusammenhang zwischen der Lebenssituation von Opfern und der Wahrscheinlichkeit, Opfer von Social Engineering zu werden (z. B. Mangel an Geld, Prestige oder körperlicher/seelischer Zuwendung)?
Wie ausgeführt, ist die Passung von «Masche und Mangel» das zentrale Element, damit ein Betrug gelingt.
Opfer von Social Engineering schämen sich oftmals, weil sie auf eine perfide Masche reingefallen sind. Was antworten Sie Opfern?
Dass Betroffene sich schämen, stellen wir immer wieder fest, vor allem bei Opfern eines Liebesbetrugs, bei dem der finanzielle Verlust das eine, aber der komplette Vertrauensverlust ins Gegenüber und vor allem in die eigenen Emotionen das andere ist. Wir versuchen, den Betroffenen deutlich zu machen, dass wir genau wissen, wie perfid und professionell Cyberkriminelle vorgehen und dass es die meisten treffen kann. Zudem ahndet die Polizei kriminelle Handlungen und nicht die berechtigten Gefühle der Betroffenen. Schämen sollten sich die Täter und nicht die Opfer, darauf haben wir aber leider keinen Einfluss.
Welches sind die finanziellen und emotionalen Folgen von Social Engineering?
Der Verlust ist abhängig vom konkreten Fall. Die emotionalen Schäden sind dann grösser, wenn auch von Seiten der Betroffenen emotional investiert wurde, das ist beim Liebesbetrug in der Regel am schlimmsten. Es gibt inzwischen Selbsthilfegruppen für Liebesbetrugsopfer und in ganz schlimmen Fällen empfehlen wir psychotherapeutische Unterstützung.
Bei einem Betrug geht es immer auch um einen Geldverlust. Wie einschneidend dieser ist, hängt stark von der Höhe des Verlusts in Bezug auf die Gesamtfinanzen an. Somit ist die Schadenssumme immer relativ.
Wie kann man Social Engineering erkennen und wie schützt man sich davor?
Das Feld ist zu komplex und zu veränderlich, um die Frage pauschal beantworten zu können. Die Redewendung, «wenn etwas zu schön ist, um wahr zu sein, ist es auch nicht wahr», kann als Richtlinie gelten. Aber was heisst das für eine Person, die unter akuten Geldschwierigkeiten leidet, völlig verzweifelt ist und deswegen auf ein Angebot einsteigt, das die Lösung aller Probleme verspricht? Das vernünftige Denken setzt genau in solchen Momenten aus. Darum ist ein guter Rat folgender: Bei sehr willkommenen und verlockenden Angeboten – sei das finanziell oder romantisch – immer erst drüber schlafen, bevor man reagiert. Um das zu vermeiden, setzen Kriminelle ja auch meist auf Zeitdruck. Auch immer zu empfehlen ist, Freunde und Familie zu involvieren, die oft einen neutraleren Blick auf die Sachlage haben. Auch googeln ist oft hilfreich, da Betrugsmaschen zwar rasch ändern, das Netz aber auch rasch darauf reagiert und erste Geprellte oft Meldungen im Netz absetzen. Bei Unsicherheit kann man sich auch bei der SKP oder bei der Kantonspolizei melden.
Was möchten Sie den Leserinnen und Lesern abschliessend mit auf den Weg geben?
Dass im Internet alles, wirklich alles, was manipuliert und missbraucht werden kann, auch manipuliert und missbraucht wird. Und zwar derart, dass eine Echtheitsprüfung für jede und jeden oftmals kaum möglich ist. Mit dem Einsatz von künstlicher Intelligenz wird sich diese Problematik noch massiv verstärken. Darum ist ein gesundes Misstrauen generell angesagt und im Zweifel sollten Fach- und Vertrauenspersonen aus der realen Welt beigezogen werden.
Weitere Informationen
Letzte Änderung 02.10.2023