Von Cyberkriminellen und Cyberangriffen ist immer öfter die Rede. Ziel solcher Angriffe sind meistens sensible Daten sowie die Erpressung von Geldbeträgen von Unternehmen. Trotzdem können auch Privatpersonen oder sogar Arztpraxen betroffen sein.
Ein elektronischer Angriff nutzt in der Regel eine technische Schwachstelle des Opfers aus. Technische Schwachstellen entstehen häufig aufgrund fehlender Updates des Betriebssystems oder der Anwendungen. Sind diese technischen Schwachstellen nicht vorhanden, ist es für den Cyberkriminellen schwierig und teuer, auf technischem Weg in ein System einzudringen.
Es bleibt aber noch ein weiterer Weg. Dieser ist häufig sehr einfach und man braucht deutlich weniger Ressourcen und Know-how auf Angreiferseite, um erfolgreich zu sein. Die Rede ist von „Social Engineering“ und ist im Prinzip so alt wie die Menschheit. Ziel eines Social Engineers ist es grundsätzlich immer, jemanden durch Manipulation dazu zu bringen, etwas zu tun, was er sonst nie tun würde. Zum Beispiel einem völlig Fremden Millionenbeträge zu überweisen. So spart er sich die Notwendigkeit, Daten zu verschlüsseln oder zu stehlen und die Geldbeträge im Anschluss zu erpressen.
»Der Mensch ist gutgläubig und konfliktscheu«
Und genau das macht ihn manipulierbar. Diese Aussage ist ein Zitat aus „Who am I – Kein System ist sicher“, einem deutschen Cyberthriller von 2014. Und sie trifft den Nagel auf den Kopf: Genau so funktioniert Social Engineering, also die Manipulation durch soziale Interaktion. Es gibt verschiedene soziale Mechanismen, die sich ein Social Engineer zunutze macht:
Sympathie
Mit Abstand am besten funktioniert die Manipulation über Sympathie. Wenn mich jemand mag, dann tut er mehr für mich als für andere. Dafür gibt es viele Beispiele. Jeder von uns hat das schon am eigenen Leib erfahren, wenn es um das Verhalten gegenüber dem/der Partner/in geht.
Es gibt dazu einen interessanten Fall aus Belgien, wo ein Bankkunde über ein Jahr lang mehrmals pro Woche die Bank aufsuchte. Er war gut gekleidet, höflich und brachte den Angestellten gelegentlich Schokolade oder andere Kleinigkeiten mit. So bekam er schließlich den VIP-Zugang zum Tresorraum. Er verließ daraufhin die Bank mit Rohdiamanten im Wert von 28 Millionen US-Dollar. Den Schlüssel bekam er, weil er dieses Ziel von langer Hand vorbereitete. Mit Schokoladengeschenken und Sympathie.
Vorurteile
Menschen nehmen ihre Umwelt immer mit Vorurteilen wahr. Diese Eigenschaft nutzt ein Social Engineer aus. Ein Beispiel dafür ist die Einschätzung von Expertenmeinungen. Wenn der Meister und Leiter einer Kfz-Werkstatt Ihnen nahelegt, dass Sie dringend neue Reifen brauchen, kaufen Sie eher neue Reifen, als wenn das Ihre Tochter oder Ihr Sohn Ihnen sagen würden.
Entscheidungen auf Basis von Vorurteilen helfen uns durch den Alltag und haben sich bewährt. Ein Social Engineer weiß das! Und wenn er Ihnen neue Reifen verkaufen möchte, dann macht er das in der Rolle des Werkstattleiters und nicht als Grundschullehrer.
Eine Hand wäscht die andere
Wer kennt nicht den Stand im Supermarkt mit dem exklusiven Käse aus Holland oder der Kaminwurzen aus Südtirol? Die Idee dahinter ist simpel: Wenn Sie den Käsewürfel probieren und er Ihnen schmeckt, werden Sie sehr wahrscheinlich diesen Käse kaufen und nicht einen anderen, günstigeren – schließlich hat man Ihnen diesen ja bereits „geschenkt“.
Erfüllung von Erwartungshaltung
Man erwartet von einem Menschen in Sanitäteruniform, dass er bei Unfällen hilft. Man erwartet von Menschen in teuren Anzügen, dass sie vermögend und eventuell auch kompetent sind. Ein gutes Beispiel dafür ist der Hochstapler und Social Engineer Frank Abagnale, bekannt auch aus der Verfilmung seines Lebens mit Leonardo DiCaprio in „Catch me if you can“. Allein durch das Tragen einer Pilotenuniform erschlich er sich auf diesem Weg zig Flüge. Hier nähern wir uns neben der Gutgläubigkeit auch der Konfliktscheuheit.
Alle machen das so
Der berühmte Gruppenzwang: Man verhält sich so, wie es alle tun. Das ist bequem und einfach. Experimente und Studien dazu gibt es viele. Diesen Gruppenzwang nutzen auch Social Engineers. Manchmal wird der Gruppenzwang sogar nur vorgetäuscht: Bei Frau Meyer und Herrn Schulze war das nie ein Problem, die haben, das schon immer so getan. Und das wird nicht hinterfragt.
Obrigkeit
Wenn Anweisungen „von oben“ kommen, werden sie weniger infrage gestellt. Aktuell wird das vor allem beim sogenannten „CEO-Fraud“ oder der „Fake-President-Masche“ umgesetzt. Bei diesem Social-Engineering-Angriff gibt sich der Angreifer als Mitglied der Geschäftsleitung aus und fordert uneingeschränkte Mitarbeit ein.
Sollten Mitarbeiter die, meist per E-Mail verfassten, Anweisungen hinterfragen, wird der Ton schnell rauer. Diese Situation mögen die meisten Menschen nicht und versuchen sich der unangenehmen Lage zu entziehen.
Götz Weinmann
- Fördern und fordern Sie eine offene Unternehmenskultur in Ihrer Praxis.
- Stellen Sie klare Regeln für kritische Prozesse auf. Autorisieren Sie zum Beispiel Überweisungen ab einer bestimmten Höhe nur durch höchstens zwei bestimmte Personen.
- Informieren Sie Ihr Praxisteam regelmäßig über bekannte Betrugsmaschen.
- Schulen Sie Ihr Personal bezüglich E-Mail-Sicherheit: Klicken Sie keine Links von unbekannten Absendern! Das gilt auch für das Öffnen von Dateianhängen.
- Achten Sie darauf, wer Ihre Praxis betritt – auch in Stoßzeiten.
- Schützen Sie Ihre Patientendaten schon mit einfachen Maßnahmen, wie regelmäßigen Programm-Updates auf Ihren Praxis-PCs.
- Sichern Sie den Internetzugang Ihrer Praxis mit einem Passwort.
- Wechseln Sie regelmäßig die Passwörter Ihrer PCs sowie Ihrer Datenbanken! Damit Sie sich diese nicht ständig neu merken müssen, können Sie die Passwörter in Passwort-Management-Programmen abspeichern.
- Die Länge macht’s! Nutzen Sie Passwörter mit mehr als 10 Zeichen.
- Erstellen Sie regelmäßige Backups und lagern Sie diese aus.
