Social Engineering Studie: Bluff me if u can
Nach dem Angriff auf TV5Monde:
Neue Studie zum Thema Cybercrime zeigt: Sozial-Ingenieure sind die neuen ‚Headhunter’ – es fehlt Unternehmen nicht nur an Notfallplänen, Begriff und Methoden des Social Engineering sind ebenso wenig bekannt wie Awareness
„Ganz schön blöd, wenn der Social Engineer der netteste Mensch am Arbeitplatz meiner Mitarbeiter ist.“ So treffend bringt ein Proband den berechtigten Wunsch nach Anerkennung für die eigene Arbeitsleistung auf den Punkt der heute herausgegebenen Studie „Bluff me if U can – gefährliche Freundschaften am Arbeitsplatz“. Denn Anerkennung ist laut dieser – vermutlich weltweit ersten – tiefenpsychologischen Wirkungsanalyse zum Thema Social Engineering eines der wichtigsten sozialen Einfalltore im Kontext von Wirtschaftskriminalität.
Traut man einschlägigen quantitativen Studien, nutzen inzwischen mehr als 60% aller digital operierenden Täter mindestens zur Vorbereitung von Cyber-Attacken & Co. Social Engineering, d. h. manipulative Methoden, bei der Betrüger unter Vortäuschung falscher Tatsachen versuchen, unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen. So vermutlich auch geschehen im Rahmen der gestern bekannt gewordenen Cyber-Attacke auf den französischen TV-Sender TV5 Monde.
„Kein Wunder,“ stellt Dietmar Pokoyski fest, Geschäftsführer der Kölner Security Awareness-Agentur known_sense, die gemeinsam mit dem Spezial-Chemiekonzern LANXESS, der TH Wildau und der Fachzeitschrift <kes> das psychologische Forschungsprojekt initiiert hat. „Obwohl die meisten die einst so ungeliebten Sicherheits-Maßnahmen inzwischen akzeptiert haben und auch stärker motiviert sind als je zuvor, ihre Kompetenzen in Bezug auf Informationsschutz auszuweiten,“ ergänzt Pokoyski, „bieten Unternehmen offenbar immer noch zu wenige nachhaltige Sensibilisierungs-Maßnahmen an.“ Die aktuelle Ausgangssituation wäre aber ideal, um die durch Medienberichte über Datenschutzskandale, Snowden, NSA & Co aufgeweckten und derart vorsensibilisierten Menschen in Bezug auf Security Awareness auch betrieblich mit Abwehrmaßnahmen vertraut zu machen und darüber die Widerstandskraft der so genannten „Human Firewall“ in den Unternehmen zu erhöhen.
Soziale Aspekte schließen technische Maßnahmen aus
Dass die Abwehr gegen Social Engineering aufgrund der sozialen Angriffspunkte ausschließlich über Awareness funktionieren kann, weil technische und organisatorische Maßnahmen bei Social Engineering gar nicht erst greifen können, macht die Studie umfassend klar. Um darüber hinaus aber vor allem die psychologischen Hintergründe von Fehlleistungen bei Betrug zu verstehen, wurde unter anderem die digitale Kommunikation der Probanden evaluiert. Dabei stellten die Psychologen fest, dass sich trotz einer vordergründigen Souveränität in Bezug auf die Medien-Nutzung und vor allem den Analog-Digital-Switch des letzten Jahrzehnts die Anfälligkeit der Menschen in Bezug auf Social Engineering aufgrund der Reduktion der an Kommunikation beteiligten Kanäle erhöht hat. Während an Face-to-face-Kommunikation neben der verbalen auch non-verbale
(z. B. Mimik, Körpersprache, Geruch) sowie paraverbale Kanäle (Stimmlage, Sprechverhalten etc.) beteiligt sind, reduziert sich ein Telefonat etwa auf den reinen Informationsgehalt des gesprochenen Wortes sowie die Stimmlage und erzeugt so häufig größere Probleme bei der Beurteilung von Fremden. In digitalen Medien wie Chat oder E-Mail kommen dann noch weniger Kanäle zum Tragen.
Aber nicht nur die Einschätzung „Fremder“ bereitet den meisten Probleme – viele Probanden waren nicht in der Lage eine Selbsteinschätzung ihrer kommunikativen Stärken bzw. Schwächen abzugeben. Wie ticke ich sozial? Was sind die sozialen Einfalltore, die ein Social Engineer im Ernstfall bei mir ausnutzen kann? Ist es die Anerkennung oder sind es womöglich Druck, Angst, Hilfsbereitschaft, Leichtgläubigkeit oder Neugier? Dies versuchten die Psychologen etwa über die Evaluation von Umgangsformen, die in eine Typologie gipfelt, bei der sich „Naive Dauersender“, „Versierte Netzjunkies“, „Vorsichtige Pragmatiker“, „Unbekümmerte Mitläufer“ und „Skeptische Verweigerer“ die Hand reichen. Dabei kam im Rahmen der Erforschung von Umgangsformen auch ein Livetest zum Zuge. Dieser Test mit dem Titel „Bluff-O-Meter“ wurde jedoch von zahlreichen Probanden abgebrochen oder nur mit erheblichen Widerständen zu Ende gebracht, so dass sich Ivona Matas, einer der beiden psychologischen Projektleiterinnen zusammenfassend fragt: „Wie sollen Geheimnisträger am Arbeitsplatz Fremde beurteilen können, wenn Sie noch nicht einmal in der Lage sind, sich selbst einzuschätzen bzw. die eigenen sozialen Schwächen zu reflektieren?“
Führungskräften fehlt es an Vorbild-Charakter
Die Menschen beschäftigen sich laut Matas zwar mit den digitalen Medien und entwickeln eine Form des souveränen Umgangs damit, aber kaum noch mit ihrer eigenen Persönlichkeit. Dieses Manko ist hausgemacht, denn „Kuchen schneidet man immer von oben an“, stellt die Studie fest und ergänzt, dass es im Kontext Social Engineering vor allem an Zeit, Vorbildern und Führungskultur in den Organisationen mangelt. Nicht nur, dass in Unternehmen häufig geeignete Security-Instrumente für Führungskräfte fehlen – etwa präzise Rollenbeschreibungen, die Manager als Sicherheitsvorbild ausweisen oder Moderations-Tools bzw. Simulationen, mit denen sie innerhalb ihrer Teams den richtigen Umgang im Kontakt mit Fremden einüben könnten – sondern vor allem soziale Skills dünn ausgebildet sind und Zeitdruck zu einer gewisse Beliebigkeit in Bezug auf den Umgang miteinander führt. „Wenn Führungskräfte nicht loben können, holen sich die Mitarbeiter ihre Streicheleinheiten eben von Außen, stellt Matas’ Kollegin, Ankha Haucke, fest. Und weiter: „Manager glänzen häufig nur mit kognitiven Fähigkeiten und Performance – gerade aber ein hoher Performance-Druck führt zu einer größeren Anfälligkeit gegenüber sozialer Manipulation.“
Auffällig ist auch, dass der Begriff des „Social Enginering“ – etwa im Gegensatz zu „Phishing – den meisten Probanden gar nicht geläufig war und durch die assoziative Verknüpfung mit „Social Media“ (sozial) bzw. deutscher Ingenieurskunst (Engineering) eher positiv wahrgenommen wurde. Wenigstens auf der kognitiven Ebene wurde der sich dahinter verbergende Betrugsversuch als besonders perfide abgelehnt. Psychologisch kann man als Opfer einer Social-Engineering-Attacke aber unter Umständen auch eine Aufwertung erleben, so dass einem die eigene Bedeutung und Wirksamkeit gewahr wird, z. B. weil sich jemand trotz der in der Studie geschilderten Beliebigkeit von Kommunikation die Mühe gibt, ausgerechnet mich auszuwählen und täuschen zu wollen. Der Social Engineer wird dann quasi zu meinem ‚Headhunter‘, der sich in besonderer Weise um mich bemüht. Ich erhalte Anerkennung, werde von ihm umgarnt, man forscht mich aus, interessiert sich für meine Hobbys und Gewohnheiten und für meine sozialen Eigenschaften. Diese Dynamik entspricht ungefähr derjenigen, die bereits in einer der Vorgängerstudien, „Entsicherung am Arbeitsplatz“ (2006), im Kontext der dramatisierenden Belebung des Arbeitsalltags durch die ‚Angreifer’ beschrieben wurde.
Scham weitaus größer als bei anderen Sicherheitsvorfällen
Aber auch dieser vermeintlich ‚positiven‘ Dynamik sind Kehrseiten inhärent, die bewusst machen, warum gerade die Anerkennung das soziale Einfalltor ist, das die größte Scham auslösen kann. Nämlich dann, wenn einem peinlich bewusst wird, dass der Sozial-Ingenieur so nett war, weil er einen perfiden Plan hatte und nicht, weil ich so interessant bin. Aufgrund dieser schambesetzten Reaktionen bei den Opfern, die weitaus größer ist als bei anderen Sicherheitsvorfällen, ist im Zusammenhang mit Social-Engineering-Angriffen auch von einer weitaus höheren Dunkelziffer auszugehen als bei anderen Security Incidents: Incident Management bei Social Engineering muss den Mitarbeitern daher besonders geschützte Räume zur Verarbeitung anbieten – eine Hotline alleine reicht nicht aus! Meldewege müssen also stärker auf Auseinandersetzungen mit dem Thema innerhalb vertrauter Settings setzen, z. B. im Rahmen eines moderierten Erfahrungsaustauschs, bei dem kommuniziert wird, dass Fehler passieren und jeder Opfer eines Social Engineering-Angriffs werden kann.
Auch wenn jemand aufgrund ‚leichtsinnigen‘ Verhaltens auf einen Social Engineering-Angriff ‚reingefallen‘ ist, ist er (aus Sicht von Incident Management und Kommunikation) stets Opfer, NICHT Täter und auch nicht Mittäter: Soziale Schwächen sind nicht als Beihilfe zu werten und Opfer wichtige Zeugen, die zur Aufklärung von Wirtschaftskriminalität beitragen – Unternehmen brauchen diese Informationen und eine Art ‚Zeugen-Opfer-Schutzprogramm‘, um sich zu immunisieren.
Wie aber wehrt man als Unternehmen mit Bedarf an Know-how-Schutz Sozial-Ingenieure ab? Basierend auf den Untersuchungsergebnissen setzt ein sinnvoller und funktionierender Schutz auf drei Ebenen an: 1. Bewusstsein für das eigene Kommunikationsverhalten entwickeln (Kommunikative Footprints im Auge behalten, Kommunikationskanäle erinnern, persönliche Denkabkürzungen, sog. mental-shortcuts kennenlernen), 2.. Identifikation von relevanten sozialen Eigenschaften (Erkennen der persönlichen Einfalltore, Abwehrmaßnahmen erlernen und anwenden), 3. Entwicklung einer geeigneten Sicherheits- und Unternehmenskultur (Sensibilisierung der direkten Führungsperson, Anreize für sicheres Verhalten durch die Unternehmenskultur, Mitarbeiter-Awareness).
Im Defense-Kontext wurden dann auch verschiedene Security-Awareness-Maßnahmen zum Thema Social Engineering getestet. Winner war – neben einem Audio-Podcast und einem interaktivem Video – ein so genanntes „Minigame“, bei dem in circa drei Minuten Zitate potenzieller Sozial-Ingenieure den sozialen Einfalltoren zugeordnet werden sollen. Eingesetzt wird es unter anderem im Rahmen von Lernstation-Events („SECURITY PARCOURS“) zur Mitabeiter-Sensibilisierung bei T-Systems International sowie bei weiteren known_sense Kunden, die ein ähnliches Format unter dem Titel „SecurityArena“ betreiben.
Frau Holle – Social Engineering-Momente in Märchen
Am Ende empfehlen die Psychologinnen einen Blick auf die Märchen der Gebrüder Grimm, die – wie z. B. „Hänsel und Gretel“ oder „Der Wolf und die sieben jungen Geißlein“ – nicht nur Methoden des Social Engineering aufgreifen, sondern in einer Auseinandersetzung mit spezifischen Fällen auch grundlegende Wirkverhältnisse der Informationssicherheit identifizieren und in ein Bild rücken lassen. So fänden sich die komplexen Verhältnisse, in die man durch die Auseinandersetzung mit Social Engineering gerät, im Märchen „Frau Holle“ wieder. Dort wird das Grundproblem behandelt, dass wir im Seelischen gerne richtungsweisende Ganzheiten suchen, die uns Stabilität und Sicherheit bieten. Wenn wir uns aber dem Thema Social Engineering stellen, wird uns bewusst, dass Menschen sich im Verlaufe einer Entwicklung als ganz andere entpuppen können als vormals geglaubt – so anders, dass sich unsere Situation schlagartig un drastisch verändern kann.
Der Umgang mit Social Engineering ist komplex und mühevoll – die Sensibilisierung zu diesem Thema bereitet deutlich mehr Arbeit und benötigt mehr Zeit als bei anderen Sicherheitsthemen. Wie die Glücksmarie wird nur derjenige belohnt, der seinen Mitarbeitern genügend Zeit zur Beurteilungen von kritischen Situationen einräumt, Verantwortung für sie übernimmt und den mühevollen Awareness-Prozess nicht scheut – auch wenn es in diesem Prozess einmal zu einer Fehlleistung kommen sollte – so wie zuletzt etwa bei TV5Monde .
Box 1: Die morphologische Markt- und Medienforschung
Auf Basis der morphologischen Psychologie, die an der Universität Köln entwickelt worden ist, analysieren Diplom-Psychologen die unbewussten seelischen Einflussfaktoren und Sinnzusammenhänge, die das Handeln eines jeden Menschen mitbestimmen. Mit oft überraschenden Ergebnissen. Beim psychologischen Tiefeninterview wird so tief „gegraben“, bis die Psychologen in der Lage sind, die psycho-logische Wurzel eines Phänomens erkennen und beschreiben zu können. Eine damit verbundene Darstellung gerät so breit und umfassend, wie es die jeweilige Fragestellung pragmatischer Weise erfordert. In den hier 2012 und Ende 2014 in zwei Samples durchgeführten 35 zweistündigen Einzelinterviews konnten so die unbewussten seelischen Wirkungen und Einflussfaktoren evaluiert werden, die das Verhalten aller von Social Engineering betroffenen Personen bestimmen. Diese wurden motiviert, in ihrer eigenen Sprache alles zu beschreiben, was ihnen im Zusammenhang mit Ihrer Arbeit, ihrem Wirken und der Unternehmenssicherheit durch Kopf und Bauch geht. Statt quantitativer Meinungsumfrage ohne Tiefung handelt es sich hier offene Interviews, in denen auf Zusammenhänge zwischen Gesagtem, Mimik/Körperausdruck und vor allem auf Fehlleistungen geachtet wird. So sind diese Explorationen gewissermaßen Forschungsreisen, auf denen Probanden und Interviewer bisher unverstandene Phänomene gemeinsam erkunden. Dabei werden die geheimen bzw. nicht bewusst wahrgenommenen Bedeutungs-Zusammenhänge erforscht und nachvollziehbar gemacht. D.h. in einem derartigen Setting eröffnen sich stets neue Wendungen und oft überraschende Einblicke, die dann systematisch auf ihre Verhaltensrelevanz weiterverfolgt werden.
Box 2: Studiendetails
Bluff me if U can –gefährliche Freundschaften am Arbeitplatz. Qualitative Wirkungsanalyse Social Engineering und seine Abwehr . Herausgegeben von known_sense, Lanxess Deutschland GmnH, TH Wildau und <kes> – Die Zeitschrift für Informations-Sicherheit, 78 S.,
16 S. Auszug, PDF (1,8 MB) zum Download hier: http://www.known-sense.de/BluffMeIfUCanAuszug.pdf
Bestellungen für die vollständige, kostenpflichtige Studie unter: email hidden; JavaScript is required