„Hallo Mama/Papa! Mein Handy ist kaputt, und das ist meine neue Handynummer: (…) Kannst du mir eine Nachricht per WhatsApp schicken?“ Bis zum Erhalt dieser SMS glaubte ich, als Awareness-geschulter IT-Sicherheitsexperte Social Engineering sofort als solches zu erkennen, wann immer es mir begegnet. Dieser Pfeil traf jedoch zufällig ins Schwarze, da meine Tochter gerade das erste Mal alleine im Ausland weilte.
Mein erster Impuls war: „Mein Kind ist in Schwierigkeiten, ich muss etwas tun," und sah mich selbst schon WhatsApp öffnen und die angezeigte Nummer wählen. Dann setzte jedoch langsam das vernunftgesteuerte Denken wieder ein und ließ mich innehalten: Es kam mir seltsam vor, dass meine Tochter WhatsApp für die Kommunikation vorschlug, da das Tool zumindest familienintern nicht mehr genutzt wird. So schickte ich eine kurze Anfrage an meine Tochter über den üblichen Kanal und zwang mich zum Warten. Und tatsächlich kam nach einiger Zeit die Antwort „Alles OK, warum?“.
Niemand ist also wirklich immun gegen Social Engineering (SE). SE gab es schon lange vor der Erfindung elektronischer Geräte, ist aber mit dem Aufkommen der IT zu einem echten Problem geworden (weil die soziale Distanz vergrößert und Identitäten verschleiert werden). Um dagegen gewappnet zu sein, muss man die Psychologie dahinter verstehen: SE manipuliert die Angriffsopfer unter Zuhilfenahme entweder erlernter oder vererbter Verhaltensmuster.
Der Sitz von vererbten Verhaltensmustern (Instinkten) ist in sehr tiefen und alten Hirnregionen verankert. Manipulationen, die daran appellieren sind daher auch am wirksamsten. Die Auslösemechanismen hierfür können unspezifisch sein und sind dennoch wirksam. Im Falle meines Beispiels war dies der Appell an den Schutzinstinkt gegenüber dem Nachwuchs.
Im Gegensatz dazu richten sich Manipulationen von erlernten Verhaltensmustern an nicht ganz so rudimentäre Hirnregionen. Um den Angriff dennoch erfolgreich durchzuführen, muss der Auslösemechanismus hier deutlich ausgefeilter sein. CEO-Frauds beispielsweise nutzen den sogenannten Kadaver-Gehorsam – ein erlerntes Verhaltensmuster, das auf blindes Vertrauen gegenüber Vorgesetzten basiert. Der Auslösemechanismus hierfür ist eine fingierte Nachricht der Führungskraft, die sehr gut gemacht sein muss, um keinen Verdacht aufkeimen zu lassen. Nachweislich sind CEO-Frauds dort am erfolgreichsten, wo streng hierarchische Strukturen die Unternehmenskultur bestimmen. Es lohnt sich für Angreifende also, die Unternehmenskultur eines potenziellen Opfers zu recherchieren und einen maßgeschneiderten Angriff auf dessen Angestellte durchzuführen.
Beiden Angriffsvarianten gemein ist, dass Hirnregionen angesprochen werden, in denen bewusstes Denken und Handeln keine Rolle spielt. Es geht darum, das Opfer zu alarmieren bzw. in einen Zustand zu versetzen, in dem vernünftiges Handeln aussetzt und stattdessen impulsgesteuertes Handeln die Regie übernimmt. Die erste und wichtigste Awareness-Regel in Bezug auf SE ist deshalb: Nicht drängen lassen! Stattdessen erst einmal durchatmen und im Geiste einen Schritt zurücktreten, um dem bewussten Denken Raum zu geben.