Soziale Manipulation: Das ist Social Engineering
Beim sogenannten Social Engineering sprechen Expertinnen und Experten auch von "sozialer Manipulation". Denn die Betrüger bauen im ersten Schritt ein Vertrauensverhältnis zu ihren Opfern auf, spionieren das persönliche Umfeld ihres Opfers aus und täuschen Identitäten vor, um im zweiten Schritt an die sensiblen Daten zu kommen.
Das Opfer, das auf die Täuschung hereinfällt, handelt im guten Glauben, das Richtige zu tun. Tatsächlich spielt es dem Täter jedoch in die Hände.
So kann Social Engineering in der Praxis aussehen
In einem Fall, der an die MARKTCHECK-Redaktion herangetragen wird, lernt die 21-jährige Laura einen Mann über eine Dating-App kennen – er nennt sich Nico und ist angeblich vermögender Jung-Unternehmer. Die beiden verstehen sich gut und fangen an, über WhatsApp zu chatten.
Nico behauptet, seine Firma würde verdeckt den Service von Online-Banken testen – unter anderem für Check 24. Dafür brauche er dringend Probanden.
„Dadurch, dass er sehr sympathisch auf mich gewirkt hatte, habe ich halt gedacht, dass ich ihn da unterstützen kann.”
Der Täter lässt Laura eine Mail zukommen, die von Check 24 zu sein scheint und angeblich bestätigt, dass sie dort an einem Servicetest teilnehme. Alles scheint seriös. Außerdem fragt Nico für den angeblichen Test nach Lauras Geburtsdatum, ihrer Adresse und ihrer Bankverbindung
Wie sicher ist das Video-Ident-Verfahren?
Von nun an gibt sich Nico im Internet als Laura aus. Er legt auf ihren Namen eine E-Mail-Adresse an, eröffnet ein Konto bei einer Online-Bank und nimmt auf ihren Namen einen Kredit über 30.000 Euro auf. Laura weiß davon nichts.
Um den Kredit ausbezahlt zu bekommen, muss er Laura nur noch dazu bewegen, sich bei der Bank auszuweisen. Er schreibt ihr, das einzige, was sie brauche, sei ihr Personalausweis für die Verifizierung zum Schluss. Laura geht darauf ein, und zeigt bei einem Videochat ihren Ausweis und legitimiert so, ohne es zu wissen, den Kredit über 30.000 Euro. Das Geld ist weg. Niemand kennt Nicos wahre Identität und Laura schuldet der Bank nun offiziell 30.000 Euro – ohne, dass sie jemals etwas von dem Kredit wusste.
MARKTCHECK macht noch weitere Fälle ausfindig. Knackpunkt bei allen ist das sogenannte Video-Ident-Verfahren. Damit identifizieren sich vor allem Kunden bei Online-Banken. Betrüger nutzen hier die Schwachpunkte aus. Haben sie mit den Daten der Opfer erst einmal ein Konto eröffnet, müssen sie es nur noch dazu bringen, unter einem Vorwand das Video-Ident-Verfahren zu durchlaufen.
Die Kritik an der Online-Verifizierung
Das Video-Ident-Verfahren ist umstritten. Kritiker wie André Zilch vom Chaos Computer Club attestieren ihm seit Jahren Sicherheitsmängel. Er bemängelt, dass das Video-Ident-Verfahren erst nach der Eröffnung des Kontos durchgeführt wird.
"Das ist ganz anders als in einem Präsenzfall, wo sie zuerst in eine Bank gehen und dann dort identifiziert werden. Und erst nachdem sie identifiziert wurden, dann auch diese Kontozugangsdaten erhalten. In dem Online-Verfahren sieht es allgemeinen so aus, dass sie zuerst diese Konto-Zugangsinformationen bekommen und dann identifiziert werden."
Die Bankenaufsicht BaFin erklärt, "Videoidentifizierungsanbieter [haben] auch Sicherungsmaßnahmen zu treffen, um Fälle von sog. Social Engineering zu verhindern." Wie solche Sicherungsmaßnahmen konkret aussehen können, das ist in der Praxis bzw. bei den Banken häufig noch ungeklärt. Schützen kann man sich vor Social Engineering deshalb eigentlich nur selbst.
Regeln zum Schutz vor Social Engineering
Mit diesen Regeln können mögliche Betroffene sich laut des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Fachbuchs "Social Engineering - Der Mensch als Sicherheitsrisiko in der IT" bereits gegen einen Großteil der Social Engineering Angriffe wehren:
- Prüfen Sie immer die Identität des Bittstellers
- Prüfen Sie immer: Ist es berechtigt, dass der Bittsteller diese Informationen erhält?
- Stellen Sie Rückfragen an den Bittsteller und beraten Sie sich bei Zweifeln mit Ihren Nächsten
- Seien Sie vorsichtig mit Auskünften (sowohl am Telefon als auch online – zum Beispiel per Mail oder auf Social Media-Plattformen)
- Geben Sie wichtige Dokumente und sensible Daten nie frei
- Sollte eine Reaktion zwingend erforderlich sein, vergewissern Sie sich durch einen Anruf beim Absender oder der Absenderin, dass es sich beispielsweise um eine legitime E-Mail oder -Internetpräsenz handelt.
- Behandeln Sie ihre Passwörter wie ein Staatsgeheimnis. Niemand muss Ihre Kennwörter wissen.
- Lassen Sie sich nicht unter Druck setzen
- Achten Sie auf ordnungsgemäße Vernichtung von Datenträgern und Dokumenten, die Sie nicht mehr brauchen
