Vorsicht Hacker: So dringen Hochstapler ins System ein

Zunächst sollten Mitarbeiter darin geschult werden, „Anfragen“ isoliert zu betrachten, anstatt der Umstände, unter denen diese gestellt werden. Laut Mitnick benutzen Social Engineering-Betrüger Schmeicheleien („Sie sind die Einzige, die schlau genug ist, um das für mich zu erledigen. Bitte führen Sie die angehängte Datei aus, die ich Ihnen gleich senden werde.“) und Einschüchterung („Wenn Sie mir nicht Ihr Passwort geben, damit ich mich einloggen kann, um meine E-Mails zu bekommen, dann sind Sie Ihren Job los.“).

Trennt man die Umstände von der Anfrage, dann ist das laut Mitnick schon ein großer Vorteil: „Am wichtigsten ist es, Mitarbeiter darin zu schulen, legitime und illegitime Anfragen unterscheiden zu können.“

Es gibt außerdem ein paar einfache Regeln und Richtlinien, die helfen können. Fast immer wird sich ein Social Engineer weigern, eine Rückrufnummer zu hinterlassen. „Er denkt sich eine Ausrede aus, etwa: ‚Mein Handy-Akku ist fast leer'“, erklärt Mitnick. Indem man eine Sicherheits-Regel einführt, die besagt, dass bei einer Anfrage vertraulicher Art, und wenn man den Anfragenden nicht persönlich kennt, dieser zurückgerufen werden muss, werden etwa sieben von zehn Social Engineering-Attacken vereitelt.

Mitnick ist kein IT-Sicherheitsgeneralist; sein Revier ist Social Engineering. Während seiner Erfolgszeit als krimineller Angreifer studierte er die hier mitspielenden psychologischen Aspekte und hat nun aus diesem Verständnis ein Geschäft aufgebaut.

„Die Sozialpsychologie sagt uns, dass Menschen zwischen zwei Denkmodi wechseln: dem systematischen und dem heuristischen Modus“, erklärt Mitnick. Wenn sich ein Mensch im systematischen Modus befindet, kann er klar denken. Im heuristischen Modus jedoch „sind wir nicht bei der Sache. Wir sind abgelenkt, wir denken an etwas anderes. Das ist zu 90 Prozent der Zeit der Fall.“

Das sind die Phasen, in denen wir am ehesten mit einem Angreifer kooperieren. Der Hochstapler kann den Willen seines Opfers beeinflussen und lässt ihm keinen guten Grund, lange zu zögern. Er kann dies tun, indem er um etwas bittet, bei dem es um einen Gefallen oder um etwas, das an sich nicht zur üblichen Arbeit der Zielperson gehört. Auch sich bei jemandem einzuschmeicheln, steht auf der Hitliste.

„Wenn Sie mit jemandem sprechen und feststellen, dass dieser rein zufällig in derselben Gegend aufgewachsen ist oder er sich für dieselben Hobbys oder denselben Sport interessiert… Der Angreifer möchte Ihnen ein Spiegelbild vorhalten, denn psychologisch neigen Sie eher dazu, jemanden zu mögen, der Ihnen ähnelt“, sagt Mitnick. „Und wenn Sie jemanden mögen, gehen Sie eher auf seine Anfrage ein. Sind zu viele Zufälligkeiten vorhanden, kann das eine gelbe Flagge sein.“