Social Engineering [ˈsəʊʃl̩ ˌɛndʒɪˈnɪəɹɪŋ] (engl. eigentlich „angewandte Sozialwissenschaft“, auch „soziale Manipulation“) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Daten oder Dinge zu gelangen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen falsche Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking ['hækɪŋ] (vgl. Hacker), so die Definition in Wikipedia vom 15. Mai 2011.
Ganz teilen wir diese Definition nicht. Bei ausreichendem "Berechtigtem Interesse" kann dieser Weg der Informationsbeschaffung durchaus rechtskonform sein. Natürlich sind die einschlägigen Rechtsvorschriften zu beachten. Die unterschiedlichen Formen des Social Engineering kollidieren mitunter mit verschiedenen Rechtsvorschriften. Wie immer, wenn es um das "Berechtigte Interesse" geht, ist eine sorgfältige Interessensabwägung unabdingbar.
Definition des Social Engineering:
Social Engineering ist die gezielte Informationsbeschaffung unter Verdeckung der eigentlichen Eigenschaft des Befragers (Social Engineer) und des Befragungsgrundes unter Ausnutzung menschlicher (Charakter-)Eigenschaften der Informationsquelle.
Social Engineering, im Speziellen Human Based Social Engineering ist eine effektive Möglichkeit an Informationen zu kommen, welche ansonsten die Informationsquelle dem Befrager bei einem offenem Interview verschweigen würde. Anwendung findet Social Engineering in seinen verschiedensten Facetten u. A. auch in der nachrichtendienstlichen Vernehmung , auch Intelligence Interview. Unterstützend und im WWW frei verfügbar sind auf elektronischer Basis ein Social Engineering Toolkit mit einem entsprechendem Social Engineering Tutorial als Anleitung (Computer Based Social Engineering).
Achtung: Das bloße Behaupten, man sei Staatsanwalt oder Polizist ist nach gängiger Rechtsprechung nicht strafbar, solange keine zusätzliche Amtshandlung (eine Handlung, zu der ausschließlich Amtsinhaber berechtigt sind) begangen wird. Siehe auch: Kammergericht Berlin Az. (2/5) 1 Ss 111/06 (51/06)
Die simple Frage nach dem Personalausweis oder einem Arbeitgeber stellt keine Amtshandlung dar. Jedem ist es erlaubt, nach Namen, Arbeitgeber oder Ausweis zu fragen. Eine Amtshandlung wäre z. B. das Verlangen einer "unbeschränkten Auskunft aus dem Zentralregister". Diese steht ausschließlich den in § 41 Bundeszentralregistergesetz genannten öffentlich-rechtlichen Einrichtungen zu. Somit ist das Verlangen im Wege einer dienstlichen Anweisung dieser Auskunft unter der Deckidentität "Staatsanwalt" eine Amtshandlung und damit strafbar (§ 132 StGB, § 132a). Je nach Variante kommen weitere Vergehen in Betracht.
Achtung: Ist die verlangte Auskunft kostenpflichtig, z. B. bei kommerziellen Datenbankbetreibern oder einem Einwohnermeldeamt, kommt möglicherweise eine Bestrafung im Rahmen des § 263 Betrug in Betracht. Der Social Engineer verschafft sich durch Täuschung des Opfers nicht nur die Information sondern auch einen Vermögensvorteil.
Der Autor dieser Zeilen rät grundsätzlich von solchem Vorgehen ab. Die besten Erfahrungen mach(t)en wir mit einem offenen und sachlichen Vortrag der Problematik. Um dem Vorwurf des "Entgelt-Unterschleifs" zu begegnen und wenn es schnell gehen muß, wird das Auskunftsersuchen per Fax oder per Internet gestellt und unmittelbar im Anschluß der fernmündliche Kontakt mit dem Sachbearbeiter hergestellt.
Grundsätzlich wird unterschieden zwischen
- Human Based Social Engineering - Wie beim Reverse Social Engineering findet hier ein direkter Kontakt zwischen Social Engineer und Informationsquelle statt. Beide Arten stellen die schwierigste Art des Social Engineering dar, da hier in Echtzeit Entscheidungen gefällt werden müssen und die Reaktionen der Informationsquelle unmittelbaren, direkten Einfluss auf das weitere Vorgehen haben. Ausgenutzt werden Gutgläubigkeit, Hilfsbereitschaft, Autoritätshörigkeit, Unwissenheit, Konfliktangst aber auch potentiell negative Eigenschaften der Informationsquelle wie Neid, Gier, Hang zum Tratsch und noch einige weitere.
- Reverse Social Engineering - Eigentlich zugehörig zum Human Based Social Engineering wird bei dieser Technik der Informationsquelle angeboten, ein fiktives Problem, welches in beider Verantwortung verursacht worden sein kann, zu beseitigen. In einer Variante spielt der Social Engineer Opfer (unter der fiktiven Angabe, er selbst sei Verursacher des Problems) und Retter in der Not in einer Person und zielt dabei auf die Hilfsbereitschaft der Informationsquelle ab.
- Computer Based Social Engineering - Hier findet kein direkter Kontakt zwischen Social Engineer und Informationsquelle statt. Wie der Name schon sagt, findet die Kontaktaufnahme unter Zuhilfenahme von elektronischen Medien, z. B. Email, persönliches Nachrichtensystem in Social Networks oder auch über Foren oder Webseiten statt. Am bekanntesten ist hier wohl das Phishing. Weder sind große finanzielle Investments zu tätigen noch ist großes Fachwissen nötig, um eine entsprechende Mail zu erstellen und zehntausendfach zu versenden.
Für Ermittler von überwiegender Bedeutung sind dabei das Human Based Social Engineering und das Reverse Social Engineering. Unter einer Legende wird über standartisierte Verfahren eine Informationsquelle kontaktiert und versucht, eine bestimmte Auskunft zu bekommen. Excellente Kenntnisse der länderspezifischen Bürokratie und der berufsspezifischen Fachtermini sind Voraussetzung für eine erfolgreiche Informationsabschöpfung. Beliebt ist der Kontakt mit der Quelle unter Angabe, man sei von einer Behörde. Auch Laien versuchen mitunter so an Informationen zu kommen.
Social Engineering stellt eine der größten Gefahren - wenn nicht die Größte - in Sachen Geheimschutz und Know-How-Schutz dar. Social Engineering ist aber auch eine Möglichkeit für private Ermittlungsdienste, schnell und unkonventionell an Informationen zu kommen.
Wer das Social Engineering beherrscht, beherrscht auch die effektiven Abwehrmaßnahmen.
