Social Engineering. Grundlagen der Manipulation und Präventionsmaßnahmen für Unternehmen

Inhaltsverzeichnis

1 Einleitung

2 Social Engineering
2.1 Definition
2.2 Arten von Social Engineering
2.3 Methoden der Informationssammlung

3 Manipulation
3.1 Reziprozität
3.2 Commitment und Konsistenz
3.3 Soziale Bewährtheit
3.4 Sympathie
3.5 Autorität
3.6 Knappheit

4 Prävention
4.1 Traditionelle Schutzkonzepte
4.2 Neue Schutzkonzepte
4.3 Verhaltenshinweise im Unternehmen
4.4 Trainings & Methoden

5 Fazit

Literaturverzeichnis

1 Einleitung

Ein minderjähriger amerikanischer Trickbetrüger und Hochstapler erschleicht in den 1960er Jahren mit gefälschten Schecks vier Millionen Dollar, jettet als vermeintlicher Pan-Am-Pilot um die Welt, arbeitet über ein Jahr lang mit gefälschten Zeugnissen und einem Titel als Arzt in einem Krankenhaus und wird dann Anwalt in der Kanzlei eines erfolgreichen Staatsanwalts, mit dessen Tochter er sich verlobt.

Dieser vollkommen undenkbare Lebenslauf kommt möglicherweise dem einen oder anderen bekannt vor, als Handlung aus dem Film „Catch Me If You Can“. Und er entspricht tatsächlich der wahren Geschichte von Frank Abagnale, einem US-amerikanischen Unternehmer, gespielt von Leonardo DiCaprio, der die Erwartungen seiner Umwelt in jeder Situation erfüllt und täuschend echt verschiedenste Berufe ausübte, ganz ohne diese gelernt zu haben.

Doch wie funktioniert dieser Schwindel? Die Antwort auf diese Frage lautet schlichtweg: Social Engineering. Was hier als unterhaltsamer und medienwirksam aufbereiteter Kinofilm über die Leinwände flackert ist in Wahrheit ein Paradebeispiel für die erfolgreiche Anwendung verschiedenster Techniken der Manipulation im Rahmen des Social Engineerings. Unter Zuhilfenahme von Titeln, passenden Uniformen und bestimmten Insignien schafft es Frank Abagnale immer wieder, seine Mitmenschen von seiner Seriosität zu überzeugen und mit einer verblüffenden Sicherheit und Ruhe hinters Licht zu führen.

Unter Social Engineering könnte man also so viel verstehen, wie die Manipulation anderer Personen unter Ausnutzung gewisser Besonderheiten der menschlichen Psyche. Da gerade bei der elektronischen Datenverarbeitung der Datenklau ein sehr relevantes Thema ist, fasst man im Rahmen der IT-Sicherheit unter Social Engineering die Ausbeutung menschlicher Schwachpunkte in der Informations- und Datensicherheit, bei der die Nutzer mit psychologischen Techniken zur Herausgabe diskreter Informationen veranlasst werden (Lipski, 2009).

Sowohl im täglichen Leben, als auch in Unternehmen kann Social Engineering zu immens hohen materiellen und immateriellen Schäden führen. Unternehmen haben dabei in erster Linie mit den enormen finanziellen Schäden zu kämpfen, die im Zuge eines erfolgreichen Social Engineering Angriffs entstehen. Im Rahmen einer Spezialstudie zum Wirtschaftsschutz bat der deutsche Digitalverband Bitkom im Januar 2016 rund 350 der von Social Engineering Angriffen betroffenen Industrieunternehmen, den für sie dadurch entstandenen finanziellen Schaden zu schätzen. Das Ergebnis: Alleine in den letzten zwei Jahren kam es zu einer geschätzten Schadenssumme von 44,7 Milliarden Euro (Bitkom, 2016). Neben den erheblichen finanziellen Verlusten sind weitere typische Folgen von Social Engineering Angriffen auf Unternehmen Imageverlust, Verlust von Wettbewerbsvorteilen, Vertrauensverlust und Probleme mit Kunden oder Lieferanten infolge gestohlener personenbezogener Daten.

Gerade in Zeiten der immer weiter voranschreitenden Digitalisierung ist dieses Thema also von höchster Relevanz und wird aus diesem Grund in der vorliegenden Arbeit genauer beleuchtet. Ziel ist ein umfassender und verständlicher Einblick in das Thema Social Engineering sowie die Vermittlung hilfreicher und praktischer Maßnahmen, um eine effektive Prävention gegen Social Engineering Angriffe sowie einen optimalen Schutz sensibler Daten im Unternehmen zu gewährleisten. Im ersten Teil erfolgen daher eine Begriffsbestimmung sowie die Darstellung diverser Angriffstechniken. Im zweiten Teil liegt der Fokus auf der Manipulation und den psychologischen Mechanismen, die bei menschlichen Denk- und Entscheidungsprozessen eine Rolle spielen. Außerdem wird ein erster Einblick vermittelt, wie Social Engineers diese Mechanismen im Rahmen ihrer Arbeit nutzen. Zum Abschluss erfolgt die Erläuterung einiger Präventions- und Schutzmaßnahmen.

2 Social Engineering

2.1 Definition

Die Materie des Social Engineerings ist weitreichend So viele Diskussionen und selbst ernannte Social Engineers es gibt, so viele verschiedene Definitionen kursieren auch. Auf den Punkt gebracht bezeichnet Social Engineering in der IT-Sicherheit Angriffsmethoden, bei denen Personen durch bestimmte Handlungen vom Angreifer manipuliert werden. Dies veranlasst sie dazu, etwas zu tun, was für sie nicht unbedingt vorteilhaft ist, wie beispielsweise sensible und vertrauliche Informationen von Unternehmen oder Privatpersonen preiszugeben (Hadnagy, 2014; DATEV-Gesamtsicherheitsgremium & Deutschland sicher im Netz e.V., 2015). Dabei werden menschliche Eigenschaften und Schwächen ausgenutzt und bewusst soziale Beziehungen aufgebaut, um die Opfer anschließend effektiv auszunutzen (Fleischer, 2016).

Stellt man einer Gruppe von Sicherheitsfanatikern die Frage „Was ist Social Engineering?“, erhält man darauf Antworten mit Vermutungen wie „Beim Social Engineering belügt man andere, um Informationen zu bekommen“ oder es „ist gemeint, dass man ein guter Schauspieler ist“ (Hadnagy, 2011, S. 29). Doch die Hintergründe dieser Angriffstechniken sind weitaus vielfältiger und verlangen ein tiefgreifendes Beschäftigen mit den Funktionsweisen und Abläufen der menschlichen Psyche. Dies wird der zweite Teil dieser Arbeit verdeutlichen.

Um für ein besseres Verständnis zu sorgen, wird im Folgenden zunächst auf die unterschiedlichen Arten von Social Engineering sowie die Vorgehensweisen der Social Engineers eingegangen.

2.2 Arten von Social Engineering

Social Engineering Angriffe können auf unterschiedlicher Basis durchgeführt werden. Es werden daher drei Arten von Social Engineering unterschieden: Human-Based Social Engineering, Computer-Based Social Engineering und Reverse Social Engineering (Maro, 2012).

2.2.1 Computer-Based Social Engineering

Wie der Name schon sagt, erfolgt der Angriff hier durch technische Hilfsmittel und über den Computer. Dabei kommen Methoden wie Mailanhänge, Popup-Fenster oder manipulierte Internetseiten zum Einsatz. (Baumann, Schimmer & Fendl, 2007). Wie in Kapitel 2.3.5 noch detaillierter dargestellt wird, nutzen Social Engineer im Rahmen des Computer-Based Social Engineering zudem oft Phishing und Vishing, um Informationen zu sammeln.

2.2.2 Human-Based Social Engineering

Das Gegenteil zum Computer-Based Social Engineering bildet das Human-Based Social Engineering. Dort wird zum Großteil auf soziale Beziehungen gesetzt, Informationen werden durch direkte soziale Annäherung an die Person beschafft. Für diese Art des Angriffs benötigt der Social Engineer so viele Informationen wie möglich über die Organisation, die er angreift. Dafür stehen ihm diverse Möglichkeiten zur Verfügung, wie zum Beispiel das Durchwühlen von Müll, die Kontaktaufnahme über das Telefon oder persönlich, das Belauschen in der Öffentlichkeit oder die Informationssammlung im Internet und in sozialen Netzwerken (Schumacher, 2013). Näheres zu den Vorgehensweisen der Social Engineers wird in Kapitel 2.3 erläutert.

2.2.3 Reverse Social Engineering

Die letzte Angriffsform wirkt auf Außenstehende besonders gewieft, da das Opfer hier dazu gebracht wird, seinem Angreifer freiwillig und aktiv die gewünschten Informationen zu übermitteln. Als kurzes Beispiel eignet sich folgendes Szenario: Der Angreifer schlüpft in die Rolle eines Supportmitarbeiters, stellt sich beim Opfer telefonisch als solcher vor und hinterlässt, vermeintlich netterweise, auch noch seine Telefonnummer für den Fall, dass ein Problem auftritt. Anschließend sorgt der Social Engineer mit seinen IT-Kenntnissen dafür, dass ein solches Problem tatsächlich auftritt und der Mitarbeiter den Support um Hilfe bittet. Nun ist es für den Angreifer ein Leichtes, von seinem Opfer eine Menge Informationen über Zugangsdaten und ähnlichem zu erfahren (Baumann, Schimmer & Fendl, 2007).

So ist die Chance des Kriminellen, beim Reverse Social Engineering ertappt zu werden, deutlich geringer, als bei anderen Angriffsformen.

2.3 Methoden der Informationssammlung

„Keine Information ist nutzlos“ (Hadnagy, 2014, S.56). So lauter der Leitsatz von Social Engineers und daraus lässt sich auch der Grundbaustein eines erfolgreichen Social Engineering Angriffs ableiten: Informationen sammeln. Dabei geht es vorwiegend darum, die Abläufe in Unternehmen zu durchschauen. Außerdem liegt der Fokus der Angreifer auf der Zielperson, mit deren Stärken und Schwächen, sowie ihren sozialen Interaktionen im Alltag und ihre Art, zu kommunizieren. Richtig umgesetzt führt das nachfolgend dazu, dass der Social Engineer das Gefühl vermitteln kann, ein Teil der gleichen Gruppe zu sein, wie seine Zielperson. Diese „Gemeinsamkeit“ ist ein sehr wichtiger Schritt zur Herausgabe von sensiblen Informationen (Hadnagy, 2014).

Wie oben erwähnt, ist für einen Social Engineer jede noch so kleine Information von Bedeutung. Einige typische Informationen versucht jeder Angreifer, unabhängig von der Art des Angriffs, in seiner Vorbereitung zu sammeln.

- Telefon- und Mitarbeiterlisten
- Organigramme und im Unternehmen herrschende Hierarchiestrukturen
- Für das Unternehmen zuständige Dienstleister und Zulieferer
- Raumpläne
- Memos und Briefe, die Durchwahlen oder Abteilungsbezeichnungen enthalten
- Technische Daten, wie Netzwerkadressen und Computernamen
- Funktionsweise von installierten Zugangskontrollsystemen
- Im Unternehmen herrschende Arbeitsanweisungen
- Prozessbeschreibungen zu Abläufen insbesondere aus dem IT-Support
- Entsorgung von Datenträgern

(Baumann, Schimmer & Fendl, 2007)

Das Sammeln von Informationen lässt sich dabei mit dem Bau eines Hauses vergleichen. Wenn man dabei mit dem Bau des Dachs anfängt, wird der Hausbau wohl kaum erfolgreich. Baut man jedoch auf einem soliden Fundament, so kann das Vorhaben Erfolg versprechen (Hadnagy, 2011). Versucht ein Social Engineer also direkt, Zugang zu einem Gebäude zu bekommen, ohne sich vorher über Sicherheitssysteme und Einlasskontrollen zu informieren, wird sein Vorhaben vermutlich scheitern. Eignet er sich jedoch zuvor Hintergrundwissen über die Abläufe im Unternehmen an, baut sein Angriff auf einem soliden Fundament an Grundwissen auf und erleichtert das Erreichen des Ziels.

Für das Sammeln von Informationen im Rahmen des Social Engineerings haben sich im Laufe der Jahre viele Quellen und Methoden entwickelt, die im Folgenden dargestellt werden.

2.3.1 Trashing oder Dumpster Diving

Übersetzt man das wörtlich, bedeutet es „Mülleimertauchen“. Und genau so funktioniert eine der wichtigsten, effektivsten und gleichzeitig ältesten Arten der Informationsbeschaffung. Dazu wird in den Abfallcontainern von Firmen und Unternehmen nach interessanten und hilfreichen Informationen gesucht. Diese sind dort sogar sehr häufig zu finden. Ein typischer Fehler, der bei der Entsorgung von Müll gemacht wird, ist beispielsweise, dass Unterlagen mit sensiblen Informationen vorher nicht mittels eines Aktenvernichters unlesbar gemacht werden oder diese Aktenvernichter nicht ausreichend schreddern, sodass die Streifen einfach wieder zusammengesetzt werden können. Außerdem werden beispielsweise Organigramme und Telefonbücher einfach entsorgt, weil sie als vermeintlich unwichtige Informationen eingestuft werden. Ebenso landen Post-It-Zettel mit Zugangsdaten und Passwörtern einfach im Mülleimer. So wird Dumpster Diving für Kriminelle möglicherweise zu einer der lohnendsten Aktionen im Rahmen der Informationssammlung (Long u. a., 2008).

2.3.2 Über das Telefon

Das Telefon ist vielen Social Engineers das liebste Mittel zur Kontaktaufnahme. Es ist recht anonym und ermöglicht es daher, eine gewisse Distanz zum Opfer zu wahren und seine eigene Identität geschickt zu tarnen (DATEV-Gesamt­sicherheitsgremium & Deutschland sicher im Netz e.V., 2015). Mittels gewisser Vorangriffe, durch die der Social Engineer Daten über firmeninterne Abläufe, Prozesse und Fachtermini sowie Informationen über die Unternehmensstruktur und Kollegen ermitteln konnte, gelingt es ihm, perfekt in seine Rolle zu schlüpfen und ein gutes und wichtiges Vertrauensverhältnis zu seinem Opfer aufzubauen. Oft wird dies durch mehrfache unauffällige Anrufe über einen gewissen Zeitraum unterstützt, durch die sich der Social Engineer nach und nach ein eigenes Bild vom Opfer sowie dessen Interessen und Vorlieben macht. Nicht selten zielt die Reset Frage eines Passwortes auf das Haustier, die Straße oder ähnliche persönliche Informationen ab. So kann der Angreifer beispielsweise in einem simplen Small Talk über Hobbys oder Familie eine unauffällige Frage zu seiner gewünschten Information stellen, durch die sein Gesprächspartner meist gar nicht bemerkt, dass er gerade Opfer eines Social Engineering Angriffs geworden ist und wichtige Auskünfte gegeben hat. Daher würde ein professioneller Social Engineer das Gespräch auch niemals gleich nachdem er seine gewünschte Information bekommen hat, beenden (Stöcker, 2011). Menschen erinnern sich im Nachhinein vor allem an den Anfang und das Ende des Gesprächs, aber nicht an einzelne und vermeintlich nebensächliche Fragen zwischendurch (DATEV-Gesamtsicherheitsgremium & Deutschland sicher im Netz e.V., 2015).

Das Gespräch per Telefon ist daher zwar eine aufwändigere, aber recht ungefährliche Variante der Informationssammlung.

2.3.3 Vor Ort

Eine oft sehr einfache Möglichkeit, an Informationen zu gelangen, ist die Datensammlung vor Ort. In vielen Unternehmen finden sich Aushänge des Betriebsrats mit einigen Namen, Daten von Veranstaltungen und interessantem „Insiderwissen“ zu derzeitigen Themen in diesem Unternehmen. Ein weiterer wunder Punkt sind leere Büros und Meetingräume. Auch wenn es meistens Sicherheitsvorschriften gibt, die besagen, dass diese Räume beim Verlassen abgeschlossen werden müssen, hält sich noch lange nicht jeder Mitarbeiter zuverlässig daran. Diese Sicherheitslücke können Kriminelle nutzen, um ihre Opfer in deren Büros durch Fotos von der Familie oder Hinweise auf Hobbys etc. besser „kennenzulernen“. In Meetingräumen finden sich zudem häufig noch beschriebene Flipcharts, die ebenfalls interessante Informationen beinhalten können (Baumann, Schimmer & Fendl, 2007).

Eine fast schon zu offensichtliche Möglichkeit, an betriebsinterne Informationen zu gelangen, stellt die Kantine da. Häufig wird in der Mittagspause ebenfalls über die Arbeit und möglicherweise unbewusste über vertrauliche Themen geredet, sodass ein Social Engineer diese Gespräche nur unbemerkt belauschen muss, um daraus hilfreiche Informationen ziehen zu können (Baumann, Schimmer & Fendl, 2007).

2.3.4 Lauschangriff in der Öffentlichkeit

Eine ebenfalls einfache und oft ungeahnte Möglichkeit, an Informationen zu gelangen, stellt das Belauschen in der Öffentlichkeit dar. Oft wird im Zug oder in der Bahn auf dem Heimweg von der Arbeit noch ein Handytelefonat mit einem Kollegen erledigt. Dabei wird natürlich zwangsläufig über firmeninterne Abläufe oder sonstige vertrauliche Informationen geredet, die auch für die anderen Fahrgäste gut vernehmbar sind. (Pohlmann & Linnemann, 2010).

Auch im privaten Bereich bietet sich zum Teil die Gelegenheit zur Informationssammlung. Bei Feiern und Partys unter Freunden und im Kreise der Familie fühlt man sich meist sicher und vertraut den anwesenden Personen. Unter Einfluss von Alkohol lässt man dem aufgestauten Ärger über den Chef oder die Kollegen freien Lauf, wobei vielmals berufliche Interna preisgegeben werden. Oft vergisst man dabei, dass die Anwesenden zwar das eigene Vertrauen genießen, die Informationen danach aber trotzdem nicht mehr vor willkürlicher Weitergabe geschützt sind (Baumann, Schimmer & Fendl, 2007).

Doch ein Lauschangriff ist nicht immer zwangsläufig nur auf das Belauschen von Gesprächen beschränkt. Vielmehr geht es dabei um das generelle Sammeln von Informationen und Daten, mit der Besonderheit, dass das Opfer dabei nicht bewusst mit dem Social Engineer in Kontakt tritt. Daher fallen unter den Begriff „Lauschangriff“ auch die indirekten und unpersönlichen Angriffe, bei denen das Internet zu Hilfe genommen wird. Oft begegnen einem hierbei Begriffe wie Malware, Spyware, Phishing oder Vishing. Diese werden im folgenden Abschnitt, über Lauschangriffe im Internet, näher erläutert.

2.3.5 Lauschangriff über das Internet

Die Verbreitung von sogenannter „Malware“ äußert sich durch die unbemerkte Installation von verschiedenen Programmen auf dem Rechner des Opfers, die bei diesen Schäden verursachen, da sie in der Lage sind, zum Beispiel Tastatureingaben mitzulesen oder sogar den Computer fernzusteuern und das Opfer somit effektiv auszuspionieren (DATEV-Gesamtsicherheitsgremium & Deutschland sicher im Netz e.V., 2015). Laut einer Studie der Firma „Panda Security“, ist durchschnittlich jeder vierte Computer in Deutschland mit einer Malware infiziert (Röttgerkamp, 2018). Als Beispiele für solche Schadprogramme, die vielen zumindest vom Namen her geläufig sind, lassen sich Viren oder Trojaner nennen. Diese werden über die Anhänge von E-Mails oder über manipulierte Internetseiten verbreitet (DATEV-Gesamtsicherheitsgremium & Deutschland sicher im Netz e.V., 2015).

Auch der Begriff des „Phishing“ ist vielen geläufig. Trotzdem tappen immer wieder Nutzer in die Falle von gefälschten E-Mails oder Websites, die nach Passwörtern oder Bankdaten fragen. Phishing leitet sich von dem englischen Wort für „Fishing“ ab, was so viel wie Angeln bedeutet. Und genau das tun Social Engineers hier auch. Über authentisch gefälschte E-Mails, von vertrauenswürdigen Firmen, wie PayPal oder Ebay, deren Dienste im Normalfall freiwillig genutzt werden, leiten sie ihre Opfer auf präparierte Webseiten weiter, bei denen diese dann ihre privaten Zugangsdaten eingeben müssen. Die Angreifer begründen diese Anfragen beispielsweise mit der Verbesserung der Kontosicherheit oder einem ähnlichen Vorwand, der dem Kunden am Herzen liegt. Sie angeln also nach den persönlichen Daten ihrer Opfer (DATEV-Gesamtsicherheitsgremium & Deutschland sicher im Netz e.V., 2015).

Eine Abwandlung des Phishings stellt das „Vishing“ dar. Abgeleitet ist dieser Begriff von der Langform „Voice Fishing“. Hierbei nutzen Angreifer die geringen Kosten der Internettelefonie, um mittels eines Ansagetextes in kurzer Zeit eine große Anzahl Telefongespräche zu führen. Hierbei wird beispielsweise behauptet, dass eine Kreditkarte verloren gegangen sei. Um eine Sperrung oder Ähnliches zu veranlassen, sollen dann PIN- oder TAN-Codes über die Telefontastatur eingegeben werden. So können die Social Engineers schnell und einfach sensible Daten abfragen (Dunham, 2008).

Eine andere Form des Vishings wurde bereits unter dem Punkt „Reverse Social Engineering“ angesprochen. In einer E-Mail oder persönlich wird dem Mitarbeiter die Nummer vom angeblichen IT-Service mitgeteilt, an den er sich bei Problemen wenden kann. Bei dem dann auftretenden Problem wendet sich der Hilfesuchende bewusst an den Social Engineer und dieser kann, durch Ausnutzen des entgegengebrachten Vertrauens, alle gewünschten Informationen erlangen (DATEV-Gesamtsicherheitsgremium & Deutschland sicher im Netz e.V., 2015).

2.3.6 Soziale Netzwerke

Sie werden immer populärer und viele Menschen können sie sich kaum noch aus ihrem Leben wegdenken: Die Sozialen Netzwerke. Weltweit nutzen beispielsweise über zwei Milliarden Menschen aktiv Facebook (Hutter, 2018). Für viele stellt dies eine einfache Art und Weise der Kommunikation und zum Austausch dar. Somit nutzen auch zunehmend Organisationen und Unternehmen die Sozialen Medien, um Kunden anzuwerben, Informationen über Events oder neue Produkte bekannt zu geben und Pressemitteilungen zu verbreiten. Doch oft wird vergessen, dass in den Weiten der Sozialen Netzwerke nicht nur potentielle Kunden, sondern auch Kriminelle unterwegs sind, die die Fülle an preisgegebenen Informationen systematisch sammeln, um so beispielsweise einen optimalen Social-Engineering Angriff planen können (Leinemann, 2013).

3 Manipulation

Manipulation lässt sich definieren, als „Prozess, jemanden dazu zu bringen, dass er so handeln, reagieren, denken oder glauben will, wie Sie es für ihn wollen.“ (Hadnagy, 2011, S. 231). Einfach übersetzt heißt dies: Man bringt jemanden dazu, so zu handeln, zu denken und möglicherweise sogar zu glauben wie man selber es will. Dabei glaubt das Gegenüber, dass es sein eigener Wille sei. Das Besondere an gut angewendeter Manipulation ist, dass der Manipulierte meist nicht merkt, wie ihm geschieht und den Angreifer somit nicht überführen kann (Hadnagy, 2011).

Um nachvollziehen zu können, wie Social Engineers die Kunst der Manipulation nutzen um die Opfer nach ihren Wünschen zu beeinflussen, werden in diesem Kapitel die grundlegenden Beeinflussungsmethoden, die sich die Angreifer dabei zu Nutze machen, erläutert. Dazu zählen Reziprozität, Knappheit, Commitment und Konsistenz, soziale Bewährtheit, Sympathie und Autorität. Jeder Abschnitt zeigt kurz, wie die jeweilige Technik funktioniert und auch außerhalb des Social Engineerings, zum Beispiel im Bereich der Medien oder der Politik, eingesetzt wird. Darüber hinaus werden die Vorteile, die ein Social Engineer aus dieser Taktik zieht, dargestellt.

3.1 Reziprozität

Die Theorie der Reziprozität beschreibt eine wechselseitige Beziehung, die dazu führt, dass Menschen sich dazu verpflichtet fühlen, sich für erhaltene Geschenke, Gefälligkeiten und dergleichen zu revanchieren (Schumacher, 2013). Gleichzeitig wird damit die inhärente Erwartung ausgelöst, dass, wenn man von anderen gut behandelt wird, auch selber entsprechend reagiert (Hadnagy, 2011). Das bedeutet: Wenn Menschen etwas erhalten, motiviert sie dies dazu, eine Gegenleistung zu erbringen. Auf der anderen Seite erhöht dieses Verhalten die eigene Erwartung, dass sich das Gegenüber ebenfalls mit einem Gefallen revanchiert.

Alvin Gouldner formulierte in seinem Werk The Norm of Reciprocity: A Preliminary Statement im Jahre 1960 zwei Prinzipien, die bei der Reziprozitätsnorm eine Rolle spielen. Zum einen heißt es so viel wie „Hilf denen, die dir in der Vergangenheit bereits geholfen haben“ (Gouldner, 1960, S. 163), zum anderen sagt er „Du sollst denen, die dir in der Vergangenheit geholfen haben, nicht schaden“ (Gouldner, 1960, S. 163).

Der bekannte kenianische Archäologe Richard Leaky behauptete zudem, dass wir Menschen sind, weil unsere Vorfahren gelernt haben, ihre Nahrung, Fähigkeiten und Kompetenzen in einem respektierten Netz aus Verpflichtungen zu teilen (Leaky & Lewin, 1978). Demnach gilt das Reziprozitätssystem also als Grundlage für unser Menschsein.

Für die Gesellschaft bedeutet die Reziprozitätsnorm deutliche Wettbewerbsvorteile. Erst dieses starke Gefühl des Verpflichtetseins hat in der menschlichen Evolution dazu beigetragen, dass man sich gegenseitig zum Beispiel Nahrung schenken konnte, ohne Angst haben zu müssen, dass einem dieses Geschenk verloren ging. Ressourcen konnten effektiver genutzt werden, durch gegenseitige Hilfeleistungen, was den Gesellschaften deutliche Vorteile brachte. Danach ist es nicht ungewöhnlich, dass die Regel der Reziprozität nach dem Sozialisationsprozess, der von jedem Menschen durchlaufen wird, so fest in uns verankert ist (Cialdini, 2017).

Robert B. Cialdini erzählt in seinem Buch „Die Psychologie des Überzeugens“, aus dem Jahre 2017, von einem Brief, den er von einer Lehrerin erhalten hat. Diese schrieb, dass sie in einem Grammatiktest einer fünften Klasse die Schüler nach der Zukunftsform von „ich gebe“ fragte. Ein Schüler beantwortete dies mit „ich nehme“. Die Antwort des Jungen unterstreicht, wie tief die weitreichende gesellschaftliche Regel von Geben und Nehmen in sozialen Gefügen verankert ist.

Ein Experiment, welches die Wirkung der Reziprozitätsregel verdeutlicht, ist das des Psychologen Dennis Regan (1971). Er ließ zwei Versuchspersonen, im Rahmen einer angeblichen Untersuchung zum Thema Kunstverständnis, einige Bilder beurteilen. Eine der Versuchspersonen war dabei ein Assistent von Regan. Das Experiment fand mit verschiedenen Personen unter unterschiedlichen Bedingungen statt. Manchen Personen tat der Assistent einen kleinen Gefallen, indem er in einer Pause verschwand und danach zwei Flaschen Cola mitbrachte, eine für sich und eine für die andere Versuchsperson. In den anderen Fällen tat der Assistent der anderen Person keinen Gefallen. Nachdem die Bewertung der Bilder abgeschlossen war, erzählte der Assistent, er sei Losverkäufer und müsse noch ein paar Lose verkaufen. Bei den Personen, denen er zuvor die Cola spendiert hatte, machte er nun deutlich mehr Umsatz, als bei der Kontrollgruppe, der er keine Cola mitgebracht hatte (Regan, 1971). Das Ergebnis zeigt, dass das Gefühl, dem spendablen „Verkäufer“ etwas schuldig zu sein, die Menschen dazu bringt, sich erkenntlich zu zeigen und eine Gegenleistung zu erbringen. Interessant ist auch, dass die Sympathie, die die anderen Personen dem Assistenten gegenüber empfanden, hier überhaupt keine Rolle bei ihrem Kaufverhalten spielte. Die Reziprozitätsregel hat eine so starke Wirkung auf den Menschen, dass sie andere Faktoren, die normalerweise die Entscheidung beeinflussen, einfach ausschaltet (Cialdini, 2017).

Im Rahmen des bereits erwähnten Sozialisationsprozesses setzt die Gesellschaft, aufgrund der genannten Vorteile, alles daran, ihre Mitglieder in der Form zu sozialisieren, dass sie die Reziprozitätsregel einhalten und nach ihr leben. Personen die sich nicht daran halten, treffen soziale Sanktionen. Sie gelten als egoistisch, geizig, selbstsüchtig oder undankbar. Um dies unter allen Umständen zu vermeiden, werden wir oft Opfer der Leute, die darauf abzielen, aus unserem Solidaritätsgefühl Profit zu schlagen (Cialdini, 2017).

Ein gutes Beispiel im kommerziellen Bereich liefern Gratisproben. Kunden erhalten diese, um herauszufinden, ob sie das Produkt mögen und sich möglicherweise davon überzeugen zu lassen. Gleichzeitig stellt diese Gratisprobe jedoch auch ein Geschenk dar und ist somit in der Lage, das Reziprozitätsprinzip in Aktion treten zu lassen (Cialdini, 2017).

Auch Social Engineer missbrauchen die evolutionär tief im Menschen verankerte Reziprozitätsregel zu ihren Zwecken. So kann der Angreifer sein Opfer zuerst mit scheinbar nützlichen Informationen versorgen oder ihm einen Gefallen tun, um anschließend selbst um Informationen zu bitten und diese dann mit höherer Wahrscheinlichkeit zu bekommen.

Eine weitere Folge der Reziprozitätsnorm ist es, Zugeständnisse zu machen. Wenn unser Gegenüber in seiner Forderung ein Zugeständnis macht, uns also ein Stück weit entgegenkommt, dann reagieren wir ebenfalls mit einem Zugeständnis - so entstehen Kompromisse. (Schumacher, 2013).

Eine Taktik, die auf diesem Verfahren basiert nennt sich „Neuverhandeln-nach-Zurückweisen-Taktik“. Ein dazu durchgeführtes Experiment von Robert B. Cialdini und seinen Kollegen verdeutlicht die Funktionsweise dieser Technik. Die Forscher sprachen einige Studenten an und fragten sie, ob sie bereit wären, eine Gruppe von jugendlichen Straftätern bei einem Ausflug in den Zoo zu begleiten und zu beaufsichtigen. Eine große Mehrheit der Studenten (83 Prozent) schlugen diese Bitte ab. In einem anderen Versuchsaufbau wurden die Studenten zunächst gefragt, ob sie sich bereit erklären würden, zwei Jahre lang immer zwei Stunden die Woche als Berater für jugendliche Straftäter behilflich zu sein. Unmittelbar nach Ablehnung dieser äußerst großen Bitte wurden die Studenten erneut um die Begleitung bei dem Ausflug in den Zoo gebeten. Die Zustimmungsrate viel nun deutlich höher aus. Insgesamt erklärten sich dreimal so viele Studenten bereit, die Gruppe der jugendlichen Straftäter im Zoo zu beaufsichtigen (Cialdini, Vincent, Lewis, Catalan, Wheeler & Darby, 1975).

Der Rückzug von einer großen auf eine kleinere Bitte wird von den Studenten als Zugeständnis seitens des Fragenden gesehen. Dies löst bei Menschen das Gefühl aus, ebenfalls mit einer Konzession reagieren zu müssen, sodass die Studenten die zweite Bitte nun annahmen. Objektiv betrachtet kann es sich dabei also trotzdem um eine große Bitte handeln, solange sie kleiner ist als die Erste (Cialdini, 2017).

Eine weitere Taktik der Social Engineers ist es hier, dass ein Angreifer beispielsweise erst eine hohe Forderung stellt indem er die Preisgabe von Kundendaten verlangt. Wird dies abgelehnt, bittet er beispielsweise um die Namen der Zulieferer des Unternehmens oder ähnliche vermeintlich weniger sensible Daten. Er hat also ein Zugeständnis gemacht, was sich positiv auf die Hilfsbereitschaft seines Gegenübers auswirkt (Weßelmann, 2008).

Ebenso ist es unter Social Engineers beliebt, sich Teile des oben beschriebenen Reverse-Social-Engineerings zu Nutze zu machen. Dabei gibt sich der Angreifer als Mitarbeiter des IT-Services aus und hilft dem Mitarbeiter bei einem vorher absichtlich herbeigeführten IT-Problem. Anschließend ist es für den vermeintlichen Servicemitarbeiter ein Leichtes, die Dankbarkeit des Opfers auszunutzen, um eine andere Hilfe als Gegenleistung zu fordern. Dabei handelt es sich zum Beispiel um die Preisgabe von Passwörtern oder ähnlichen privaten Daten, meistens, um angeblich einer dritten Person aus der Klemme zu helfen (Weßelmann, 2008).

Aufgrund der Kraft des Reziprozitätsprinzips in der menschlichen Interaktion, stellt es einen Grundpfeiler der Datenbeschaffung durch Social Engineering dar. Die folgenden beiden Faktoren sind eng mit diesem Prinzip verknüpft.

3.2 Commitment und Konsistenz

Robert B. Cialdini schreibt in seinem Buch Die Psychologie des Überzeugens: „Haben wir erst einmal eine Entscheidung getroffen oder einen Standpunkt eingenommen, begegnen uns intrapsychische und interpersonelle Kräfte, die uns dazu drängen, uns in Übereinstimmung mit dieser Festlegung zu verhalten“ (Cialdini, 2017, S.94). Diese Aussage verdeutlicht sehr gut das Bestreben und nahezu zwanghafte Verhalten eines Menschen, konsistent zu sein oder zu erscheinen und in Konsistenz mit unserem früheren Verhalten zu agieren.

[...]