Mein einwöchiges Seminar »Social Engineering für Penetrationstester​« arbeitet nach dem Motto »Die Menschen sollten sich nach einem Treffen mit Ihnen besser fühlen«. Unser Ziel in den fünf Tagen ist, jedem Seminarteilnehmer beizubringen, wie man jemandem persönliche Details entlockt, ohne manipulative Taktiken einzusetzen oder dass er sich hinterher schlecht fühlt. Was ich sehr erstaunlich finde, sind die Resultate – nicht die gesammelten Informationen, sondern was sich für die TeilnehmerInnen ergeben hat. Einige berichteten mir, dass das Seminar ihr Leben verändert und ihnen beigebracht hat, ein besserer Ehemann, Vater oder Mensch zu sein. Wie ist das möglich? Social Engineering​ bedeutet im Grunde genommen zu lernen, ein guter Kommunikator​ zu sein. Wenn Sie das lernen und sich zum Ziel nehmen, dass die Menschen, mit denen Sie zu tun haben und kommunizieren, sich besser fühlen, weil sie Sie getroffen haben, verändert das Ihr Leben womöglich tiefgreifend.

Doch eine andere Lektion in diesen fünf Tagen setzt sich bei den TeilnehmerInnen meist erst ganz am Ende durch: Böswillige Social Engineers wenden die gleichen Taktiken an.

Ich habe mal Dr. Paul Zak​ für meinen Podcast​ auf www.social-engineer.org interviewt (zu finden unter www.social-engineer.org/ep-044-do-you-trust-me/). Dr. Zak forscht über das Hormon Oxytocin​​, das in unserem Gehirn freigesetzt wird, wenn wir Vertrauen, Bindung und Nähe spüren. Oft bringt man das mit dem Stillen von Kindern in Zusammenhang, aber Dr. Zak stellte fest, dass es bei allen Menschen freigesetzt wird, und zwar oft dann, wenn sie sich mit jenen beschäftigen, die sie lieben und denen sie vertrauen. Er erzählte mir, wie er als junger Mann an einer Tankstelle gearbeitet hat und auf Trickbetrüger hereinfiel, die mit Vorschussbetrug​​ arbeiteten. Da kam eines Tages jemand mit einem kleinen Karton ins Büro und sagte, er hätte etwas auf der Toilette entdeckt, es handele sich wohl um wertvollen Schmuck.

Gerade als Paul überlegte, was er nun machen solle, klingelte das Telefon. Der Mann am anderen Ende war außer sich und beschrieb, dass er Schmuck an der Tankstelle vergessen hatte. Paul sagte zu dem Mann, dass just in diesem Moment ein ehrlicher Kunde vor ihm stehe und den Schmuck gerade abgegeben habe. Der aufgeregte Mann am Telefon sagte sofort zu, dem ehrlichen Finder 200 Dollar Belohnung zu geben. Paul legte auf und sagte dem Finder, dass der Eigentümer des Schmucks ihm Finderlohn geben wolle, wenn er nachher den Karton abholt. Der Finder antwortete, er sei gerade unterwegs zu einem Bewerbungsgespräch und müsse gleich weiter, bot aber eine Lösung an: Er würde die Belohnung mit Paul teilen. Dafür bräuchte Paul nur 100 Dollar aus der Kasse nehmen und sie dem Finder geben. Wenn dann der Eigentümer kommt, sollte Paul 100 Dollar für sich behalten und die anderen 100 Dollar wieder zurück in die Kasse legen.

Paul gab dem Finder das Geld, aber der Eigentümer erschien nie, also wurde Paul um 100 Dollar betrogen. Wie kann man auf diesen speziellen Betrug hereinfallen? Dr. Zak beschreibt es so: »Ein Trickbetrug funktioniert nicht, weil der Betrüger Sie dazu bringt, ihm zu vertrauen, sondern weil er Sie überzeugt, dass er zuerst Ihnen vertraut.« Wenn Sie merken, dass man Ihnen vertraut, wird in Ihrem Gehirn Oxytocin freigesetzt, die Emotionen kommen ins Spiel, der Mandelkernkomplex wird »gekidnappt«, und das logische Denken setzt aus.

Das ist ein wesentlicher Punkt für den Social Engineer. Wenn jemand spürt, dass Sie ihm vertrauen, erwidert er das mit eigenem Vertrauen. Diese wertvolle Lektion lernen die Sicherheitsenthusiasten, die meinen einwöchigen Kurs besuchen. Sie lernen nicht, wie man jemanden hereinlegt, austrickst oder beweist, dass er dumm ist. Sie lernen, dass Menschen einfacher und für einen längeren Zeitraum hereingelegt werden können, wenn die Täuschung mit Freundlichkeit und Vertrauen umgesetzt wird.

Nachdem mein erstes Buch erschien, bekam ich viele Interviewanfragen. Eine der ersten Fragen versetzte mich in Erstaunen: »Machen Sie sich keine Sorgen darüber, dass Sie den Bösewichten mehr Instrumente gegen uns an die Hand geben?« Meine Antwort war die gleiche wie jetzt hier: Wir können uns nicht angemessen verteidigen, wenn wir nicht wissen, wie angegriffen wird. Wenn Sie zum ersten Mal einen Faustschlag abkriegen und es Ihr erster echter Kampf ist, geht das wahrscheinlich schlecht für Sie aus. Darum belegen die Leute Kurse über Kampfkunst und Selbstverteidigung. Bei diesen Kursen machen sie auch das sogenannte Sparring, bei dem zwei wirklich miteinander kämpfen, um zu lernen, wie man zuschlägt, wie man Schläge annimmt und sich dagegen schützt.

So ist es auch bei einem Penetrationstest​​: Man lernt, wie man einen Treffer einsetzt, einsteckt und sich dagegen verteidigt. Wenn Sie sich auf einen Titelkampf vorbereiten, würden Sie sich auch keinen 50-Kilo-Hänfling von der Straße holen, um mit ihm zu sparren. Sie wählen vielmehr einen Sparringspartner, der geschickt ist und auch passend groß, stark und erfahren. Welche Art von Sparringspartner wollen Sie für Ihren Penetrationstest haben? Einer, der zum ersten Mal im Ring steht, oder einen, der weiß, wie man richtig kämpft und Sie auf Ihren Titelkampf vorbereiten kann?

Ich kenne ein Zitat von Dmitri Alperovitch​, dem früheren Vizepräsident des Threat Research von McAfee, an das ich immer mehr glaube. Er sagte: »Ich bin überzeugt, dass bereits jede Firma in jeder denkbaren Branche mit signifikanter Größe und wertvollem geistigen Eigentum und Geschäftsgeheimnissen kompromittiert wurde (oder demnächst kompromittiert wird), wobei die große Mehrheit der Opfer das Eindringen oder dessen Auswirkungen kaum entdecken« (www.pcworld.com/article/237163/McAfee_Warns_of_Massive_5_Year_Hacking_Plot.html).

Die Kriminellen laufen nicht in den nächsten Buchladen und gehen in die Abteilung »So werde ich ein Bösewicht«. Sie lernen im Job. Doch die guten Leute verfügen über ein paar Ressourcen, mit denen sie die Skills lernen können, um sich gegen Angriffe zu schützen.

Als professioneller Social Engineer sage ich den Leuten, sie sollen diese Skills zuerst in freier Wildbahn üben. Zum Beispiel können Sie lernen, ein besserer Gesprächspartner zu werden. Lernen Sie das Zuhören, wie Sie anhand nonverbaler Kommunikation Emotionen angemessen ausdrücken und andere lesen. Dabei werden Sie feststellen, dass Sie diesen Instinkt nicht abschalten können. Damit eröffnet sich Ihnen eine ganz neue Welt.

Neulich schloss ich meine Arbeit an Kapitel 8 ab. Weil ich gerade noch einmal die Arbeit von Dr. Ekman durchgegangen war, hatte ich diese Seiten noch gut parat. Als ich mit Freunden sprach, konnte ich nicht verhindern, dass ich überall die Action Units 1, 2 und 4 im Einsatz sah. Ich nahm diese Signale im Gespräch und auch ohne Reden auf, und auf diese Weise verdichtete sich für mich dieses Kapitel noch weiter.

Um noch einmal einen bereits erwähnten Aspekt zu wiederholen: »Perfektes Üben macht den Meister​.« Je mehr Sie diese Skills bei Familie, Freunden, Kollegen und Fremden einsetzen, desto mehr gehören sie auch zu Ihrer Persönlichkeit. Wenn das geschehen ist, können Sie zur nächsten Stufe gehen und diese Skills als Social Engineer einsetzen.

Das gehört wahrscheinlich zu den schwersten und mühsamsten Kämpfen, denen professionelle Social Engineers sich stellen müssen. Ich weiß aus meinen Diskussionen mit den besten Leuten wie Kevin Mitnick​, Chris Nickerson​ und Dave Kennedy​, dass wir alle vor dem gleichen Problem stehen. Viele Firmen realisieren nicht, wie wichtig es ist, reale Angriffsvektoren von Social Engineers​ zu testen. Sie glauben, dass ein paar leicht zu erkennende Phishing-Mails und ein paar »vergessene« USB-Sticks bereits einen »Social-Engineering-Test« ergeben. Sie müssen Ihren Kunden dabei helfen zu erkennen, dass die Bösen nicht einfach nur ein oder zwei E-Mails schicken und dann aufgeben oder ein paar USB-Sticks auf dem Parkplatz liegen lassen und dann verschwinden. Angreifer sind konzentriert, höchst motiviert und geben nicht einfach auf. Sie machen nicht um 17 Uhr Feierabend und sitzen dann auf dem Sofa. Sie verbringen viel Zeit mit dem Profiling​​, dem Erfassen von Informationen und der Entwicklung realistischer Angriffsvektoren​, die funktionieren. Wie kann eine Firma bei dem Team, das ihrem Schutz dient, mit weniger zufrieden sein?

Als ich bei Dr. Ekman zu Hause saß und mit ihm über die Zukunft des Social Engineerings​ und der nonverbalen Kommunikation sprach, bemerkte ich, dass es wohl sehr schwer sein müsse, ihn bei einer Lüge zu erwischen, wo er doch so viel über die Manipulation des Gesichts wisse. Doch er gab zurück, dass er eigentlich ein ganz schlechter Lügner sei. Aber im Laufe der Jahrzehnte habe er viel üben können, sich selbst überprüft und beigebracht, an welchen Kennzeichen man feststellen kann, dass jemand lügt. Durch diese Übung ist er seit 1954 in seiner Branche federführend und hat über ein Dutzend Bücher und über Hundert Artikel zu diesen Themen veröffentlicht. Was bedeutet das für Sie und mich? Die gleichen Regeln gelten auch hier. Wir können die Forschungen, an denen Dr. Ekman und andere hervorragende Köpfe jahrzehntelang gearbeitet haben, in unseren Alltag übernehmen und selbst zu Meistern des Social Engineerings werden.

Lassen Sie mich zu dem Beispiel mit dem Kämpfen lernen zurückkehren. Ich kannte mal einen Schwertkampfkünstler. Es war faszinierend, wie er mit jeder Klinge umgehen konnte. Fünf Jahre hatte er gebraucht, sich eine gute Grundlage zu schaffen, und dann verbrachte er die nächsten fünf Jahre damit, die kleinen Dinge zu perfektionieren. Als er mit dem Lernen begann, suchte er nach genau dem richtigen Partner und Lehrer. Warum? Weil diese Person sehr scharfe Objekte gegen seinen Kopf und Körper schwingen sollte. Neben seiner Suche nach jemandem mit Wissen und Talent berichtete mein Freund mir, dass er vor allem auch jemanden mit Erfahrung suchte. Wenn er jemand finden kann, der auf eine Erfolgsbilanz blicken kann, bedeutet das, er kann seine Lernkurve abkürzen und schneller seine Fähigkeiten verbessern.

Darum arbeitete ich über zwei Jahre daran, mit Dr. Ekman und Paul Kelly eine enge Beziehung aufzubauen, bevor ich mir überlegte, dieses Buch zu schreiben. Ich wollte sicher sein, ein paar »Großmeister« auf meiner Seite zu haben, die mir und letzten Endes auch Ihnen behilflich sind, die Lernkurve ein wenig zu reduzieren. Wenn man mit den Meistern einer Wissenschaft zusammenarbeitet, bedeutet dass, dass alle von deren Expertise, Talent, Wissen und vor allem den Erfahrungen profitieren, die die hervorragendsten Köpfe dieser Disziplin mit sich bringen.

Das hilft auch Ihnen, denn es ist sehr zeitraubend, bei all den von Trickbetrügern eingesetzten Taktiken und Methoden informiert zu bleiben. Ich wende wöchentliche viele Stunden auf, um aus Nachrichten und Meldungen die neuesten Angriffe zu erfahren und über aktuelle Forschungen zu lesen, wie der Mensch funktioniert. Aber das ist mein Job: der Beste zu sein, um meine Kunden zu schützen. Sie haben wahrscheinlich einen Job, eine Familie und auch ein Leben abseits der Sicherheitsbranche. Dieses Buch ist so gestaltet, dass Sie leichten Zugang zu den Übungen und der Umsetzung der von mir präsentierten Skills finden.

Lassen wir die Sicherheit mal einen Moment beiseite und konzentrieren uns auf die Kommunikation mit anderen Menschen. Wenn Sie diese Skills einsetzen, um ein besserer Kommunikator zu werden, ändert das die Art, wie Sie Informationen senden und empfangen – egal ob bei Ihren Kindern, dem Ehepartner, Chef oder Studenten, bei Menschen aus dem Supermarkt oder auf der Straße, wenn Sie zum Gottesdienst gehen oder einfach zufällig jemanden treffen.

Können Sie verstehen, was jemand ohne Worte wirklich sagt, hilft es, Ihren Stil zu verändern, um Ihre Botschaft geschickter zu vermitteln. Wenn Sie anhand dieser Skills Sicherheitsmaßnahmen schaffen, werden Sie nicht nur besser kommunizieren, sondern auch die Zeichen bemerken, wenn jemand ohne klare Absicht kommuniziert.

Nachdem Sie sich selbst dieses Wissen angeeignet haben, lassen Sie es in Ihr Programm für ein erhöhtes Sicherheitsbewusstsein einfließen. Helfen Sie den Menschen, mit denen Sie arbeiten, damit sie erkennen, wie böswillige Social Engineers arbeiten. Halten Sie sie dazu an, kritische Denker zu sein, und zeigen Sie ihnen, welch großen Unterschied es macht, wenn man eine Anfrage einfach mal zu Ende denkt.

Im Sommer des Jahres 2012 las ich in einem Zeitungsartikel, dass sich die Republikaner in Texas als Teil ihres offiziellen Programms gegen den Unterricht von kritischem Denken in öffentlichen Schulen wandten. Ich war verblüfft, dass man überhaupt Lehrern verbieten will, eine der fundamentalsten Fähigkeiten zu vermitteln, die Schüler bekommen können.

Viele Leute setzen kritisches Denken mit Rebellion gleich oder mit einem Mangel an Glauben oder damit, dass man hinterfragt, bloß weil man gerne alles in Frage stellt. Solche Sachen mache ich nicht. Ich habe einen starken Glauben. Obwohl ich ein typischer »Hacker« in dem Sinne bin, dass ich gerne die Norm umgehe und herausfinden will, wie Dinge funktionieren, bin ich nicht wirklich rebellisch. Ich finde Gesetz und Ordnung gut.

Meine Definition von kritischem Denken​ bedeutet, dass Sie sich selbst, Ihrer Familie, Ihren Angestellten und Kunden beibringen, nicht alles für bare Münze zu nehmen. Akzeptieren Sie nicht blind die Aussage, ich sei Beauftragter für die Wertstoffentsorgung, ein Inspektor von der Arbeitsschutzbehörde, der Jim aus der IT-Abteilung oder der Assistent des Vizepräsidenten der Firma. Stellen Sie solche Aussagen in Frage, wenn sie komisch klingen, wenn Sie sie bisher noch nicht gehört haben oder unsicher sind, warum jemand gerade Sie anruft und etwas wissen will.

Kritisches Denken braucht Zeit und kann manchmal riskant sein. Ich arbeitete beispielsweise mal mit einer Firma, die für ihren Kundendienst viele Callcenter einsetzte. Dort gab es eine Richtlinie, dass bei Supportmitarbeitern, die länger als zwei Minuten mit einem Kunden telefonieren, der Stundenlohn für die Zeit dieses Telefonats gesenkt wurde. Mir war dies bekannt, und bei einem Audit brauchte ich also nur dort anzurufen und das Gespräch entsprechend lange hinauszuzögern. Der Mitarbeiter wurde nervöser und wollte den Anruf beenden, damit sein Stundensatz nicht sank. Ab diesem Moment begann ich, nach sensiblen Informationen zu fragen. Weil er in Stress kam, hörte er auf, kritisch zu denken, und begann, alle meine Fragen zu beantworten. Das galt umso mehr, als ich dann so etwas wie »Ich will Sie nicht länger aufhalten, aber eine letzte Frage habe ich noch« einwarf. Mit dieser Bemerkung bekam er die Hoffnung, dass das Telefonat gleich beendet wäre. Dann stellte ich Fragen wie »Hören Sie, ich gründe gerade eine kleine Firma, und es ist wichtig, dass ich mich gleich an den großen Firmen orientiere. Es gibt so viele Möglichkeiten für die Müllentsorgung – welche nutzen Sie denn?« Oder eine andere Frage wie »Ich richte gerade mein Büro ein und habe keine Ahnung, mit welchem Betriebssystem und Software ich arbeiten sollte. Welches Betriebssystem setzen Sie denn ein? Und welchen Browser?«

Dass ich gewartet hatte, bis die eingeplante Zeit abgelaufen war, bedeutete, dass die Person nicht mehr vernünftig dachte, sondern vom sinkenden Stundenlohn abgelenkt war und deswegen schlechte Entscheidungen darüber traf, welche Informationen herausgegeben werden sollen.

Wenn man das kritische Denken im Unternehmen fördern will, sollte man die Mitarbeiter belohnen, wenn sie die Assets der Firma schützen, indem sie einen Angriff hinterfragen, durchdenken und stoppen. Stattdessen fördern Firmen vielmehr genau das Verhalten, das ihre Mitarbeiter eigentlich nicht ausführen sollten.

Um meine Kunden beim kritischen Denken zu unterstützen, habe ich sogenannte CTS​ entwickelt (Critical Thinking Scripts​). Das sind keine Wort für Wort ausformulierten Gespräche, wie sie eine Konversation führen sollen, sondern eine Reihe von Gedanken, die ihnen helfen, Gewohnheiten zu entwickeln, um sich abzusichern. Ein Skript, das ich mal entworfen habe, beschreibt z.B. die Schritte, mit denen man einen Geldautomaten benutzen soll.

1. Schauen Sie sich Ihre Umgebung an und achten Sie darauf, dass alles sicher wirkt.

2. Nehmen Sie Ihre Geldkarte erst heraus, wenn Sie direkt vor dem Automaten stehen.

3. Bevor Sie die Karte einführen, rütteln Sie erst am Lesegerät, um sicher zu sein, dass es zur Maschine gehört und kein »Skimmer« ist (ein von einem Hacker installiertes Kartenlesegerät).

4. Achten Sie auf eventuell vorstehende oder eigenartig wirkende Teile, die auf einen Skimmer hindeuten können (ein kleines Gerät, das über den Kartenschlitz passt und Ihre Daten und Passwörter stiehlt).

5. Führen Sie Ihre Karte ein und decken Sie das Tastenfeld ab, wenn Sie Ihre PIN eingeben.

6. Nehmen Sie Geld, Karte und Quittung an sich und lassen Sie nichts zurück.

7. Stecken Sie alles in Ihre Geldbörse, bevor Sie gehen.

Dieses einfache CTS kann Sie davor schützen, überfallen zu werden oder einem Skimmer zum Opfer zu fallen. Sie sollten Ihren Angestellten oder Kunden helfen, solche CTS zu entwickeln, und zwar für diese Situationen​:

• Was soll ich machen, wenn ich glaube, dass ich eine Phishing-E-Mail​ bekommen habe?

• Was ist zu tun, wenn ich gerade auf einen Link in einer E-Mail geklickt habe, die vielleicht eine Phishing-Mail ist?

• Wie verhalte ich mich, wenn ich glaube, dass ich einen Phishing-Anruf​ bekomme?

• Wie gehe ich vor, wenn ich meine, dass diese Person​​ hier nicht hingehört?

• Was soll ich machen, wenn ich gerade Fragen​ beantwortet habe, zu denen ich lieber nichts hätte sagen sollen?

Wenn die Reaktion der Firma einem Angestellten gegenüber, der einem Phishing oder anderen Angriff zum Opfer gefallen ist, eher eine strafende ist, stellt das für Sie eine Herausforderung dar. Ist das der Fall, dann ist es sehr unwahrscheinlich, dass Mitarbeiter bereit sind, Sicherheitsthemen und -praktiken offen zu besprechen. Doch das Management muss erkennen, dass niemand deswegen schwach oder dumm ist, bloß weil er von einem böswilligen Social Engineer hereingelegt wurde. Das macht einen vielmehr nur menschlich! Den Mitarbeitern muss man helfen, Probleme abzumildern und zu beheben, damit die Nachwirkungen minimiert werden können. Am besten macht man das, indem man ihnen eine Abteilung oder Person zuweist, bei denen sie Sicherheitsvorfälle melden können, ohne Disziplinierungen fürchten zu müssen. Sie sollten auch erwägen, zusätzliche Schulungen anzubieten.

Das Schreiben dieses Buches war eine Lernerfahrung. Dass ich die Chance hatte, so eng mit Dr. Ekman und Paul Kelly zusammenzuarbeiten, hat grundlegend verändert, wie ich nonverbales Verhalten betrachte und einsetze. Je mehr ich es studierte, darüber las und schrieb und Vergleiche anstellte, desto mehr begann ich, diese Zeichen bei alltäglichen Gesprächen zu entdecken. Das half mir, besser zu kommunizieren, reichhaltigere Gespräche zu führen, die Gemütsverfassung jener zu verstehen, mit denen ich zu tun hatte, und natürlich war ich auch sicherer. In diesem Buch werden keine magischen Techniken beschrieben, die Sie in einen menschlichen Lügendetektor oder Gedankenleser verwandeln. Doch wenn Sie die hier beschriebenen Techniken kombinieren, verleiht Ihnen das erstaunliche Fähigkeiten, um zu verstehen, was jemand wirklich sagen will – auch ohne Worte.

Wenn Sie diese Skills üben, denken Sie stets daran, was Dr. Ekman zu mir sagte, als ich mich mit ihm vor einigen Jahren auf diesen Weg machte: »Nur weil man sehen kann, was jemand fühlt, weiß man noch lange nicht, warum er sich so fühlt.« Lernen Sie, die wahrgenommenen Emotionen einzusetzen, um sich auf das Elizitieren zu konzentrieren. Lernen Sie, die subtilen Dinge zu sehen, die auf eine Basislinie hinweisen. Das verleiht Ihnen bei jeder Kommunikation Vorteile – mögen Sie ein professioneller Social Engineer sein oder nicht.

Melden Sie sich gerne bei mir, wenn Sie die in diesem Buch aufgeführten Aspekte diskutieren oder auch kritisieren wollen. Meine Website ist www.social-engineer.com​. Dort finden Sie Wege, wie Sie mit mir direkt kommunizieren können. Für Diskussionen stehe ich immer bereit.

Danke, dass Sie Ihre wertvolle Zeit mit mir und diesem Buch verbracht haben. Ich hoffe, Sie haben einige wertvolle Informationen bekommen, die Sie in Ihrem Leben nutzen können. Ich bin nun am Ende dieser Reise angelangt.

Als letzten Punkt möchte ich Sie an mein Motto erinnern: Die Menschen sollten sich nach einem Treffen mit Ihnen besser fühlen. Manche Leute versuchen, ihre Ziele über Beschämung und Demütigung zu erreichen. Manche versuchen, durch Angst und Spott Lektionen zu erteilen. Aber ich lerne besser, wenn mir etwas bescheiden, freundlich und ermutigend beigebracht wird. Ich lerne besser über das kritische Denken. Nehmen Sie sich die Zeit, ein Problem aus der Sicht eines anderen zu betrachten, auch wenn es sich um ein Kind handelt oder sich jemand kindisch verhält. Nehmen Sie sich Zeit, seine Emotionen zu verstehen – egal, ob sie sinnvoll sind oder nicht, ob sie begründet sind oder nicht. Ich garantiere Ihnen, wenn Sie sich so verhalten, wird sich Ihnen eine ganz neue Welt eröffnen. Sie werden in der Lage sein, nicht nur Social Engineers zu enttarnen, sondern auch jeden anderen Menschen, der vor Ihnen steht.