Das Social Engineering verbindet die Methoden der Suggestion und Manipulation mit den Erfahrungen von Detektiven, Spionen und Ermittlern, um in geschützte informationstechnische Systeme einzudringen und  wertvolle Informationen zu stehlen.

Es sucht den direkten menschlichen Kontakt, um auszuforschen oder zu übertölpeln. Sein Opfer ist der Mensch, den es zu unbedachten Handlungen und Äußerungen bewegen will, um diese miteinander zu kombinieren und schließlich zu missbrauchen.

Die dazu entwickelten Techniken werden nicht nur von Hackern, Informationsbrokern und Ermittlern aller Spielarten genutzt, sondern in mittelbarer Form auch von den Spammern und Malware-Verbreitern.

Dieser Aufsatz baut vor allem auf den Fallbeispielen von Kevin Mitnick und im jüngsten Security Journal von McAfee auf. Er schließt die Auseinandersetzung mit den grundlegenden IT-Themen im Cyberfahnder ab.
 

 
zum Aufsatz

Risikofaktor Mensch
Verhaltensregeln für Mitarbeiter
Vorgehen des Social Engineers

Security Journal

  Psychotricks
  ... mentale Verknüpfungen
  Fehler im Schema verursachen

  Geld machen mit Cybercrime
  gezielte Manipulationen
  Schwachstellen, Exploits und Fallen
  Typosquatting
  Adware und Spyware

Ergebnisse aus dem Security Journal
Fazit: Security Journal

Lehren aus den Fallstudien

 
Die von Mitnick und dem Security Journal gelieferten Fallstudien zeigen, dass das Social Engineering keine eigenständige Erscheinungsform der Cybercrime ist. Seine Ursprünge liegen in den Methoden der Rhetorik, der Manipulation und der Suggestion und können ganz verschiedenen Zwecken dienen.

Seine ersten konkreten Ausformungen bezieht das Social Engineering aus den Erfahrungen und Praktiken der Trickbetrüger. Seine selbständige Ausrichtung hat es jedoch durch die Spionage bekommen, die von Kundschaftern, Diplomaten, Spionen und Agenten entwickelt wurden. Wenn sie gut sein und unentdeckt bleiben wollten, mussten sie technisches und sonstiges Wissen mit sozialer Kompetenz und Abgebrühtheit verbinden. Genau das zeichnet den "echten" Social Engineer aus.

Seine Methoden und Machenschaften unterscheiden sich vom Grundsatz her nicht von denen anderer Tätigkeiten, denen es um die Beschaffung geheimer Informationen und den Schlüssen geht, die aus ihnen und öffentlichen Informationen gezogenen werden. Darin unterscheidet er sich überhaupt nicht von Informationsbrokern, Geheimdienstlern und Ermittlern.
 

 
Das Social Engineering darf eine gewisse Eigenständigkeit nur in dem Bezug beanspruchen, dass es ihm um die Penetration informationstechnischer Systeme und Daten geht. Seine Ausrichtung geht auf die Informationstechnik und ihre Besonderheiten bestimmen die Ausprägung der sozialpsychologischen Methoden und eingesetzten Techniken.

Die künftige Entwicklung, die vermehrt individualisierte Angriffe und Spionage gegen Einrichtungen, Unternehmen und Behörden erwarten lässt, wird das Social Engineering als eigenständige Erscheinungsform im Zusammenhang mit der Informationstechnik vernichten. Alle anderen Spionage- und Ermittlungsformen werden sich wegen ihrer Methoden angleichen, schnöde und IT-Technik miss- und gebrauchen ähnliche Gedankengänge wegen der Auswertung von Informationen entwickeln.

Das gilt besonders auch für staatliche Ermittler, die technische und soziale Kompetenz verbinden müssen - und bei ihren Methoden an Recht und Gesetz gebunden bleiben.

Das will ich auch nicht anders.