Gute Social Engineers spielen sich selbst

Ivano Somaini leitet die neue Zürcher Filiale von Compass Security

Quelle: Jens Stark/NMGZ

Somaini: Wichtig ist, dass einem bewusst ist, wie man gegen aussen wahrgenommen wird. Mich selbst beurteile ich beispielsweise vom Aussehen her als eher wenig autoritär. Ich witzle oft, dass ich auf andere wirke wie jemand, der Hilfe benötigt. Daher kann ich diese Rolle auch am besten spielen. Ich trete dann meistens mit einer grossen Schachtel in der Hand auf, sodass die Leute mir ohne weiteres die Türe aufhalten. Wenn ich dann gleich auch noch vorgebe, in ein wichtiges Telefonat vertieft zu sein, werden auch keine Fragen über meine Anwesenheit gestellt. Ich könnte zwar auch den autoritären und bösen Boss raushängen. Aber ich befürchte, das würden mir die Umstehenden weniger abnehmen. Auch kann ich mich als ausgebildeter Informatiker am natürlichsten beispielsweise in der Rolle eines IT-Supporters bewegen. Hier kann ich sehr spontan und kompetent auf Fragen reagieren, sodass ich als jemand rüberkomme, der etwas von der Sache versteht. Das gelingt mir bestimmt weniger in einem Umfeld, das mir fremd ist.

Was die Charaktereigenschaften anbelangt, so ist sicher Empathie immens wichtig. Dies gilt nicht nur für die Besuche und Auftritte in Person, sondern auch für den Versand von Phishing-Mails. Hier muss man sich gut in den anderen versetzen können und wissen, wie das Gegenüber tickt.

Somaini: Ja, das stimmt. Meist muss sich hier der Social Engineer über die anzugreifende oder auszutricksende Person anhand öffentlich zugänglicher Informationen und Quellen ein Bild machen, mit Hilfe sogenannter Osint-Methoden (Open Source Intelligence) also. Das gelingt bei den meisten Zielpersonen immer besser, da heutzutage viel von sich selbst preisgegeben wird, zum Beispiel durch Posts in sozialen Medien.

Beim Auftauchen vor Ort dagegen muss man oft das Gegenüber schnell einschätzen können und entsprechend reagieren. Das geschieht üblicherweise in Sekundenbruchteilen und unbewusst.

Somaini: Beides funktioniert. Allerdings ist die unauffällige Rolle oft einfacher zu spielen, da sie weniger aufwendig ist in der Vorbereitung und dennoch sehr oft zum Erfolg führt. Gerade kürzlich haben Kollegen von mir zwei Szenarien am selben Tag und am selben Ort durchgespielt. Das erste Szenarium war sehr durchdacht und mit grossem Rechercheaufwand verbunden. So fanden sie heraus, wer die Gebäudeverwaltung für die Büros der Zielfirma – in diesem Fall eine Bank – innehat. Danach gaben sie sich als deren Techniker aus, meldeten sich vorab an und kamen zum vereinbarten Termin perfekt verkleidet, mit Namensschildern und Mäppchen versehen. Darüber hinaus hatten sie den erfundenen Report eines angeblichen Besuchs vor einem Jahr dabei. Trotz dieses Aufwands riefen sie eher Skepsis hervor und wurden sehr genau beobachtet bei allem, was sie vor Ort verrichteten. Danach kehrten sie zurück, tauschten das Technikertenue gegen normale Anzüge und besuchten das Geldinstitut als normale Bankangestellte. Sie schlichen sich hinter Mitarbeitenden durch noch geöffnete Türen ein und konnten sich recht frei in der Bank bewegen, weil sie in ihrem Outfit überhaupt nicht auffielen.