Menschliches Vertrauen auszunutzen ist immer noch besser als Code zu hacken (und wie Zero Trust dabei hilft).
Wenn wir von Social Engineering sprechen, liegt es nahe, es als etwas Neues zu betrachten.
Als ich jedoch mit dem Bedrohungsforscher Tim Kromphardt im Podcast „The Segment“sprach, beschrieb er etwas viel Einfacheres darüber, wie diese Angriffe tatsächlich funktionieren.
Menschen folgen Routinen.
Tim verglich es mit einem Spaziergang über ein Feld. Im Laufe der Zeit folgen die Menschen ganz natürlich dem gleichen Weg, weil es der einfachste ist. Unser Gehirn macht das Gleiche mit alltäglichen Aufgaben bei der Arbeit. Wir bearbeiten Anfragen, beantworten E-Mails und folgen vertrauten Geschäftsprozessen, ohne über jeden einzelnen Schritt allzu tief nachzudenken.
Bedrohungsakteure wissen das und wenden genau dasselbe Verfahren an, das auch vertrauenswürdige Personen verwenden.
Diese Erkenntnis offenbart etwas Wichtiges über die moderne Cyberkriminalität. Die effektivsten Angriffe bringen Systeme nicht zum Erliegen, sondern folgen denselben Kommunikationswegen, die auch legitime Unternehmen nutzen.
Genau deshalb ist Social Engineering nach wie vor so effektiv, selbst wenn die Sicherheitswerkzeuge immer fortschrittlicher werden.
Darin wird auch erklärt, warum Zero Trust so wichtig ist. Wenn Angreifer das Vertrauen von Menschen ausnutzen können, um sich Zugang zu verschaffen, müssen Organisationen davon ausgehen, dass ihnen gelegentlich Zugang gewährt wird.
Das eigentliche Ziel der Sicherheitsarchitektur besteht also nicht nur darin, den Sicherheitsvorfall zu verhindern, sondern auch darin, die Folgen des Sicherheitsvorfalls einzuschränken.
Social Engineering funktioniert immer noch, weil Menschen berechenbar sind.
Cybersicherheit stellt Angriffe oft als technische Probleme dar. Netzwerke weisen Schwachstellen auf, die es Angreifern ermöglichen, Schadsoftware einzuschleusen und Sicherheitslücken auszunutzen.
Laut Tim beginnen die erfolgreichsten Sicherheitslücken jedoch mit etwas viel Einfacherem: Social Engineering. Das liegt daran, dass Menschen sich bei der schnellen Informationsverarbeitung auf Muster und Routinen verlassen.
„Wir haben Wege gefunden, die Dinge zu vereinfachen, die uns ständig begegnen“, sagte Tim. „Ihr Gehirn folgt immer demselben Weg, weil es der einfachste ist und Zeit und Energie spart.“
Angreifer nutzen dies aus.
Statt völlig neue Tricks zu erfinden, ahmen sie legitime Prozesse nach. Sie versenden Phishing-E-Mails , die wie Kaufanfragen aussehen. PDF-Anhänge ähneln Lieferantenrechnungen. Die Anrufe scheinen vom IT-Support zu kommen, stammen aber nicht von einer legitimen Quelle.
Diese Angriffe bringen Systeme nicht zum Absturz. Sie folgen dem gleichen Weg wie legitime Kommunikation. Deshalb sind sie erfolgreich.
„Die Bedrohungsakteure kommen und wenden genau die gleichen Methoden an wie die Personen, denen man vertraut“, sagte Tim. „Sie hoffen, dass Sie sich einfach an die Routine halten.“
Der Kern der Vorgehensweise von Cyberkriminellen besteht darin, das bereits in normale Geschäftsabläufe integrierte Vertrauen auszunutzen.
Bedrohungsakteure nutzen genau dieselben Methoden wie vertrauenswürdige Personen.
Die Taktiken haben sich nicht geändert, aber das Ausmaß hat sich verändert.
Angesichts des ganzen Hypes um KI gehen viele Menschen davon aus, dass Angreifer ständig neue Techniken erfinden.
Tims Forschungsergebnisse deuten auf etwas anderes hin.
„Der Mechanismus, um das Vertrauen anderer zu gewinnen, hat sich im Grunde nicht verändert“, sagte er. „Es gibt keine neue, innovative Methode, jemanden dazu zu bringen, seine Bankdaten preiszugeben.“
Die Taktik bleibt unverändert:
- Sich als vertrauenswürdige Entitäten ausgeben
- Glaubwürdigkeit aufbauen
- Dringlichkeit oder Vertrautheit erzeugen
- Leiten Sie das Opfer durch eine routinemäßige Aktion
Was die Technologie verändert hat, ist der Umfang.
Die Automatisierung von Angriffen mithilfe von KI ermöglicht es Angreifern, Millionen von E-Mails zu versenden, verschiedene Köder zu testen und ihre Vorgehensweise schneller als je zuvor zu verfeinern. KI-Tools können Variationen von Betrugsnachrichten generieren und Teile ihrer Infrastruktur automatisieren.
Der letzte Schritt beruht jedoch immer noch auf der Manipulation von Menschen.
Selbst ausgeklügelte Betrugsmaschen laufen letztendlich auf denselben Punkt hinaus. Angreifer müssen jemanden davon überzeugen, ihnen lange genug zu vertrauen, um Geld oder Zugangsdaten zu übertragen.
Tim beschreibt dies als eine Art Trichter. „Sie können bei den Ködern kreativ werden“, sagte er. „Aber am Ende des Tages müssen sie trotzdem an Ihre Informationen gelangen.“ Sie müssen also entweder Vertrauen aufbauen oder bereits vorhandenes Vertrauen nutzen.“
Warum mehr Vertrauen auch mehr Gefahr bei Cyberangriffen bedeutet
Eine der beunruhigendsten Taktiken, deren Popularität Tim beobachtet, ist das sogenannte Schweineschlachten.
Der Name klingt bizarr, aber die Strategie ist brutal effektiv. Der Angreifer baut monatelang eine Beziehung zum Opfer auf, bevor er um Geld bittet.
„Die Idee ist, dass man das Schwein vor der Schlachtung mästet“, sagte Tim. „Sie bauen monatelang Vertrauen auf, bevor sie um eine große Investition bitten.“
Der Angreifer kann vorgeben, das Opfer versehentlich per SMS oder über soziale Medien kontaktiert zu haben. Von da an entwickelt sich das Gespräch allmählich. Die Opfer erhalten täglich Nachrichten mit lockeren Gesprächen über den Alltag. Angreifer könnten sogar Fotos oder Videos austauschen, um die Beziehung noch weiter zu untermauern.
Schließlich präsentiert der Angreifer eine Investitionsmöglichkeit. Zunächst investiert das Opfer kleine Beträge und erzielt Renditen. Der Angreifer erlaubt ihnen möglicherweise sogar, kleine Gewinne abzuheben, um seine Glaubwürdigkeit zu stärken.
Dann kommt die eigentliche Bitte.
Sie werden sagen, dass sich für das Opfer eine riesige Chance bietet, seinen Gewinn zu verdoppeln oder zu verdreifachen. „Die Leute investieren am Ende ihre gesamten Lebensersparnisse“, sagte Tim.
In einem von ihm untersuchten Fall verlor ein Technologiemanager sieben Millionen Dollar. Der Betrug war nicht aufgrund einer technischen Sicherheitslücke erfolgreich, sondern weil der Angreifer Vertrauen aufgebaut hatte.
Warum intelligente Menschen immer noch auf Betrügereien hereinfallen
Wenn solche Geschichten ans Licht kommen, ist die erste Reaktion oft Ungläubigkeit. Wie konnte nur jemand darauf hereinfallen?
Tim erklärte jedoch, dass die Psychologie hinter diesen Betrügereien komplexer sei, als es scheine. Menschen treffen Entscheidungen nicht unter perfekten Bedingungen. Sie sind beschäftigt, abgelenkt und stehen unter Druck – oder suchen einfach nur nach echten Begegnungen.
Für Tim verdeutlicht dies etwas, das in vielen Sicherheitsdiskussionen übersehen wird. Social Engineering funktioniert oft, weil Angreifer eher menschliche Bedürfnisse als technische Schwächen ausnutzen.
„Viele Menschen streben heutzutage nach mehr Verbundenheit“, sagte er. „Soziale Medien haben die Menschen von traditionellen Beziehungen entfremdet.“
Wenn jemand freundlich, sympathisch oder erfolgreich wirkt, entsteht schnell Vertrauen. Und sobald Vertrauen entsteht, schwindet die Skepsis. Genau darauf spekulieren die Angreifer.
Die verborgene Realität moderner Betrugsoperationen
Ein weiterer Mythos über Cyberkriminelle ist, dass sie hochprofessionelle Hacker seien.
Manchmal ist das der Fall, aber viele Betrugsmaschen ähneln eher Callcentern von Unternehmen. Sie haben vorgegebene Gesprächsabläufe und festgelegte Arbeitsabläufe. Viele verlangen sogar Leistungskennzahlen von Betrügern.
Laut Tims Recherchen verfeinern diese strukturierten Betrugsmaschen ihre Abläufe ständig. Manchmal geht es einfach nur darum, Informationen zu sammeln. In anderen Fällen geht es darum, Geldwäschekonten oder Zahlungskanäle zu identifizieren, die zum Transfer gestohlenen Geldes verwendet werden.
Der zugrundeliegende Prozess bleibt jedoch bemerkenswert konstant. Betrüger wollen das Vertrauen ihrer Opfer gewinnen und dieses Vertrauen dann zu Geld machen.
Warum Sicherheitsbewusstsein allein nicht ausreicht
Sicherheitsbewusstseinstrainings sind zu einem Standardbestandteil der Unternehmensverteidigung geworden.
Und obwohl Sicherheitsbewusstsein von entscheidender Bedeutung ist, stellt die alleinige Fokussierung auf das Nutzerverhalten eine unmögliche Belastung dar.
Wie Tim bereits angemerkt hat, sind Menschen nicht dafür geschaffen, ständig misstrauisch zu sein. „Wir können nicht einfach davon ausgehen, dass die Menschen immer die richtige Entscheidung treffen oder sich perfekt verhalten“, sagte er. „Auch gut ausgebildete Mitarbeiter können Fehler machen.“
Aus diesem Grund muss das Zero-Trust- Konzept über Authentifizierung und Identität hinausgehen. Organisationen müssen davon ausgehen, dass menschliches Vertrauen gelegentlich ausgenutzt wird.
Die Frage ist nun, was als Nächstes passiert. Kann sich ein Angreifer frei in der Umgebung bewegen oder sind seine nächsten Schritte eingeschränkt?
Wir können nicht einfach davon ausgehen, dass die Menschen immer die richtige Entscheidung treffen oder perfekt handeln. Auch gut ausgebildete Mitarbeiter können Fehler machen.
Zero Trust muss das menschliche Verhalten berücksichtigen.
Hier wird Zero Trust unerlässlich.
Es wird zwar nicht jeden Betrug verhindern, aber es kann den Schaden begrenzen, wenn Vertrauen unweigerlich missbraucht wird.
Wenn ein Angreifer Zugang zu Anmeldeinformationen, einem kompromittierten Gerät oder einer Fernverbindung erlangt, kann eine Zero-Trust-Strategie, die auf Segmentierung und Transparenz basiert, verhindern, dass aus diesem Fußabdruck ein vollständiger Sicherheitsvorfall wird.
Zero Trust erkennt eine einfache Wahrheit an: Menschen werden anderen Menschen immer vertrauen.
Angreifer wissen das, daher müssen Verteidiger Architekturen entwerfen, die davon ausgehen, dass Vertrauen scheitern kann.
Zero Trust hilft dabei, die bevorstehenden Herausforderungen der Cybersicherheit zu bewältigen
Die Technologie wird sich weiterentwickeln. Künstliche Intelligenz wird Betrugsmaschen automatisieren. Die Infrastruktur wird komplexer werden. Digitale Beziehungen werden physische ersetzen.
Das grundlegende Problem bleibt jedoch unverändert: Bei Cyberkriminalität geht es nach wie vor um die Manipulation von Vertrauen.
Tatsache ist, dass architektonische Resilienz heute von größter Bedeutung ist. Die Strategien heutiger Cyberkrimineller basieren nicht mehr auf der Ausnutzung von Software, sondern auf der Ausnutzung von uns.
Diese Realität sollte die Denkweise von Organisationen im Bereich Cybersicherheit grundlegend verändern und sie dazu bewegen, eine Zero-Trust-Sicherheitsstrategie als oberste Priorität einzuführen.
Hören Sie sich die vollständige Folge von „The Segment: A Zero Trust Leadership Podcast“ an auf Apple Podcasts, Spotify, oder Unsere Website.
%20(1).webp)
%20(1).webp)
%20(1).webp)
