Schwachstelle Mensch – Prävention gegen alte und neue Formen der Kriminalität E-Book

© 2022 – CC BY-NC-ND (Werk), CC-BY-SA (Texte)

Verlag: EIZ Publishing (eizpublishing.ch)Herausgeber: Christian Schwarzenegger, Reinhard Brunner, Europa Institut an der Universität ZürichProduktion, Satz & Vertrieb: buch & netz (buchundnetz.com)Cover: buch & netzISBN:978-3-03805-408-5 (Print – Softcover)978-3-03805-456-6 (PDF)978-3-03805-457-3 (ePub)DOI: https://doi.org/10.36862/eiz-408Version: 1.00-20211215

Dieses Werk ist als gedrucktes Buch sowie als Open-Access-Publikation in verschiedenen Formaten verfügbar: https://buchundnetz.com/werke/schwachstelle-mensch-praevention-gegen-alte-und-neue-formen-der-kriminalitaet/

1

Vorwort

Die Kriminalität ist im Wandel. Während sich Täter und Opfer früher in der realen Welt begegnet sind, findet vieles heute im digitalen Raum statt. Doch obwohl neue technische Möglichkeiten zur Tatbegehung genutzt werden, löst der technische Fortschritt das „Einfallstor Mensch“ nicht einfach ab. Vielmehr liegen die Gründe für das Gelingen von deliktischen Verhaltensweisen häufig immer noch in der Ausnutzung menschlicher Eigenschaften wie Hilfsbereitschaft oder Gutgläubigkeit für die gezielte Manipulation des Opfers – Social Engineering nennt sich dieses Vorgehen. Im Rahmen des zwölften Zürcher Präventionsforums wurde aufgezeigt, welche Faktoren zur Vulnerabilität der Menschen beitragen und es wurden Einblicke in ausgewählte Praxisbeispiele gegeben. Die Tagung setzte sich zum Ziel aufzuzeigen, was der Fokus auf die „Schwachstelle Mensch“ für die Kriminalprävention bedeutet und welche Massnahmen vielversprechend scheinen. Entsprechend gehen die Beiträge des vorliegenden Bands insbesondere den Fragen nach, wie sich Opfer- und Täterverhalten im Umgang mit den neuen Technologien entwickelt haben, welche neuen Erscheinungsformen der technologiegestützten Kriminalität es gibt und wie diesen Entwicklungen wirksam begegnet werden kann.

Dr. Mirjam Loewe-Baur, Präventionsabteilung der Kantonspolizei Zürich, befasst sich mit verschiedenen Erscheinungsformen von Social Engineering. Sie zeigt auf, wie Täter und Täterinnen die neuen Technologien ausnutzen und mit welchen Schwierigkeiten die Prävention, insbesondere im Umgang mit Opfern, konfrontiert wird.

Oliver Hirschi, MSc in Business Information Technology, MAS in Information Security, Leiter „eBanking – aber sicher!“, Dozent an der Hochschule Luzern, führt in die grundlegenden Regeln der Passwortsicherheit ein. Er zeigt auf, wie Täter an die Passwörter einzelner User gelangen können, welche Rolle technische Neuerungen dabei spielen und wie sowohl beim Opfer als auch auf einer technologischen Ebene präventiv angesetzt werden kann.

Prof. Dr. Nora Markwalder, Assistenzprofessorin für Strafrecht, Strafprozessrecht und Kriminologie an der Universität St. Gallen, zeigt auf, welchen Einfluss neue Technologien auf die Art und Weise der Tatbegehung haben und wie sich die Kriminalität vermehrt in den digitalen Raum verlagert. Sie erläutert in ihrem Beitrag, welche Informationslücken bestehen und welche Probleme sich für die Prävention daraus ergeben.

Dr. Rutger Leukfeldt, Senior researcher, Netherlands Institute for the Study of Crime and Law Enforcement, Susanne van’t Hoff-de Goede, Centre of Expertise Cyber Security, The Hague University of Applied Sciences, Dr. Rick van der Kleij, Centre of Expertise Cyber Security, The Hague University of Applied Sciences, The Netherlands Organisation for Applied Scientific Research (TNO) und Dr. Steve G.A. van der Wejer, Netherlands Institute for the Study of Crime and Law Enforcement (NSCR) klären über die verschiedenen protektiven und Risikofaktoren für eine Online-Viktimisierung auf. Dabei gehen sie insbesondere auf die Diskrepanz zwischen selbstwahrgenommenem Risikobewusstsein im Netz und tatsächlichem Verhalten sowie dem fehlenden Bewusstsein der Gesellschaft über die Risiken von Cyberkriminalität ein.

Stefan Giger, Head Debit Processes & Fraud Management, UBS Switzerland AG, Zürich, vermittelt einen Einblick in die häufigsten Formen des Kartenbetrugs und zeigt auf, mit welchen Methoden die Täter an Karte und PIN des Opfers gelangen und wo die Prävention einsetzen muss.

Prof. Dr. Marc Jean-Richard-dit-Bressel, Rechtsanwalt, LL.M., Staatsanwalt und Abteilungsleiter bei der Staatsanwaltschaft III, Qualifizierte Wirtschaftskriminalität, Zürich, Titularprofessor an der Universität Zürich, setzt sich im letzten Beitrag des Sammelbandes mit der Frage auseinander, welche Bedeutung das Opferverhalten für die Strafbarkeit des Täters haben kann.  Dafür geht er u.a. darauf ein, ob die Arglisthürde beim Betrugstatbestand eine geeignete kriminalpolitische Massnahme zur Erziehung des Opfers ist.

Für das gute Gelingen der Tagung und der Veröffentlichung dieses Bandes möchten wir Valeria Piritore für die professionelle Organisation und Durchführung der Veranstaltung sowie Noura Mourad, Sue Osterwalder, Vivian Stein und Petra Bitterli für die Gestaltung dieses Tagungsbandes herzlich danken.

Zürich, im September 2021

Christian Schwarzenegger, Rolf Nägeli

2

Inhaltsübersicht

Social Engineering – Der Mensch als Einfallstor

Mirjam Loewe-Baur

Inhalt

Von der Hilfsbereitschaft zur Gier – und der Macht der Situation

Die Schwachstelle Mensch rückt immer stärker in den Fokus der Täter. Während früher häufig technische Systeme angegriffen wurden, hacken sich Betrüger heute vorwiegend in die Psyche des Menschen, um sich zu bereichern. Die Modi Operandi sind dabei so vielfältig und schnelllebig, dass man leicht die Übersicht verlieren kann. Um einen Einblick in die Vielfalt von sogenannten Social Engineering Phänomenen zu ermöglichen, werden nachfolgend drei Beispiele erläutert, welche aktuell vertieft durch die Kantonspolizei Zürich bearbeitet werden.

Die Präventionsabteilung der Kantonspolizei Zürich hat sich erstmals im Jahr 2016 vertieft mit der Schwachstelle Mensch auseinandergesetzt. Ein An­stieg von sogenannten Telefonbetrugsdelikten – angefangen beim klassischen Enkeltrickbetrug[1] bis hin zur auch heute noch vorherrschenden Masche des falschen Polizisten[2] – führte dazu, dass Geschädigte, losgelöst von einem Strafverfahren, durch Präventionsspezialistinnen und -spezialisten interviewt wurden. Ziel war einerseits der Erkenntnisgewinn und andererseits eine Erstbetreuung der Geschädigten. Entgegen den Leserkommentaren von Medienbeiträgen zum Thema Telefonbetrug, in welchen Betroffene häufig als „dement“, „naiv“ oder gar „dumm“ dargestellt werden, zeigte sich uns ein Bild sehr aktiver, kritisch denkender Personen, die gut in ihrem Umfeld eingebunden waren.

Ja klar kannte ich den Telefonbetrug und dachte immer: So dumm kann man ja gar nicht sein.[3]

Nicht nur in Medienberichten, sondern auch in der Fachliteratur werden oftmals die mit dem erhöhten Alter in Verbindung stehenden abnehmenden kognitiven Fähigkeiten und ein schlechter physischer Gesundheitszustand als eine Erklärung für die Opferwerdung[4] von Telefonbetrugsdelikten herangezogen.[5] Die Interviews führten zur Erkenntnis, dass einerseits ansonsten positiv konnotierte Personeneigenschaften der Geschädigten wie Hilfsbereitschaft oder Gutgläubigkeit ausgenutzt wurden und andererseits seitens Täterschaft mit hohen zeitlichen und emotionalen Drucksituationen fungiert wurde.[6] Wie später dargelegt wird, sind diese beiden Komponenten, die Ausnutzung von Personen- und Situationseigenschaften, zentraler Bestandteil von Social Engineering. Insbesondere die Wirkung von Drucksituationen wird von vielen Personen unterschätzt was zur gefährlichen Annahme führt, selbst niemals betroffen zu sein. Geschädigte beschreiben eindrücklich, sie seien sich der „Macht der Situation“ nicht bewusst gewesen.[7]

Als zweites Beispiel soll hier eines der wohl komplexesten Social Engineering Phänomene beschrieben werden, der sogenannte Romance Scam, auch Love Scam oder Liebesbetrug im Internet genannt. Die Betroffenen werden über soziale Netzwerke von vermeintlichen Personen angeschrieben, welche grosse Sympathie bekunden. Es entwickelt sich eine Liebesbeziehung, obwohl ein Treffen aufgrund vorgeschobener plausibel klingender Gründe nie zustande kommt. Ist die betroffene Person in einer emotionalen Abhängigkeit, erfolgen rasch Geldforderungen zur Behebung angeblicher Notlagen. Hinter dem vermeintlichen Partner steckt jedoch ein kriminelles Netzwerk.

Das Unverständnis der Gesellschaft darüber, dass man über Monate oder Jahre eine Beziehung mit jemandem führen kann, den man nie getroffen hat und dieser Person gar grosse Geldsummen zur Verfügung stellt, ist noch grösser als im Bereich des Telefonbetrugs. Im Rahmen von sogenannten polizeipräventiven Interventionen werden Betroffene durch die Polizei, losgelöst von einem Strafverfahren, aufgeklärt und beraten. Die Erfahrung zeigt, dass viele Betroffene lange Zeit Mühe haben einzusehen oder sich einzugestehen, dass sie betrogen wurden und die geliebte Person nicht existiert. Ein polizeilich geführtes Monitoring der Fälle aus dem Jahr 2019 zeigt, dass zum Zeitpunkt der Anzeige lediglich 47% der Betroffenen den Kontakt abgebrochen hatten. Weiter zeigt sich ein sehr heterogenes Bild in Bezug auf Alter, Bildungsstatus, beruflicher Position und Wohlstand. Von der Managerin mittleren Alters, welche im Finanzsektor tätig ist, über den Rentner, welcher sich ein erotisches Abenteuer erhofft, bis zur Grossmutter, die nach dem Tod ihres Ehemannes eine neue Liebe sucht, ist alles möglich. Ähnlich wie beim Telefonbetrug sind gewisse Personeneigenschaften wie Gutgläubigkeit, aber auch Impulsivität ausgeprägt.[8] Auffallend ist zudem, dass sich die Betroffenen häufig in einer schwierigen Lebenslage befinden (z.B. Scheidung oder Jobverlust) und unverarbeitete schwierige Lebenserfahrungen vorhanden sind. Die Kontaktaufnahme durch den Scammer erfolgt zunächst meist sehr ungezwungen. Viele Betroffene sind nicht aktiv auf der Suche nach einer neuen Partnerschaft. Der Beziehungsaufbau erfolgt langsam, indem der Social Engineer beispielsweise Komplimente äussert, aber auch gezielt auf die (allenfalls schwierige) Lebenssituation der Betroffenen eingeht und diese spiegelt (ebenfalls gerade eine Scheidung hinter sich oder den Job verloren). Zusammen mit dem intensiven Kontakt, den Liebesbekundungen und dem entgegengebrachten Verständnis entsteht eine tiefe Abhängigkeit.[9] Dass ein persönliches Treffen nie zustande kommt und Geld für eigenartige „Notfälle“ gefordert wird, wird plötzlich nicht mehr hinterfragt. Interessanterweise gibt eine Vielzahl der Betroffenen an, phasenweise an der Echtheit ihres „Partners“ gezweifelt zu haben oder daran gedacht zu haben, den Kontakt abzubrechen. Dennoch gelang es der Täterschaft immer wieder, so auf die Bedürfnisse der Betroffenen einzugehen, dass der Kontakt und damit die Zahlungen bestehen blieben.[10]

Ein gänzlich unterschiedliches Social Engineering Phänomen ist der derzeit stark vorherrschende Online Anlagebetrug. Hier werden Personen dazu animiert, Geld auf betrügerischen Online Plattformen zu investieren. Angesprochen werden Personen, welche ihr Geld möglichst rasch vermehren möchten und damit eine gewisse Ausprägung an Gier aufweisen. Eine zwischenmenschliche Komponente, wie sie bei den Phänomenen Telefonbetrug und Romance Scam beobachtet werden kann, ist beim Online Anlagebetrug demnach nicht in gleichem Ausmass vorhanden. Besonders hervorzuheben ist hier die Professionalität der Täterschaft in Bezug auf unterschiedliche Komponenten. In technischer Hinsicht wird deutlich, dass die Online Plattformen täuschend echt aussehen. Die darauf abgebildeten Börsenkurse korrespondieren in Echtzeit mit den realen Börsenkursen. Auch die involvierten Supportpersonen und Broker sind professionell, aber auch sehr bestimmt im Umgang.

„Okay, Sie haben Angst“, sagt Klaus, „wenn man eine erste Investition macht, fühlt es sich immer so an.“[11]

Professionell findet insbesondere auch die Vermarktung statt. So werden Prominente eingesetzt, die (gegen ihren Willen) für die Plattform werben und (gefälschte) positive Google Rezensionen geladen. Erste Erkenntnisse der Kantonspolizei Zürich deuten darauf hin, dass die Betroffenen in Bezug auf Alter, Geschlecht und Bildungsstatus eine sehr heterogene Gruppe bilden.

Die drei beispielhaften Social Engineering Phänomene werden in den nachfolgenden Kapiteln herangezogen um die theoretischen Grundlagen zu veranschaulichen, Zusammenhänge zu beleuchten und Präventionsansätze aufzuzeigen.

Social Engineering: Begriff und Definition

Der Begriff Social Engineering ist keinesfalls eine neue Erscheinung. In der Hacker Community tauchte er bereits in den 1970er Jahren, also kurz nach der Entstehung des Internets[12] auf. Heute handelt es sich beim Social Engineering um eine der verbreitetsten Angriffsmethoden.[13] Es existiert jedoch keine allgemeingültige Definition des Begriffs – vielmehr werden je nach Disziplin unterschiedliche Schwerpunkte gesetzt. Anhand der Definition des Nationalen Zentrums für Cybersicherheit des Bundes soll auf ein paar wesentliche Punkte eingegangen werden.

Social Engineering ist eine zwischenmenschliche Beeinflussung mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie z. B. zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um schutzwürdige Informationen oder unbezahlte Dienstleistungen zu erlangen.[14]

Bevor eine inhaltliche Auseinandersetzung erfolgt, soll hier die Quelle der Definition thematisiert werden. Diese legt den Schluss nahe, es handle sich bei Social Engineering Angriffen immer um Phänomene mit Bezug zur Cyberkriminalität. Aus einer inhaltlichen Perspektive greift dies jedoch zu kurz – ist doch in der Definition selbst nirgends die Rede von Cyberdelikten oder Ähnlichem. Ein Beispiel für ein Phänomen mit starker Social Engineering Komponente ausserhalb der Cyberkriminalität ist der eingangs erläuterte Telefonbetrug. Trotzdem wird Social Engineering in der Praxis und in der Fachliteratur fast ausschliesslich mit Cyberkriminalität in Verbindung gebracht. Dies hat mehrere Gründe. Mit dem erstmaligen Auftauchen des Begriffs in der Hacker Community ist die Verankerung im Cyberbereich historisch gewachsen. Zudem hat der technische Fortschritt die Aktivitäten von Social Engineers stetig vereinfacht. Mit zunehmendem Anschluss von alltäglichen Anwendungen ans Internet (z.B. smart home), der Ausbreitung sozialer Netzwerke, dem ständigen Zugriff auf Mobile Devices und flexiblen öffentlichen Arbeitsplätzen werden nicht nur grössere Mengen an sensiblen Daten produziert, sondern auch die Gelegenheiten für Angreifer vervielfacht. Teilweise bedienen sich Social Engineers zudem neueren Technologien wie Machine Learning oder Artificial Intelligence, welche es erlauben, tausende von Personen, zum Beispiel mit einem Phishing Mail, gleichzeitig zu erreichen und damit effizienter und aggressiver anzugreifen.[15] Als theoretische Grundlage dieser Entwicklung kann der Routine Activity Approach, begründet durch Cohen und Felson herangezogen werden, wonach sich Kriminalität an die Routineaktivitäten einer Gesellschaft anpasst: Mit dem technischen Fortschritt ergeben sich somit auch neue Tatgelegenheiten.[16] Trifft ein motivierter Täter auf ein geeignetes Tatobjekt, welches nicht ausreichend geschützt ist, wird Kriminalität nach diesem Ansatz wahrscheinlicher.

Aus einer inhaltlichen Perspektive weist die Definition des Nationalen Zentrums für Cybersicherheit zunächst auf den zentralen Punkt der zwischenmenschlichen Beeinflussung hin, auf welche im nachfolgenden Kapitel näher eingegangen wird. Ziel des Social Engineers ist immer Bereicherung, wobei finanzielle Mittel oder persönliche Informationen im Fokus stehen können. Auch persönliche Informationen können rasch zu Geld gemacht werden, im (Dark‑)Netz besteht ein regelrechter Handel mit persönlichen Daten.[17] Die Beeinflussung geschieht, indem gezielt auf Personeneigenschaften (in der Definition als Verhaltensweise bezeichnet) Einfluss genommen wird und auch das Umfeld entsprechend analysiert und modelliert wird. Je nach Phänomen und Person stehen ganz unterschiedliche Personeneigenschaften im Fokus. So spielt die in der Definition beispielhaft genannte Autoritätshörigkeit beim Telefonbetrug eine wichtige Rolle (gerade ältere Personen sehen Polizistinnen und Polizisten als Autoritätspersonen an), während diese beim Romance Scam eine untergeordnete spielt. Auch das Ausspionieren des Umfelds einer Person erfolgt je nach Phänomen sehr unterschiedlich. Während beim Telefonbetrug das Opfer einzig bis zur Geldübergabe vom Umfeld ferngehalten wird (in der Regel wenige Stunden), kommt dem Umfeld beim Romance Scam eine viel zentralere Bedeutung zu. So werden die Betroffenen gezielt von ihrem (potentiell schützenden) Umfeld ferngehalten.

Häufig kommen die Angreifer ganz ohne technische Hilfsmittel aus – vielmehr bedienen sie sich grundlegender psychologischer Strategien. Umso erstaunlicher ist es, dass sich die Disziplin der Psychologie bisher nur wenig mit Social Engineering auseinandergesetzt hat.[18] Wie im nächsten Kapitel dargelegt wird zeigt sich jedoch, dass bestehende sozialpsychologische Modelle dazu geeignet sind, einzelne Komponenten des Funktionsmechanismus von Social Engineering zu erklären.

Verhalten ist komplex

Wie entsteht Verhalten? Unter welchen Gegebenheiten lassen wir uns beeinflussen? Die Beantwortung dieser zentralen Fragen kann die Psychologie nicht anhand eines einzelnen Modelles liefern. Vielmehr handelt es sich um ein Gefüge von komplexen Einflussfaktoren. Es besteht jedoch Einigkeit darüber, dass sowohl Eigenschaften der Person als auch ihrer Umwelt relevant sind.[19] Diese Grundlagenerkenntnis steht im Einklang mit der Definition von Social Engineering, wonach Betrüger auf beide Komponenten Einfluss nehmen.

Personeneigenschaften

Im Zusammenhang mit Social Engineering kommt rasch die Frage auf, ob es gewisse „Risiko-Persönlichkeitsprofile“ gibt. Die polizeiliche Fallarbeit zeigt, dass die Persönlichkeitseigenschaften von Betroffenen je nach Phänomen sehr unterschiedlich sind. Ebenfalls ist innerhalb gewisser Phänomene eine grosse Vielfalt an Persönlichkeitseigenschaften zu beobachten. So kann beispielsweise beobachtet werden, dass Geschädigte eines klassischen Enkeltrick­betruges mehrheitlich hilfsbereite und gewissenhafte Personen sind. Im Phänomen Romance Scam fällt es hingegen schwerer, typische Persönlichkeitseigenschaften auszumachen.

Wählt man nicht die praktische Fallarbeit, sondern den Fachbereich der Persönlichkeitspsychologie als Ausgangslage, stellt sich zunächst die Frage nach einer geeigneten Klassifizierung von Persönlichkeitseigenschaften. In der Persönlichkeitspsychologie hat sich ein sogenannter lexikalischer Ansatz durchgesetzt.

Im lexikalischen Ansatz wird das gesamte Lexikon einer Sprache nach Eigenschaftsworten durchforstet. Ungebräuchliche Worte werden weggelassen, und von Worten sehr ähnlicher Bedeutung wird nur eines behalten. Wenn so eine überschaubare Menge von ca. 100 Eigenschaftsworten entstanden ist, wird eine große Gruppe von Personen gebeten, sich selbst oder andere bezüglich aller dieser Eigenschaftsworte zu beurteilen (z.B. mit Hilfe von Likert-Skalen). Jedem Wort entspricht also eine Eigenschaftsvariable. Diese Eigenschaftsvariablen werden dann mit Hilfe der Faktorenanalyse auf möglichst wenige Faktoren reduziert. Sie beschreiben auf effiziente Weise alltagspsychologisch wahrnehmbare Persönlichkeitsunterschiede.[20]

Auf diese Art sind die heute sehr gebräuchlichen Big Five entstanden. Demnach kann die Persönlichkeit durch fünf Faktoren beschrieben werden.[21]

Ein anderes Persönlichkeitskonstrukt ist die sogenannte Selbstkontrolle, welche durch die allgemeine Kriminalitätstheorie (General Theory of Crime) von Gottfredson und Hirschi eine zentrale Bedeutung erlangt hat. Die Begründer der Theorie gehen davon aus, dass sich Selbstkontrolle in der frühen Kindheit entwickelt und mit etwa acht Jahren abgeschlossen ist. Wie stark die Selbstkontrolle ausgeprägt ist, ist davon abhängig, wie Eltern auf abweichendes Verhalten reagieren. Erfolgt keine Reaktion, so entwickelt sich keine oder nur geringe Selbstkontrolle. Die Autoren gehen davon aus, dass die Selbstkontrolle nach abgeschlossener Entwicklung ein stabiles Persönlichkeitsmerkmal darstellt, unabhängig von Umgebungseinflüssen.[22] Kern der Theorie ist, dass wer über eine hohe Selbstkontrolle verfügt, auch eher auf kriminelles Verhalten verzichtet.[23] Auf Basis der Annahme, dass sich Personen mit geringer Selbstkontrolle auch weniger schützen, soll Selbstkontrolle nicht nur ein Prädiktor bezüglich Ausübung von Kriminalität, sondern auch bezüglich Opferwerdung sein.[24] Dies gilt insbesondere für hands-off Delikte wie Betrug, da für deren Erfolg meist ein minimales Zutun der Betroffenen nötig ist, welches bei geringer Selbstkontrolle eher erfolgt.[25]

Hinsichtlich der Erklärung von Social Engineering Phänomenen stellt sich die Frage, ob Betroffene spezifische Persönlichkeitsprofile (Big Five und Selbstkontrolle) aufweisen. Empirische Hinweise dazu sind jedoch nur sehr wenig vorhanden. Eine Metaanalyse von Pratt et al. zeigt jedoch, dass Selbstkontrolle ein robuster Prädiktor für die Opferwerdung von hands-off Delikten im Bereich Cyberkriminalität darstellt.[26] Van Gelder und De Vries untersuchten den Zusammenhang zwischen Selbstkontrolle und den Faktoren Verträglichkeit und Gewissenhaftigkeit der Big Five und fanden eine positive Korrelation. So geht hohe Selbstkontrolle vermehrt mit hoher Gewissenhaftigkeit und hoher Verträglichkeit einher.[27] Inwiefern hohe Gewissenhaftigkeit und hohe Verträglichkeit jedoch tatsächlich mit einer höheren Viktimisierungswahrscheinlichkeit korrelieren, muss im Zuge künftiger Forschung differenziert untersucht werden. Van de Weijer und Leukfeldt fanden in Bezug auf die Viktimisierung im Bereich Cyberkriminalität lediglich einen Zusammenhang mit Gewissenhaftigkeit, nicht jedoch mit Verträglichkeit.[28] Diese heterogenen ersten Befunde deuten darauf hin, dass Cyberkriminalität bzw. Kriminalität mit starker Social Engineering Komponente differenziert (phänomenespezifisch) betrachtet und untersucht werden sollte.

Umwelteigenschaften

Personeneigenschaften dürfen nicht losgelöst von der Umwelt, in welcher sich eine Person befindet, betrachtet werden, denn auch sie beeinflusst das aktuelle Erleben und Verhalten einer Person. Dabei geht es zum einen um die Häufigkeit und Dauer von Situationen. Wie viel Zeit verbringt eine Person auf den sozialen Medien, wie viel Zeit verbringt sie bei der Arbeit, wie oft kommt es zu Streit mit dem Partner? Zum anderen sind hier einschneidende Erlebnisse und Lebensbedingungen zu nennen. So beeinflussen beispielweise eine Scheidung oder der Verlust einer Arbeit das aktuelle Erleben und Verhalten einer Person ebenfalls.[29]

Ausgehend von der Fallarbeit mit Betroffenen soll hier ein wesentlicher Punkt vertieft werden. Diese zeigt, dass die hohe und stetig zunehmende Online Präsenz ein wesentlicher Risikofaktor zu sein scheint.[30] Dies hat zu einem grossen Teil mit den bereits erwähnten zahlreichen Angriffsmöglichkeiten im Internet zu tun. Es stellt sich dennoch die Frage, welche Faktoren darüber entscheiden, ob eine Person einen Angriff erkennt oder nicht. Im Auftrag unterschiedlicher behördlicher und nicht-behördlicher Institutionen wurde im Jahr 2019 eine repräsentative Befragung der Deutsch- und Westschweizer Bevölkerung zur Sicherheit im Internet in Auftrag gegeben. Als zentrale Elemente wurde erfasst:

Wie gut schätzen die Befragten ihr Wissen über Sicherheit im Internet ein?

Wie sicher fühlen sich die Befragten im Umgang mit dem Internet?

War die befragte Person schon einmal von einem Angriff betroffen?

Setzen die Befragten Schutzmassnahmen ein?

Die Interpretation der Ergebnisse fällt insofern schwer, als dass keine vergleichbaren Daten aus anderen Ländern vorliegen. Zudem muss beachtet werden, dass es sich um subjektive Angaben handelt. Zusätzlich zu den dargestellten deskriptiven Ergebnissen wurden Zusammenhänge zwischen den vier Frageelementen eruiert, welche auf komplexe Interaktionen hinweisen. So fühlten sich beispielsweise auch 67% der Personen mit tief selbst eingeschätztem Wissensstand sicher und Personen mit hoch eingeschätztem Wissensstand zeigten unsicheres Verhalten (z.B. im Umgang mit Passwörtern).[31] Die Resultate der Befragung zeigen auf, dass weitere Forschung nötig ist, um das komplexe Themenfeld weiter auszuleuchten. Die Kantonpolizei Zürich unterstützt derzeit eine Studie des Instituts für Informatik der Universität Zürich, welche die mentalen Modelle von Personen bezüglich Sicherheit im Internet untersucht.

Soziale Beeinflussung

Die Psychologie hat erst nach der Jahrtausendwende damit begonnen, die mentalen Prozesse und Tätertaktiken, welche sich Social Engineers zunutze machen, zu untersuchen. Hierzu wurden nicht neue Modelle entwickelt – vielmehr wurden bestehende sozialpsychologische[32] Modelle und Konzepte zur Erklärung von Social Engineering herangezogen.[33]

Am häufigsten werden wohl die sogenannten Persuasionsstrategien von Cialdini genannt, welche ihre Hauptanwendung in der Werbepsychologie finden.[34] Die Ähnlichkeit liegt nahe: Statt Personen dazu zu motivieren, ein Produkt zu kaufen, sollen Personen zur Freigabe von Finanzmitteln oder Preisgabe persönlicher Informationen gebracht werden. Die Verhaltenssteuerung steht bei beiden Anwendungsbereichen im Vordergrund. Nachfolgend werden die sechs Persuasionsstrategien dargelegt. Zudem wird aufgezeigt, welche Strategien bei welchen der einleitend erläuterten Social Engineering Phänomene zur Anwendung kommen (Einschätzung der Autorin. Es ist zu beachten, dass auch innerhalb der Phänomene, das heisst von Fall zu Fall, unterschiedliche Strategien wirken).

Menschen sind eher dazu gewillt etwas zu geben, wenn sie vorab bereits etwas Kleines erhalten haben. Dabei kann es sich um finanzielle Mittel oder Informationen handeln.

Menschen haben das Bedürfnis, in ihrem eigenen Verhalten konsistent zu sein. Je länger man also beispielsweise nicht auf ein schlechtes Bauchgefühl hört, desto schwieriger wird es, eine Situation zu verlassen.

Menschen orientieren sich stark daran, was andere tun. Entsteht der Eindruck, andere Personen hätten sich gleich verhalten (z.B. gute Erfahrung mit einem Anlageprodukt gemacht), so folgen wir dieser Mehrheit mit grosser Wahrscheinlichkeit.

Menschen folgen der Überzeugung, dass bestimmte Personengruppen glaubwürdiger sind als andere – sei dies aufgrund ihrer Funktion (Polizei als Autoritätsinstanz) oder ihres Wissens (erfahrener Broker als Experte auf seinem Gebiet)

Menschen sind soziale Wesen. Entsprechend schliessen wir automatisch von positiv konnotierten Personeneigenschaften wie Sympathie auf andere positive Personeneigenschaften wie Vertrauenswürdigkeit.

Je knapper die Zeit oder ein Produkt, desto eher lassen wir uns unter Druck setzen und handeln sofort.

Mit dem Versuch, die drei Phänomene den Persuasionsstrategien zuzuordnen zeigt sich zunächst, dass die Persuasionsstrategien dazu geeignet sein könnten, die Verhaltenssteuerung durch die Social Engineers partiell zu erklären. Dabei kommen nicht immer alle Strategien gleichzeitig zum Zug. Vielmehr zeigt sich ein phänomenespezifisches Muster, wobei nicht auszuschliessen ist, dass die Strategien gar von Fall zu Fall variieren können. So mag ein falscher Polizist in einem Fall sympathisch auftreten, während er in einem anderen Fall als unsympathisch, aber umso autoritärer wahrgenommen wird. Unterschiedliche Kombinationen der Persuasionsstrategien sind demnach zwischen und innerhalb der Phänomene zu beobachten. Weiter stellt sich die Frage, ob gewisse Strategien besonders häufig oder besonders erfolgreich zur Anwendung kommen. Die Fallarbeit mit unterschiedlichen Phänomenen legt nahe, dass die Knappheit bei sämtlichen Phänomenen in der einen oder anderen Art eine Rolle spielt. Geht es um die Übergabe von Finanzmitteln oder Informationen, so wird praktisch immer zeitlicher und meist zusätzlich emotionaler Druck ausgeübt. Diese Vermutung müsste jedoch – wie auch die Anwendbarkeit der Persuasionsstrategien auf Social Engineering Phänomene im Allgemeinen – empirisch überprüft werden. Interessanterweise fand eine solche trotz häufiger Nennung der Persuasionsstrategien im Zusammenhang mit Social Engineering nur sehr vereinzelt und eher im Kontext anderer psychologischer Wirkmechanismen statt.[35] So konnte Workman einen positiven Zusammenhang zwischen normative commitment (Verpflichtungsgefühl, sich an Regeln zu halten), continuance commitment (Konsistenz und Integrität im Verhalten) sowie affective commitment (Sympathie, emotionale Verbundenheit mit anderen) und der Wahrscheinlichkeit, Opfer eines Social Engineering Angriffes zu sein, finden.[36]

Weiter muss beachtet werden, dass die Persuasionsstrategien nicht die einzigen psychologischen Konzepte darstellen, die sich Social Engineers zunutze machen. Vielmehr sind unterschiedliche sogenannte kognitive Verzerrungen dafür verantwortlich, dass wir Menschen nicht immer rational denken, entscheiden und handeln.

Kognitive Verzerrung (englisch: cognitive bias) ist ein Sammelbegriff für systematische, unbewusste und fehlerhafte Prozesse der menschlichen Informationsverarbeitung.[37]

In seinem Buch schnelles Denken, langsames Denken, beschreibt Kahnemann, dass unser Denken, unsere Entscheidungen und unser Verhalten durch zwei unterschiedliche Systeme gesteuert werden. System 1 arbeitet intuitiv, schnell und vor allem ohne bewusste Steuerung. Muss schnell auf ein Ereignis reagiert werden, befähigt uns System 1 dazu, indem wir beispielsweise fliehen, wenn wir Schüsse hören oder Ähnliches. Die kognitive Verarbeitung von Informationen erfolgt ganz ohne Anstrengung. System 2