Im Hintergrund weint ein Baby. Die Frau am Telefon entschuldigt sich: «Ich bin allein im Ausland, habe mein Flugticket per E-Mail erhalten, aber keinen Zugriff darauf, weil ich mein Passwort vergessen habe.» Das Baby schreit jetzt, die Frau bedauert, es sei erst neun Monate alt.
«Es tut mir leid für die Umstände, aber es ist wirklich dringend», sagt sie noch. Ob man ein neues Passwort an die E-Mail-Adresse ihres Ehemanns senden könne. Sie klingt jetzt verzweifelt.
Miese Tricks
Die Servicemitarbeiterin des E-Mail-Providers hat Verständnis für die gestresste Anruferin, setzt das Passwort zurück und sendet es an die E-Mail-Adresse, die ihr die Kundin genannt hat. Allerdings war die Notlage erfunden, das schreiende Baby nur eine Tonspur, und jetzt hat die Anruferin Zugang zum E-Mail-Konto ihres Opfers. Dort findet sie weitere Informationen, vielleicht einen Zugang zur Kreditkarte oder zum Bankkonto.
Dass Betrüger menschliche Schwächen ausnutzen, war schon immer so. Und eigentlich ist es ja auch toll, dass sogar Menschen in Institutionen hilfsbereit sind. Doch diese Stärke wird zur Schwäche, wenn Betrüger sie ausnutzen: Social Engineering heisst diese Manipulationstechnik in der Fachsprache. Der Bund hat eine Informationsseite dazu eingerichtet, mit der er dieser Gefahr begegnen will.
Hohe Schadensummen
Ein geläufiger Trick ist der CEO-Betrug: Sobald der Chef auf Reisen ist, erhält ein Mitarbeiter der Finanzabteilung ein E-Mail. Es scheint vom CEO zu kommen und weist ihn an, eine Zahlung auszulösen. Doch das E-Mail stammt von einem Betrüger, der sich vorher Zugang zum E-Mail-Postfach des Chefs verschafft und so herausgefunden hat, an wen er sich in der Finanzabteilung wenden muss, mit welchen Worten und in welchem Ton er sein E-Mail schreiben muss, damit es glaubwürdig wirkt.
Nach einer Statistik der US-Bundespolizei FBI wurden allein 2015 in 79 Ländern Fälle von CEO-Betrug registriert – mit einer Schadensumme von 2,3 Milliarden Dollar. Die gestohlenen Gelder würden meist zu Banken in China oder Hongkong geschleust, aber auch zu solchen im Vereinigten Königreich – nein, die Schweiz wird im FBI-Bericht nicht erwähnt.
Messung der Fingerfertigkeit
Die relativ neue Technik des Social Engineering bedroht die Onlinesicherheit, aber die IT-Security-Branche entwickelt auch immer neue Techniken, sich davor zu schützen. Die Schweizer Firma AdNovum zum Beispiel führt gerade bei einzelnen Kunden ein System ein, das Menschen an ihrer Fingerfertigkeit erkennt: «Es wird gemessen, wie flink sich die Finger einer bestimmten Person beim Schreiben über die Tastatur bewegen, wie hoch der Druck auf bestimmte Tasten ist, wie lange der Druck anhält und weitere Elemente», sagt Peter Gassmann (46), Geschäftsleitungsmitglied des Softwareherstellers. Daraus lasse sich die Identität einer Person sehr zuverlässig feststellen.
Verschiedenste Methoden
Auch die Entladegeschwindigkeit von Akkus (englisch «Decay Rate») kann verwendet werden, um Benutzer mobiler Geräte im Internet zu identifizieren, sagt Amit Joshi, Professor für Marketing am Institute for Management Development (IMD) in Lausanne. Die Methode funktioniert auch, wenn ein Nutzer die sogenannten Cookies deaktiviert oder gelöscht hat, mit denen sich eine Nutzerspur im Internet verfolgen lässt.
Eine weitere Identifizierungstechnik, so Joshi, verwendet die Schriftarten, die ein Computer nutzt. Jedes Mal, wenn das Gerät im Internet eine Seite aufruft, muss es die spezifischen Schriftarten dieser Seite herunterladen. Das ergibt einen Mix von Schriftarten, der so spezifisch ist, dass einzelne Nutzer darüber identifiziert werden können.
Missbrauchgefahr
Alle oben beschriebenen Identifizierungstechniken können dazu eingesetzt werden, Social Engineering zu verhindern. Aber sie können auch Marketingzwecken dienen. Nutzer können damit genau verfolgt werden, wo sie überall im Netz waren, welche Produkte sie interessieren. Im schlimmsten Fall kann auch ersichtlich werden, ob ein Nutzer sich für eine bestimmte Krankheit interessiert hat, was einer Krankenkasse dazu dienen könnte, das Risiko eines potenziellen Kunden zu erkennen und ihn von einer Zusatzversicherung auszuschliessen.
Gemäss Marketingexperten werden diese Methoden in der Schweiz zwar noch nicht auf breiter Basis im Marketing eingesetzt, aber es ist anzunehmen, dass alles, was möglich ist, irgendwann auch eingesetzt werden wird.
Sie können gut reden, haben eine gewinnende Persönlichkeit und versprechen den Opfern, wovon diese bisher nur träumten: Seien es 80 Millionen Franken für ein darbendes Tourismusgebiet, mehr Aufträge für ein Geschäft, das man gerne ausbauen würde, oder eine besonders lohnende Investitionsgelegenheit, die den vorzeitigen Ruhestand ermöglichen soll.
Weil es ein so schöner Traum ist, wollen die Opfer ihren Betrügern glauben – zumindest wollen sie deren Aussagen nicht unbedingt hinterfragen. Deshalb werden Behauptungen nicht sorgfältig genug geprüft, geschweige denn in Frage gestellt: etwa die Kreditwürdigkeit des vermeintlich reichen Investors. Dabei ist gerade dann grosse Vorsicht geboten, wenn etwas zu gut erscheint, um wahr zu sein. Denn meist ist das Versprechen dann genau das: zu schön, um wahr zu sein.
Sie können gut reden, haben eine gewinnende Persönlichkeit und versprechen den Opfern, wovon diese bisher nur träumten: Seien es 80 Millionen Franken für ein darbendes Tourismusgebiet, mehr Aufträge für ein Geschäft, das man gerne ausbauen würde, oder eine besonders lohnende Investitionsgelegenheit, die den vorzeitigen Ruhestand ermöglichen soll.
Weil es ein so schöner Traum ist, wollen die Opfer ihren Betrügern glauben – zumindest wollen sie deren Aussagen nicht unbedingt hinterfragen. Deshalb werden Behauptungen nicht sorgfältig genug geprüft, geschweige denn in Frage gestellt: etwa die Kreditwürdigkeit des vermeintlich reichen Investors. Dabei ist gerade dann grosse Vorsicht geboten, wenn etwas zu gut erscheint, um wahr zu sein. Denn meist ist das Versprechen dann genau das: zu schön, um wahr zu sein.