Interview: Monica Fahmy

Wenn Kriminelle und ausländische Geheimdienste Informationen über ein Unternehmen wollen, erhalten sie sie oft dank Social Engineering.

Stichwort Social Engineering. Herr Eckert, warum ist das wichtig?

Auf Grund aller Fälle, die ich in den letzten 2-3 Jahren behandelt habe, kam ich zum Schluss, dass vor jedem Angriff – sei es eine Cyberattacke, ein Wirtschaftskriminalitätsfall oder Industrie- oder Wirtschaftsspionage – Vorbereitungshandlungen durchgeführt werden, die man unter dem Begriff Social Engineering subsumieren kann.

Worum geht es?

Es geht darum, Zielpersonen näher kennen zu lernen, ihre Schwachpunkte herauszufinden und wenn man mögliche Angriffs- und Eintrittsmöglichkeiten identifiziert hat, mit diesen Personen in Kontakt zu treten, möglichst mit einer Legende. Danach will man sie mithilfe der Psychologie und IT dazu bringen, Informationen zur Verfügung zu stellen, mit denen man das Ziel erreichen kann, im Falle von Kriminellen beispielsweise Zugriff auf ein Computersystem. Es sind Informationen, die eine Person einfach so nie preisgeben würde, aber mit der professionellen Vorbereitung, sprich Social Engineering, sieht das anders aus.

In einem Bericht in der NZZ am Sonntag sprechen Sie über Wirtschaftsspionage durch chinesische Geheimdienste in der Schweiz.

Wirtschaftsspionage im Unterschied zur Industriespionage wird meistens orchestriert oder geplant von einem fremden Staat.Die Regierung hat das Ziel, die Wirtschaft des Landes auf Vordermann zu bringen. Sie verfolgt eine Strategie, im Westen von Industriesektoren, in denen das Land noch nicht so weit ist, möglichst viele Informationen zu gewinnen und möglichst viel abzukupfern. Die Strategie wird vom Staat aus geplant, unter Mithilfe respektive starker Inanspruchnahme der Geheimdienste. Wirtschaftsspionage betreiben vor allem Schwellenländer oder Länder, die einen Nachholbedarf haben in bestimmten Branchen.

Wie gehen sie dabei vor?

Wie gut ausgebildete, praktische Psychologen. Sie versuchen Agenten, die in grosser Zahl in den Geheimdiensten vorhanden sind, in den entsprechenden Ländern zu platzieren. Sie setzen Leute ein, die gezielt Informationsbeschaffung betreiben, in der Schweiz, in Deutschland. In der Schweiz stehen beispielsweise Chemiefirmen oder der Finanzsektor im Fokus, das sind fürs Ausland sehr interessante Branchen. Dort setzt man grosse Ressourcen ein, um an Informationen zu kommen. Mit legalen Mitteln, Competitive Intelligence, wo man Messen und Ausstellungen besucht, an Workshops teilnimmt oder an Joint Ventures mitmacht. Man zeigt sich freundlich und will letztlich Informationen gewinnen.

Und die weniger freundliche Variante?

Parallel dazu läuft die illegale Informationsgewinnung. Man weiss, die Schweizer Wirtschaft hat Bedarf an ausländischen Arbeitskräften auch ausserhalb der Personenfreizügigkeit. Also setzt man beispielsweise chinesische Fachkräfte ein, die versuchen in der Schweiz Fuss zu fassen und eine Festanstellung zu kriegen. Sehr beliebt ist natürlich der Einsatz von Praktikanten. Sie sind gut ausgebildet, können Englisch, sind sehr intelligent. Unternehmen stellen sie gerne als günstige Arbeitskräfte ein. Sie arbeiten ein paar Monate bis 1-2 Jahre als Praktikanten und können sich in dieser Zeit ein riesiges Knowhow aneignen.

Um an die Informationen zu kommen, braucht es Menschen, die bereit sind, sie zu geben. Braucht es im Schnitt viel Überzeugungskunst, oder sind die meisten einfach naiv?

Es gibt alles. Von praktisch keinem Widerstand bis sogar völliger Naivität auf unserer Seite, wo man grundsätzlich vertraut und relativ schnell Sachen preisgibt ohne sich einer möglichen Tragweite bewusst zu sein. Das ist naive Sorglosigkeit oder völlige Kritiklosigkeit und man glaubt einfach mal ans Gute im Menschen. Auf der anderen Seite stehen Druckversuche bis hin zu Agentenmethoden, wie Erpressung oder ähnlich schlimme Sachen, um an Informationen zu kommen. Menschen werden massiv unter Druck gesetzt. Aber grundsätzlich gilt: Wir sind zu gutgläubig, nicht achtsam genug, zu wenig kritisch, wir hinterfragen zu wenig. Nehmen wir die ganzen Posts auf Social Media: Was nützt es der Öffentlichkeit, wenn ich poste, dass ich einen Schokoladenkuchen in einem bestimmten Geschäft gekauft habe. Der Öffentlichkeit bringt das rein gar nichts. Jemand, der mich als Zielperson aussucht, kann damit aber sehr viel anfangen und hat gleich Anknüpfungspunkte.

Hinweis: Der Kriminalist Chris Eckert wird am Seminar Cyber Defence – Digitale Kriminalität erkennen und verhindern am 26. Juni 2018 an der Hochschule Luzern über Social Engineering sprechen

Über die Autorin

Autorin: Monica Fahmy

Monica Fahmy ist Ökonomin (MA UZH) und Absolventin des MAS Economic Crime Investigation. Sie ist COO bei der auf Investigations und Business Intelligence spezialisierten Firma AC Assets Control AG und Vorstandsmitglied der Schweizerischen Expertenvereinigung zur Bekämpfung von Wirtschaftskriminalität SEBWK.