Soziale Manipulation

Geschrieben von kingalca am 13. Januar 2014
Dieser Post ist über ein Jahr alt. Eventuell haben sich die Details mittlerweile geändert, oder Links sind nicht mehr verfügbar.

Soziale Manipulation

Oft befindet man sich in Situationen, in denen es notwendig ist, seinen Gegenüber zu manipulieren. Sei es, Ihm eine Lüge aufzutischen, die Ihn etwas anderes Glauben lassen soll oder sei es die geschickte Manipulation eines Grenzbeamten am Zoll oder einer normalen Polizeikontrolle. Es gibt tausend Situationen, in denen man möchte, jemand anderen das tun zu lassen, was man selbst möchte und nicht immer muss das was mit einer aktiven Manipulation zu tun haben.

Menschen manipulieren auch passiv, völlig unabsichtlich und -bemerkt. Das merken weder etwaige Gesprächspartner, noch man selbst. Das exakte Pendant dazu ist logischerweise die aktive Manipulierung, die nicht mal all zu schwer ist.

Wir Menschen werden mit dem Erkundungsverlangen der Umgebung geboren. Wenn wir geboren werden, erfassen und ertasten wir unsere Umgebung. Kleinkinder sind in der Lage zu assoziieren. Wenn das Kind einen Bagger in der Hand hat und die Eltern wiederholen das Wort „Bagger“, dann wird das Kind dieses Wort im Bezug auf Objekte in Form eines Baggers verknüpfen können. Wenn wir das Feuer anfassen ist es heiß und wir lernen daraus, dass man das nicht noch mal tun sollte. Diese Fähigkeit ermöglicht es erst überhaupt, dass wir Menschen eine Lebenserwartung von über 3 Jahren haben, denn würden wir jeden Fehler wiederholen, der uns physischen Schaden zufügt, hätte sich auch spätestens der Homo Erectus von ganz alleine ausgelöscht und es gäbe uns nicht. Aus demselben Grund versucht man auch, Menschen zu überzeugen. Simpelstes Beispiel: man lügt jemandem etwas vor, weil man Angst vor der Reaktion hat. Jeder kennt diese Situation.

Dummerweise ist von diesem Fakt keine Menschenseele gefeit. Jede Person auf dieser Welt ist grundsätzlich empfänglich für einen erfolgreichen Manipulationsversuch und genau das machen sich Marketingfirmen, Regierungen, andere Menschen und sonstige Organisationen zu Nutze, und zwar nicht zu knapp.

 

Ich möchte hier einfach ein paar wirklich einfache Beispiele nenne, in denen Social Engineering angewandt wurde.

In meinem Job ist es notwendig, dass ich bestehende Sicherheitssysteme ständig hinterfrage. Ist das wirklich gut? Gibt es einen Weg, das zu umgehen? Kann ich trotzdem in das System einbrechen? Denn selbst, wenn man als Firma die besten verfügbaren Sicherheitssysteme für alle Netzwerkebenen, also Hard- wie Software, besitzt ist man immer noch 100% infiltrierbar. Es gibt keinen absolut sicheren Schutz. Das liegt am kompletten Aufbau und Designs von Netzwerktechnologie.

Das liegt einzig und allein am Faktor Mensch. Es gibt keinen Hirnschutz, damit man vor Manipulation sicher ist. Ein IT-Security-Spezialist kann immer noch Passwörter auf einen Zettel schreiben, die später gefunden werden und wenn das in die Hände von jemandem gerät, der ein noch höheres Wissen besitzt, so kann das System unentdeckt kompromittiert werden. Aus diesem Grund gibt es in vielen Firmen, bei denen Datenschutz eine wichtige Rolle spielt eine sogenannte „Clean Desk Policy“, damit genau so was nicht Passiert. Im Grunde genommen darf dabei nichts auf dem Schreibtisch liegen. Keine Unterlagen. Keine Zettel. Nur Bildschirme, Maus, Tastatur und für die Firma irrelevante Notizen, intern wie extern. Dazu kommt, dass der Mensch grundsätzlich Sicherheit sucht. Er wohnt in abschließbaren Häusern, fährt „360° Sicherheitsfahrzeuge“, kauft sich eine Hülle für sein Smartphone und so weiter. Das führt aber eben auch dazu, dass man Sicherheit sucht und auch falsche Entscheidungen trifft.

Als Beispiel dient hier auch gut die korrekte Benutzung eines Mountainbikes. Ich kann mir zwar einen Helm kaufen, um nicht vor einem Sturz zu schützen, wenn ich aber einen Hügel hinabfalle und mein Fahrrad danach auf meinen Brustkorb fällt und Ihn bricht, bringt mir der Helm auch nicht viel. Das Passiert zwar Gott sei Dank eher selten, aber es ist dennoch eine potentielle Gefahr.

Sicherheit ist in der heutigen Zeit nichts anderes als eine Illusion. Erst vor einiger Zeit habe ich gelesen, dass der Softwarehersteller WHMCS gehackt wurde. Zur Erläuterung: WHMCS stellt Firmen ein System zur Verfügung, mit der Sie beispielsweise Konzertkarten oder Service-Pakete verkaufen können. Das ganze war ein richtiges Drama, da Millionen Kreditkartendetails nun nicht länger verborgen waren. Alle personenbezogenen Daten wurden ausgelesen und alleine diese Tatsache ist dramatisch.

Der Hack fand allerdings nicht mit einem Computer statt, sondern mit Social Engineering. Der Täter ging dabei erstaunlich stupide vor. Er rief bei dem Webhoster der Firma an und gab sich als einer der Chefentwickler aus. Da der Täter alle Sicherheitsfragen korrekt beantworten konnte erlangte er dadurch vollständigen Zugriff auf die Server von WHMCS.

Und nun kommt das Paradebeispiel, wieso Sicherheit eine reine Illusion ist. Die Kreditkartendetails waren gesalzen und erschlüsselt, sodass man Sie ohne das entsprechende Kennwort gar nicht entschlüsseln könnte. Dummerweise war der dafür notwendige Schlüssel im Klartext auf dem Server gespeichert, sodass die Daten einfach entschlüsselt werden konnten.

Diese Situation wäre umgänglich gewesen. Hätte man den Hoster angewiesen Änderungen am System derartiger Sicherheitsrelevanz nur dann durchzuführen, wenn zuvor ein „Rückruf“ auf eine zuvor angegebene Telefonnummer erfolgt und dieser ebenfalls bestätigt wird, wäre diese Situation niemals zustande gekommen. Auch dieses System birgt ein Risiko, nämlich einen vorherigen Anruf in dem man glaubhaft macht, dass die Nummer nicht länger verfügbar sei und nun eine neue Nummer ins System eingetragen werden muss. Das ganze kann man natürlich noch per Mail etc. erweitern und abändern, das Ergebnis ist immer das gleiche.

Das ganze geht natürlich nicht nur anhand von Firmen, viel einfacher ist es an einer Person. Sobald man eine gewisse Autorität erlangt hat glauben Leute jemandem etwas – oder eben nicht. Wenn Angela Merkel sagt, dass der Syrienkrieg vorbei ist, dann würde ich es Ihr spontan glauben. Solange, bis ich etwas gegensätzliches höre oder mich von der Tatsache selbst überzeuge. Wenn das hingegen irgendein Kerl sagt, den ich noch nie gesehen habe und der auf mich auch nicht Vertrauenerweckend wirkt, dann glaube ich es Ihm nicht.

Jeder Mensch trägt also eine Art Wert in sich, der die eigene Autorität widerspiegelt. Das gleiche kann man mit einem Manipulationsversuch machen. Je nach Gewichtung ist dieser Wert entsprechend hoch, das Umfeld der geplanten Manipulation spielt hier natürlich auch noch eine Rolle und kann den Wert ebenfalls erhöhen oder vermindern. Erleichtern kommt hinzu, dass die Beziehung der Personen 1:1 oder 1:n sein kann und – je höher der Autoritätswert der Person ist – den Wert der Manipulation dadurch extrem stark beeinflussen kann.

Während das Leugnen eines Mordes einen sehr hohen Wert hat, hat die Antwort „Gut, und dir?“ auf die Frage „Und, wie gehts dir?“ eher einen sehr niedrigen. Wenn ich jedoch bei der Antwort anfange zu weinen, verringert dass die Chance, dass mein Gegenüber meine Antwort ernst nimmt. Lache ich Ihn jedoch an, so wird er meine Antwort nicht hinterfragen.

Im Grunde genommen ist es – zumindest mathematisch – eine einfache Rechnung:
C+($env) > A

Wobei C für den conviction-Amount stünde, also den Wert, den der Manipulationsversuch inne trägt. $env wären in dem Fall entsprechende Umstände. Beispielsweise könnte ein Zeuge einen negativen Wert hinzufügen, wenn dieser die Aussage bestätigt. Fühlt sich der Manipulierte jedoch aktiv manipuliert, hebt das den Wert von C deutlich, da das Sicherheitsbewusstsein hier Alarm schlägt. Zuletzt ist es nur noch davon abhängig, ob der Autoritätswert der Person höher ist, als die C-Gleichung. Gibt man dem ganzen bestimmte Werte, sähe es so aus:  (100+70-80) > 150. Ist die Gleichung wahr, dann handelt es sich höchstwarscheinlich um einen Täuschungsversuch.

Natürlich ist diese Formel nur dann anwendbar, wenn man keine hieb- und stichfesten Beweise dafür oder dagegen hat, kann also nur bei Versuchen angewandt werden, die auf einer rein emotionalen Entscheidungsbasis geschehen.

Damit das ganze etwas visualisiert werden kann, hier ein wirklich einfaches Beispiel: ich bestelle regelmäßig bei ein und demselben Pizzalieferanten. Ich bestelle so gut wie immer online und bezahle auch online, muss also beim Empfang nichts mehr bezahlen. Die Lieferanten wissen das und achten nicht darauf, da ich eh immer online bereits zahle und achten nicht mehr so sehr darauf, dass ich noch zahlen müsste. Ich selbst habe in dem Fall einen Auth-Wert von, sagen wir, 50.

Nun bestelle ich erneut etwas, bezahle aber nicht. Als die Lieferung kommt und ich gefragt werde, ob ich schon bezahlt hätte, sage ich „Ich werde schon gezahlt haben“. Zugegeben, der Satz erscheint verwirrend, aber genau das soll er auch tun. Ich suggeriere im ersten Moment, dass ich bereits gezahlt habe, sage aber eigentlich, dass ich erst später zahlen werde. Meine Aussage hat allerdings aufgrund des finanziellen Backgrounds einen hohen Wert von 100. Der Zusteller ist es von den abertausenden Malen aber gewohnt, dass ich bereits bezahlt habe und aufgrund meiner Aussage verwirrt. Die Verwirrung sorgt für negative 10 Punkte (also 100-10), die Gewohnheit für weitere 45 (sprich: 100-10-45). Fügt man diese Zahlen nun in die Formel ein, sähe diese so aus:
(100-10-45) > 50
Das Ergebnis hiervon wäre falsch und ich könnte es tatsächlich schaffen, dass der Zusteller wieder abzieht, ohne den Schwindel zu bemerken. Sollte der Fehler später auffallen, könnte ich behaupten, dass ich doch gezahlt habe und würde damit eine Aussage-gegen-Aussage-Situation erschaffen. Man könnte mich nicht dazu zwingen den Service zu bezahlen, solange es hierfür keine weiteren Zeugen gibt – zumindest nach deutschem Recht.
Je subjektiver der Background des Versuchs, desto höher ist die Wahrscheinlichkeit, dass man damit durchkommt.