Auch einfache Arbeitnehmer geraten ins Visier krimineller Kundschafter. Social Engineering nennen Experten diese Tour.

Die Situation ist ganz alltäglich: "Nein, tut mir leid, mein Chef ist mit seinen Kindern unterwegs." "Ach toll, wie alt sind die beiden denn?" Eine nette Plauderei am Telefon. Oder? Hinter solch vermeintlich harmlosen Fragen verbirgt sich vielleicht eine besondere Variante der Firmen- oder Industriespionage, genannt Social Engineering.

Die Angreifer versuchen, durch das Ausnutzen menschlicher Schwächen an wichtige Informationen zu gelangen, erklärt Christian Schaaf von der Sicherheitsfirma Corporate Trust. In dem oben erzählten Beispiel sind das zum Beispiel Namen und Geburtsjahr der Kinder, aus denen sich vielleicht das Computerpasswort des Chefs zusammenbauen lässt. "Dem Opfer wird gezielt das Gefühl vermittelt, dass eigentlich nichts Schlimmes passieren kann."

Ins Visier der Spione geraten vor allem Industrieunternehmen aller Art, etwa aus der Auto- oder Luftfahrtindustrie. "Im Grunde alle Firmen, die etwas machen, was kein anderer kann", erklärt Professorin Melanie Volkamer, die am Darmstädter Center for Advanced Security Research (CASED) über das Thema Social Engineering forscht.

Angegriffen werden nicht nur hochrangige Mitarbeiter, sondern gerade auch Arbeitnehmer, die im Abwimmeln unerwünschter Anfragen ungeübt sind. "Da steht dann auf einer Messe vielleicht auch mal der Entwickler am Stand und nicht der geschulte Pressesprecher", erklärt Sicherheitsexperte Schaaf eine bekannte Variante. "Der ist natürlich sehr stolz auf sein Produkt und möchte es unbedingt zeigen." Zum Problem wird das, wenn ein geschickter Angreifer dann an die Techniker-Ehre appelliert und ihm so Geheimnisse entlockt - etwa mit einem Satz wie: "Aber das kann ihr Produkt nicht, oder?"

"Klar, der Ingenieur in diesem Beispiel fühlt sich geschmeichelt", sagt die Hamburger Diplom-Psychologin und Unternehmensberaterin Andrea Danker. "Ich glaube aber auch, dass unsere Mitteilsamkeit mit dem Gesellschaftswandel zu tun hat. Wir sind durch die Social-Media-Kultur so viel und so schnell im Austausch. Früher hat man sich viel mehr Gedanken darüber gemacht, was man preisgibt."

Und noch einen weiteren Umstand sieht Danker als Einfallstor für Aushorcher: "Die Bindung an den Arbeitgeber ist oft sehr locker geworden, die Mitarbeiter gehen schneller wieder weg, es fehlt an Loyalität zum Unternehmen. Warum sollte man dann nicht versuchen, sich vor allem selbst zu profilieren?" Oft sei es aber einfach die Unbedarftheit des Mitarbeiters. Andrea Danker: "Ist er stolz auf sein Unternehmen? Oder unzufrieden? Das kann man im Gespräch schnell herausfinden und denjenigen genau an diesem Punkt zu fassen kriegen."

Hilfreich ist, sich Strategien zum Loswerden eventueller Angreifer zu überlegen, sagt Forscherin Melanie Volkamer: "Viele scheuen sich, am Telefon einfach 'Nein' zu sagen, weil sie das als unhöflich empfinden." Stattdessen könnten sie aber zum Beispiel "Da muss ich erst kurz meinen Kollegen fragen" sagen. Das schreckt Angreifer oft genauso ab. Auch Psychologin Danker plädiert dafür, sich einen Moment Bedenkzeit zu verschaffen, bevor man losplaudert - etwa, indem man erst einmal sehr vage in seiner Antwort bleibt: "Das Alter der Kinder? So genau weiß ich das gar nicht." Während der Mitarbeiter sich kurz zurücknimmt, könne er im Geiste kurz checken, wie verdächtig der Anrufer und seine Frage sind.

Wichtig ist aber vor allem, dass der Arbeitgeber klare Regeln zum Umgang mit Geheimnissen aufstellt, sagt Professorin Volkamer. Angestellte müssten genau wissen, an wen sie was herausgeben dürfen - und sich im Zweifel auch darauf berufen können: "Ich muss wissen, dass mir kein Ärger droht, wenn ich mich an Regeln halte." Denn auch das sei eine typische Masche beim Social Engineering. "Angreifer nutzen diese Unsicherheit aus: 'Gut, dann geben Sie mir das Passwort nicht - dann müssen Sie aber dafür geradestehen!'"

Industriespione lauern allerdings nicht nur am Telefon und am Arbeitsplatz. "Es ist heute viel leichter für Angreifer, an Informationen zu kommen", warnt Melanie Volkamer. So stellen Firmen zum Beispiel ihre Organigramme ins Netz oder posten Interna in sozialen Netzwerken. Angreifer können sich darüber mit vermeintlichem Insiderwissen versorgen und glaubwürdiger wirken. Außerdem nehmen immer mehr Angestellte ihre Arbeit mit nach Hause oder mit in den Zug, wo das Notebookdisplay leicht für andere einzusehen ist.

Übertreiben sollte man es mit der Vorsicht aber auch nicht, findet Christian Schaaf: "Totales Misstrauen ist die verkehrte Reaktion - das Leben soll ja auch noch Spaß machen." Zu viel Vorsicht kann auch das Klima in einem Unternehmen vergiften. Arbeitnehmer müssten aber wissen, was beim Social Engineering möglich und üblich ist. Viele Attacken könne man so schon leicht abwehren, sagt der Experte: "Angriffe sind nur selten extrem ausgefeilt, sondern oft sogar ziemlich plump."

Diplom-Psychologin Andrea Danker rät Unternehmen dazu, ihre Mitarbeiter für das Thema zu sensibilisieren und ihnen immer wieder deutlich zu machen, wie wichtig die Sicherheit der Firmeninterna ist. Zum Beispiel, wenn Mitarbeiter auf eine Messe geschickt werden: "Sie sollen daran denken, dort mit Unbekannten nicht zu sehr ins Detail zu gehen und vor einem längeren Gespräch auf jeden Fall nach der Visitenkarte des Standbesuchers zu fragen", sagt Andrea Danker.