Manipulation lässt sich definieren, als „Prozess, jemanden dazu zu bringen, dass er so handeln, reagieren, denken oder glauben will, wie Sie es für ihn wollen.“ (Hadnagy, 2011, S. 231). Einfach übersetzt heißt dies: Man bringt jemanden dazu, so zu handeln, zu denken und möglicherweise sogar zu glauben wie man selber es will. Dabei glaubt das Gegenüber, dass es sein eigener Wille sei. Das Besondere an gut angewendeter Manipulation ist, dass der Manipulierte meist nicht merkt, wie ihm geschieht und den Angreifer somit nicht überführen kann (Hadnagy, 2011).
Um nachvollziehen zu können, wie Social Engineers die Kunst der Manipulation nutzen um die Opfer nach ihren Wünschen zu beeinflussen, werden in diesem Kapitel die grundlegenden Beeinflussungsmethoden, die sich die Angreifer dabei zu Nutze machen, erläutert. Dazu zählen Reziprozität, Knappheit, Commitment und Konsistenz, soziale Bewährtheit, Sympathie und Autorität. Jeder Abschnitt zeigt kurz, wie die jeweilige Technik funktioniert und auch außerhalb des Social Engineerings, zum Beispiel im Bereich der Medien oder der Politik, eingesetzt wird. Darüber hinaus werden die Vorteile, die ein Social Engineer aus dieser Taktik zieht, dargestellt.
Die Theorie der Reziprozität beschreibt eine wechselseitige Beziehung, die dazu führt, dass Menschen sich dazu verpflichtet fühlen, sich für erhaltene Geschenke, Gefälligkeiten und dergleichen zu revanchieren (Schumacher, 2013). Gleichzeitig wird damit die inhärente Erwartung ausgelöst, dass, wenn man von anderen gut behandelt wird, auch selber entsprechend reagiert (Hadnagy, 2011). Das bedeutet: Wenn Menschen etwas erhalten, motiviert sie dies dazu, eine Gegenleistung zu erbringen. Auf der anderen Seite erhöht dieses Verhalten die eigene Erwartung, dass sich das Gegenüber ebenfalls mit einem Gefallen revanchiert.
Alvin Gouldner formulierte in seinem Werk The Norm of Reciprocity: A Preliminary Statement im Jahre 1960 zwei Prinzipien, die bei der Reziprozitätsnorm eine Rolle spielen. Zum einen heißt es so viel wie „Hilf denen, die dir in der Vergangenheit bereits geholfen haben“ (Gouldner, 1960, S. 163), zum anderen sagt er „Du sollst denen, die dir in der Vergangenheit geholfen haben, nicht schaden“ (Gouldner, 1960, S. 163).
Der bekannte kenianische Archäologe Richard Leaky behauptete zudem, dass wir Menschen sind, weil unsere Vorfahren gelernt haben, ihre Nahrung, Fähigkeiten und Kompetenzen in einem respektierten Netz aus Verpflichtungen zu teilen (Leaky & Lewin, 1978). Demnach gilt das Reziprozitätssystem also als Grundlage für unser Menschsein.
Für die Gesellschaft bedeutet die Reziprozitätsnorm deutliche Wettbewerbsvorteile. Erst dieses starke Gefühl des Verpflichtetseins hat in der menschlichen Evolution dazu beigetragen, dass man sich gegenseitig zum Beispiel Nahrung schenken konnte, ohne Angst haben zu müssen, dass einem dieses Geschenk verloren ging. Ressourcen konnten effektiver genutzt werden, durch gegenseitige Hilfeleistungen, was den Gesellschaften deutliche Vorteile brachte. Danach ist es nicht ungewöhnlich, dass die Regel der Reziprozität nach dem Sozialisationsprozess, der von jedem Menschen durchlaufen wird, so fest in uns verankert ist (Cialdini, 2017).
Robert B. Cialdini erzählt in seinem Buch „Die Psychologie des Überzeugens“, aus dem Jahre 2017, von einem Brief, den er von einer Lehrerin erhalten hat. Diese schrieb, dass sie in einem Grammatiktest einer fünften Klasse die Schüler nach der Zukunftsform von „ich gebe“ fragte. Ein Schüler beantwortete dies mit „ich nehme“. Die Antwort des Jungen unterstreicht, wie tief die weitreichende gesellschaftliche Regel von Geben und Nehmen in sozialen Gefügen verankert ist.
Ein Experiment, welches die Wirkung der Reziprozitätsregel verdeutlicht, ist das des Psychologen Dennis Regan (1971). Er ließ zwei Versuchspersonen, im Rahmen einer angeblichen Untersuchung zum Thema Kunstverständnis, einige Bilder beurteilen. Eine der Versuchspersonen war dabei ein Assistent von Regan. Das Experiment fand mit verschiedenen Personen unter unterschiedlichen Bedingungen statt. Manchen Personen tat der Assistent einen kleinen Gefallen, indem er in einer Pause verschwand und danach zwei Flaschen Cola mitbrachte, eine für sich und eine für die andere Versuchsperson. In den anderen Fällen tat der Assistent der anderen Person keinen Gefallen. Nachdem die Bewertung der Bilder abgeschlossen war, erzählte der Assistent, er sei Losverkäufer und müsse noch ein paar Lose verkaufen. Bei den Personen, denen er zuvor die Cola spendiert hatte, machte er nun deutlich mehr Umsatz, als bei der Kontrollgruppe, der er keine Cola mitgebracht hatte (Regan, 1971). Das Ergebnis zeigt, dass das Gefühl, dem spendablen „Verkäufer“ etwas schuldig zu sein, die Menschen dazu bringt, sich erkenntlich zu zeigen und eine Gegenleistung zu erbringen. Interessant ist auch, dass die Sympathie, die die anderen Personen dem Assistenten gegenüber empfanden, hier überhaupt keine Rolle bei ihrem Kaufverhalten spielte. Die Reziprozitätsregel hat eine so starke Wirkung auf den Menschen, dass sie andere Faktoren, die normalerweise die Entscheidung beeinflussen, einfach ausschaltet (Cialdini, 2017).
Im Rahmen des bereits erwähnten Sozialisationsprozesses setzt die Gesellschaft, aufgrund der genannten Vorteile, alles daran, ihre Mitglieder in der Form zu sozialisieren, dass sie die Reziprozitätsregel einhalten und nach ihr leben. Personen die sich nicht daran halten, treffen soziale Sanktionen. Sie gelten als egoistisch, geizig, selbstsüchtig oder undankbar. Um dies unter allen Umständen zu vermeiden, werden wir oft Opfer der Leute, die darauf abzielen, aus unserem Solidaritätsgefühl Profit zu schlagen (Cialdini, 2017).
Ein gutes Beispiel im kommerziellen Bereich liefern Gratisproben. Kunden erhalten diese, um herauszufinden, ob sie das Produkt mögen und sich möglicherweise davon überzeugen zu lassen. Gleichzeitig stellt diese Gratisprobe jedoch auch ein Geschenk dar und ist somit in der Lage, das Reziprozitätsprinzip in Aktion treten zu lassen (Cialdini, 2017).
Auch Social Engineer missbrauchen die evolutionär tief im Menschen verankerte Reziprozitätsregel zu ihren Zwecken. So kann der Angreifer sein Opfer zuerst mit scheinbar nützlichen Informationen versorgen oder ihm einen Gefallen tun, um anschließend selbst um Informationen zu bitten und diese dann mit höherer Wahrscheinlichkeit zu bekommen.
Eine weitere Folge der Reziprozitätsnorm ist es, Zugeständnisse zu machen. Wenn unser Gegenüber in seiner Forderung ein Zugeständnis macht, uns also ein Stück weit entgegenkommt, dann reagieren wir ebenfalls mit einem Zugeständnis - so entstehen Kompromisse. (Schumacher, 2013).
Eine Taktik, die auf diesem Verfahren basiert nennt sich „Neuverhandeln-nach-Zurückweisen-Taktik“. Ein dazu durchgeführtes Experiment von Robert B. Cialdini und seinen Kollegen verdeutlicht die Funktionsweise dieser Technik. Die Forscher sprachen einige Studenten an und fragten sie, ob sie bereit wären, eine Gruppe von jugendlichen Straftätern bei einem Ausflug in den Zoo zu begleiten und zu beaufsichtigen. Eine große Mehrheit der Studenten (83 Prozent) schlugen diese Bitte ab. In einem anderen Versuchsaufbau wurden die Studenten zunächst gefragt, ob sie sich bereit erklären würden, zwei Jahre lang immer zwei Stunden die Woche als Berater für jugendliche Straftäter behilflich zu sein. Unmittelbar nach Ablehnung dieser äußerst großen Bitte wurden die Studenten erneut um die Begleitung bei dem Ausflug in den Zoo gebeten. Die Zustimmungsrate viel nun deutlich höher aus. Insgesamt erklärten sich dreimal so viele Studenten bereit, die Gruppe der jugendlichen Straftäter im Zoo zu beaufsichtigen (Cialdini, Vincent, Lewis, Catalan, Wheeler & Darby, 1975).
Der Rückzug von einer großen auf eine kleinere Bitte wird von den Studenten als Zugeständnis seitens des Fragenden gesehen. Dies löst bei Menschen das Gefühl aus, ebenfalls mit einer Konzession reagieren zu müssen, sodass die Studenten die zweite Bitte nun annahmen. Objektiv betrachtet kann es sich dabei also trotzdem um eine große Bitte handeln, solange sie kleiner ist als die Erste (Cialdini, 2017).
Eine weitere Taktik der Social Engineers ist es hier, dass ein Angreifer beispielsweise erst eine hohe Forderung stellt indem er die Preisgabe von Kundendaten verlangt. Wird dies abgelehnt, bittet er beispielsweise um die Namen der Zulieferer des Unternehmens oder ähnliche vermeintlich weniger sensible Daten. Er hat also ein Zugeständnis gemacht, was sich positiv auf die Hilfsbereitschaft seines Gegenübers auswirkt (Weßelmann, 2008).
Ebenso ist es unter Social Engineers beliebt, sich Teile des oben beschriebenen Reverse-Social-Engineerings zu Nutze zu machen. Dabei gibt sich der Angreifer als Mitarbeiter des IT-Services aus und hilft dem Mitarbeiter bei einem vorher absichtlich herbeigeführten IT-Problem. Anschließend ist es für den vermeintlichen Servicemitarbeiter ein Leichtes, die Dankbarkeit des Opfers auszunutzen, um eine andere Hilfe als Gegenleistung zu fordern. Dabei handelt es sich zum Beispiel um die Preisgabe von Passwörtern oder ähnlichen privaten Daten, meistens, um angeblich einer dritten Person aus der Klemme zu helfen (Weßelmann,...
