Der Angestellte eines US-Tabakkonzerns redet sich um Kopf und Kragen. Bereitwillig berichtet er am Telefon über seinen Arbeitslaptop, dessen Betriebssystem und E-Mail-Programm, seinen VPN-Anbieter und die installierte Software. Er gibt sogar zwei Adressen in seinen Browser ein, die ihm seine Kollegin Bethany aus der IT-Abteilung in der Zentrale diktiert. Er tut das, weil sie ihm gerade in Aussicht gestellt hat, dass er demnächst einen neuen Rechner bekommt und dazu vorher protokollieren muss, was für Hard- und Software er derzeit benutzt.

Was er nicht weiß: Bethany existiert nicht. Er spricht gerade mit Alethe Denis, und die sitzt in einer schalldichten Kabine auf der Hackerkonferenz Defcon in Las Vegas, vor Hunderten begeisterten Zuhörern. Es ist kein Telefonstreich, der zur Publikumsbelustigung gedacht ist. Der Anruf gehört zu einem Social-Engineering-Wettbewerb, der seit zehn Jahren auf der Defcon stattfindet.

Social Engineering ist die Kunst, jemanden dazu zu bringen, freiwillig Dinge zu tun, die er oder sie nicht tun sollte. Kurz: Menschen-Hacking. Der Enkeltrick ist Social Engineering, Phishing ebenso. Auf der Defcon geht es um eine Mischung aus beidem, ums Vishing - den Trickbetrug übers (VoIP-)Telefon.

Auf Instagram verraten Angestellte zu viel über sich

Alethe Denis' Aufgabe: Innerhalb von 20 Minuten möglichst viele Informationen über die Computer des Tabakkonzerns aus den Angestellten herauszukitzeln. Dinge, die man für einen klassischen Hackerangriff wissen wollen würde, damit man eine maßgeschneiderte Schadsoftware verwenden kann.

Der Wettbewerb besteht aus zwei Teilen. Bevor die Teilnehmer nacheinander für 20 Minuten live vor Publikum ihre Anrufe tätigen, müssen sie einen Bericht abliefern über das Unternehmen, das ihnen zuvor von den Organisatoren zugeteilt wurde. Dafür haben sie drei Wochen Zeit, in denen sie eine Liste mit sogenannten Flags abarbeiten sollen.

Die Flags sind bestimmte Informationen über das Unternehmen und seine Mitarbeiter, die sich in Datenbanken, sozialen Netzwerken oder auch mit Hilfe technischer Tricks finden lassen. Open Source Intelligence (OSINT) nennt man dieses Auskundschaften von öffentlich zugänglichen Quellen. Am Ende zählen die Veranstalter, wer wie viele Flags im Bericht und beim Vishing eingesammelt hat. Wer die meisten hat, gewinnt eine Black Badge, die lebenslang kostenlosen Eintritt zur Defcon garantiert und so etwas wie eine Hacker-Goldmedaille ist, nur eben eine schwarze.

Denis hat vor allem in Karrierenetzwerken sowie auf Instagram Konzernangestellte entdeckt, die ihren Standort, ihre Telefonnummern sowie Fotos von ihren kürzlich geborenen Kindern posten. Also erzählt sie dem auskunftswilligen Mitarbeiter nebenbei, dass sie auch gerade Mutter geworden ist - was sogar stimmt und umgehend dafür sorgt, dass ihr Gesprächspartner auf der persönlichen Ebene eine Verbindung zu ihr aufbauen kann. Allerdings ist alles andere, was sie sagt, gelogen. Was spätestens auffliegen wird, wenn der Mann demnächst bei seinen Vorgesetzten nachfragt, wann denn der versprochene neue Laptop kommt.

Es gab auch einen Moment, in dem der Angestellte hätte stutzig werden müssen. Alle Wettbewerbsteilnehmer sollen ihre Opfer überreden, die zwei Internetadressen aufzurufen. Eine davon ist die der Organisatoren: social-engineer.org . Mehr Wink mit dem Zaunpfahl geht kaum.

Aber Denis hat vorgesorgt. Sie habe im Vorfeld eine Domain registriert, die wie eine ausreichend glaubwürdige Abkürzung des Konzernnamens aussieht, sagt sie, "und darauf eine Umleitung zu social-engineer.org eingerichtet". So mussten ihre Opfer den Begriff zumindest nicht eintippen. Mit so einem Trick könnte man Menschen auch auf Websites locken, auf denen eine Schadsoftware lauert.

Manche Teilnehmer haben Schauspielerfahrung

Als Denis nach Ablauf der 20 Minuten aus ihrer Kabine kommt, bekommt sie tosenden Applaus von den rund 700 Anwesenden. Später wird sie zur Siegerin des Wettbewerbs erklärt und damit Teil der "Black Badge Hall of Fame".

Auch Organisator Chris Hadnagy ist beeindruckt von ihrer Leistung. Hadnagy ist professioneller Social Engineer und Penetrationstester. Im Auftrag von Unternehmen versucht er, in deren Systeme oder auch Gebäude einzudringen, um die Sicherheitsvorkehrungen unter realistischen Bedingungen zu testen.

Beim Wettbewerb machen "Marketing-Experten, Lehrer, Psychologen, Banker und Manager mit - oder eben Hardcore-Pentester, die damit ihr Geld verdienen", sagt er dem SPIEGEL im Gespräch. Manche belegten vorher Kurse in Method Acting oder Rhetorik, aber wichtiger sei, "dass sie die psychologischen Prinzipien verstehen, wie Menschen kommunizieren und Beziehungen zueinander aufbauen". Mit "verstehen" meint er eigentlich "ausnutzen".

Die Gewinnerin des Vorjahres etwa habe jedes Mal, wenn sich jemand namentlich am Telefon meldete, etwas gesagt wie "Ach, so heißt meine Schwester auch!", erzählt Hadnagy - und jedes Mal habe man hören können, dass die Opfer gleich ein wenig glücklicher klangen.

Ein künstlicher Babybauch löst Hilfsbereitschaft aus

Die Menschen-Hacker nutzen auch menschliche Schwächen wie Eitelkeit und Stolz aus. Geben die Zielpersonen in sozialen Netzwerken mit ihren Errungenschaften oder Projekten an, ist das ein beliebter Ansatz für das Social Engineering durch Schmeicheleien. Bei physischen Pentests wiederum, also praktischen Einbrüchen auf Firmengeländen, schnallen sich manche weiblichen Profis einen künstlichen Babybauch um, weil die Leute ihnen dann fast schon reflexhaft die Türen aufhalten.

Man kann Kurse belegen, in denen man lernt, Social-Engineering-Versuche zu erkennen. Fünf Tage Schulung bei Hadnagy kosten jedoch etwa 3500 Dollar, in Deutschland liegen die Preise auf einem vergleichbaren Niveau.

Eine Immunität gegen Social Engineering gebe es praktisch aber nicht, da ist sich Hadnagy sicher. Der Beweis sei er selbst. Er, der im Laufe seines Berufslebens mehr als 13 Millionen Phishing-Mails versendet, in den vergangenen drei Jahren Zehntausende Vishing-Anrufe durchgeführt und drei Bücher über Social Engineering geschrieben hat, ist 2018 auf eine Phishing-Mail "einer russischen Gruppe" hereingefallen, wie er sagt.

So lange man Empathie habe, sei man anfällig für derlei Angriffe, meint Hadnagy. Sein Fazit: "Ich will gar nicht unverwundbar sein, denn dann wäre ich weniger menschlich." Gleichzeitig ist diese Erkenntnis eine Erklärung dafür, dass der Enkeltrick bis heute ebenso funktionieren kann wie Phishing-Mails als Auftakt von Hackingoperationen.

Ein Selbstläufer ist Social Engineering deshalb aber noch lange nicht. 20 bis 30 Prozent der Anrufe im Defcon-Wettbewerb, schätzt Hadnagy, enden vorzeitig, weil die Angerufenen misstrauisch werden. Einer der Konkurrenten von Alethe Denis etwa hat erst viel Pech, weil kaum jemand ans Telefon geht, als er einen Waffenhersteller anruft. Als es dann endlich soweit ist, stellt er sich als Rob Green aus der IT-Abteilung vor und wird sofort unterbrochen. Die Frau am anderen Ende der Leitung lacht und ruft: "Rob Green? Sie sind ein verdammter Lügner! Sie arbeiten nicht für uns!"