Social Engineering: Traue niemandem

Dass IT-Systeme abgesichert und regelmäßig gewartet werden müssen, ist kein Geheimnis. Durch eine stetig wachsende Anzahl technischer Hilfsmittel und eine Vielzahl an Guides, die sowohl den frischen System-Admin als auch den altgedienten IT-Veteranen dabei unterstützen, wird es immer leichter, ein sicheres System auf die Beine zu stellen. Doch ein wichtiger Aspekt der Sicherheit ändert sich nicht so schnell – das Verhalten der Mitarbeiter, Anwender und Administratoren. Das ist auch den Angreifern bekannt, die sich diese Tatsache zu Nutze machen, indem sie das Verhalten der Anwender und deren Schwächen ausnutzen, um Angriffe durchzuführen. Diese Sorte von Angriffen wird „Social Engineering" genannt.

Mail oder Telefon

Es gibt unterschiedliche Ausprägungen von Social Engineering. Die wohl einfachste Form sind generalisierte Spam-Mails, die Sie wohl alle bereits in Ihrem Mail-Postfach hatten. Diese relativ allgemeinen und nicht abgestimmten E-Mails haben meist zum Ziel, die Passwörter der Empfänger über eine gefälschte Webseite abzugreifen (siehe dazu den Beitrag zum Thema „Phishing"). Die Erfolgsaussichten für Angreifer sind hier relativ gering – lohnenswert sind die Angriffe hauptsächlich durch ihre hohe Reichweite. Die Erfolgsaussichten werden beim sog. „Spear-Phishing" erheblich gesteigert. Hierbei werden gezielt gefälschte E-Mails an einen oder sehr wenige Empfänger gesendet. Diese Mails sind deutlich authentischer, sprechen den Empfänger meist mit seinem Namen an und beziehen sich beispielsweise auf real existierende Konten oder Personen. Das häufigste Ziel sind auch hier die Passwörter der Opfer.

Doch das ist nur die Spitze des Eisbergs, mittels Social Engineering ist noch deutlich mehr möglich.

Die „Chef-Masche"

Eine bekannte und beliebte Methode ist die „Chef-Masche" oder auch „CEO-Fraud", bei der sich der Angreifer als Vorgesetzter des Opfers ausgibt. Dabei wählt der Angreifer typischerweise nicht den direkten Vorgesetzten (das wäre zu einfach zu enttarnen) sondern meist eine höhere Instanz (Vorstand, Geschäftsführung, etc.), idealerweise wenn der angebliche Absender im Urlaub ist. Der eigentliche Angriff besteht darin, das Opfer anzuweisen beispielsweise eine Überweisung „noch schnell" durchzuführen, weil gerade „wenig Zeit bleibt" und der Regelprozess nicht eingehalten werden kann. Falls der Angerufene der Aufforderung nicht nachkommt drohen Abmahnungen oder Kündigungen, oder es winkt eine ordentliche Provision, falls er die Überweisung schnell durchführt. Das gleiche Vorgehen kann angewendet werden, um beispielsweise einen neuen Benutzer-Account einzurichten, ein Passwort zu ändern oder eine Adresse/Telefonnummer herauszubekommen.

The Sky is the Limit

Wie die Beispiele bereits vermuten lassen, nutzen Angreifer meist Emotionen (Angst vor der Kündigung / negativen Konsequenzen, Anerkennung für eine gut durchgeführte Arbeit / besondere Leistung) und Hierarchien (der Vorgesetzte einer weitaus höheren Position fordert mich auf, etwas zu tun) um ihre Opfer zu überrumpeln und vom „normalen" Prozess abzubringen. Aber auch „kleine Freundschaftsdienste" oder eine mitleiderregende Story haben sich in der Vergangenheit bewährt.

Und die oben genannten Beispiele sind noch lange nicht das Ende der Fahnenstange. E-Mails und Anrufe sind nur eine Möglichkeit für einen Angreifer um an Informationen zu kommen. Mit einem Blaumann, einem Lieferwagen, einer Leiter und einem Werkzeugkasten ist bereits der erste Schritt getan, um Zutritt zu den meisten Gebäuden zu bekommen. Unter dem Vorwand, etwas Dringendes reparieren zu müssen, oder nur „schnell etwas zu checken" und „gleich wieder da zu sein" öffnen sich meist Tür und Tor. Auch von außen erreichbare Raucherplätze sind für einen Angreifer ein gefundenes Fressen - einfach mit den vermeintlichen Kollegen mitgehen, denn man hat ja leider „seine Karte im Büro vergessen". Unverschlossene Büros, geheime Informationen auf dem Schreibtisch oder Passwörter am Monitor machen es einem Angreifer dann sehr leicht, an Daten zu kommen, die er eigentlich nicht kennen dürfte.

Genau hinsehen!

Vielleicht haben Sie beim Lesen schon gedacht „das gibt's doch nicht" oder „das darf natürlich nicht sein" – und Sie haben vollkommen Recht, das darf nicht sein, aber es ist menschlich und passiert leider viel zu häufig. Und die möglichen Gegenmaßnahmen sind nicht so komplex, dass Sie nicht umsetzbar wären. Der erste Schritt sind Schulungen aller Mitarbeiter – von der Chefetage über den Sachbearbeiter bis hin zum Portier und der Reinigungskraft, denn jeder ist ein potentielles Opfer für Social Engineering (denken Sie nur mal daran welche Räume eine Reinigungskraft betreten darf, ohne dass sie Aufsehen erregt!)

Neben Schulungen können auch technische Hilfsmittel wie Vereinzelungsschleusen an den Ein- und Ausgängen sowie zeitlich begrenzte Mail-Zugänge und Zugriffskarten einen erheblichen Beitrag zur Sicherheit leisten.

Zusammenfassung

Social Engineering ist leider ein bisher noch zu wenig betrachtetes Thema im Rahmen der IT-Security. Dabei basieren viele der heutzutage erfolgreichen Angriffe darauf, dass jemand eine Ausnahme macht und das Passwort ändert oder jemandem Zugriff gewährt, obwohl er es nicht sollte. Aus diesem Grund muss ein grundsätzliches Bewusstsein dafür geschaffen werden, dass es solche Angriffe gibt und diese erschreckend gut funktionieren. Und es gilt wie immer in der Security: Jeder noch so kleine Fehler kann seinen Beitrag dazu leisten, dass ein Angriff glückt – folglich muss auf alles geachtet werden.