Social Engineering: Sicherheitslücke Mensch

Computerspezialisten bemühen sich um Sicherheit auf allen Schichten des OSI-Modells. Oft befindet sich das größte Leck jedoch nicht innerhalb des Netzwerks, sondern auf dem fiktiven Layer 8: Vierzig Zentimeter vor dem Bildschirm, wo menschliche Anwender mit der Technik interagieren. Das wissen auch Trickbetrüger, die typische menschliche Eigenschaften und Verhaltensweisen wie Hilfsbereitschaft, Vertrauen, Respekt, Stolz, Dankbarkeit, Konfliktvermeidung oder Angst ausnutzen, um sich unrechtmäßig Zugang zu IT-Systemen zu verschaffen – eine Methode, die Social Engineering genannt wird und weltweit jährlich Milliardenschäden anrichtet. Für Unternehmen ist es daher unerlässlich, Mitarbeiter entsprechend zu schulen und klare Richtlinien für den Umgang mit vertraulichen Informationen vorzugeben.

Auch das sicherste Passwort bietet nur wenig Schutz, wenn es Nutzern leichtfertig gegenüber Fremden über die Lippen geht. Social Engineering umfasst diverse psychologische Tricks, die im Rahmen der Wirtschaftsspionage eingesetzt werden, um Mitarbeitern sicherheitsrelevante Informationen zu entlocken. Angreifer nutzen diese, um IT-Systeme zu infiltrieren und so Zugriff auf schützenswerte Unternehmensdaten zu erlangen. Man spricht in diesem Fall auch von Social Hacking. Darüber hinaus kommt Social Engineering zum Einsatz, um Angestellte zu unbedachten Handlungen zu bewegen. Dies kann die Installation eines unbekannten Programms oder fragwürdige Finanztransaktionen umfassen. Ein unmittelbarer Kontakt zwischen Täter und Opfer ist dabei keine Voraussetzung. Auch E-Mail-gestützte Betrugsmuster wie das Phishing basieren auf Social Engineering. Klassisch ist auch der Anruf eines vermeintlichen Systemadministrators, der zwecks Fehlerbehebung nur noch schnell das Benutzerpasswort der Vorzimmerdame benötigt.

Die Idee des Social Engineering erscheint banal, erweist sich in der Praxis jedoch als eine der effektivsten Infiltrationsmethoden. Der Grund dafür sind sowohl positive als auch negative Eigenschaften, die sich bei fast jedem Menschen finden. So gilt es in den meisten Kulturkreisen als sozial erwünscht, nett und hilfsbereit zu sein. Vielen Menschen fällt es schwer, in einer Notsituation eine Bitte abzulehnen. Andere zeigen sich kooperativ, aus Angst, in unbekannten Situationen falsch zu reagieren.

Doch nicht immer stehen die guten Eigenschaften des Menschen im Fokus von Manipulationsversuchen. Auch Stolz auf die eigene Arbeit oder Erfolge des Unternehmens können Mitarbeiter bis hin zur Chefetage dazu verleiten, mit sensiblen Informationen zu prahlen – z. B. in einem fingierten Interview, gegenüber Kunden oder bei Bewerbungsgesprächen. Oft führt ein Hang zur Konfliktvermeidung dazu, dass sicherheitskritische Handlungen wider besseres Wissen durchgeführt werden. Stärkster Motor unüberlegter Handlungen ist hingegen Angst. Schüren lässt sich diese beispielsweise durch einen vermeintlichen Telefonentstörer am anderen Ende der Leitung, der einen Nachmittag ohne Internet androht, wenn er nicht sofort detaillierte Informationen zum Router und dessen Konfiguration bekommt. Gespickt mit relevanten Fachbegriffen schüchtern solche Anrufer vor allem Mitarbeiter mit geringem Technikverständnis ein. Auch die Angst vor dem Vorgesetzten machen sich „Social Hacker“ zunutze: Eine beliebte Masche ist die fingierte Zahlungsanweisung per E-Mail vom Chef.

Um Ihre Opfer zu täuschen, geben sich Trickbetrüger zum Beispiel als Kollegen, Vorgesetzte oder Bewerber aus. Darüber hinaus schlüpfen Angreifer in die Rolle eines Service-Mitarbeiters, der die Kundenzufriedenheit erfasst oder im Auftrag einer Forschungseinrichtung eine Branchenumfrage durchführt.

Sogenannte Social Engineers beschränken sich dabei nicht zwangsläufig auf einmalige Kontakte. Möglich ist auch, das Opfer über eine gewisse Zeit hinweg um unbedenkliche Gefallen zu bitten oder mit Smalltalk bei Laune zu halten. Der eigentliche Hack erfolgt in diesem Fall erst, wenn eine gewisse Vertrauensbasis besteht und der Angreifer genügend Informationen gesammelt hat, das Opfer zu täuschen. Mitunter geht einem solchen Spionageangriff eine aufwendige Recherche voraus. Als Informationsquellen bieten sich neben der Unternehmensseite soziale Netzwerke wie Facebook oder LinkedIn an. Noch einen Schritt weiter geht das „Dumpster Diving“, bei dem Kriminelle im Mülleimer des Opfers auf Tauchgang gehen, um unbedacht weggeworfene Geschäftsdokumente zu erbeuten.

Üblich ist Social Engineering via E-Mail oder Telefon, da sich solche Angriffe schon mit geringem technischen Aufwand automatisieren lassen. Die Gefahr, unbeabsichtigt Firmengeheimnisse oder Zugangsdaten preiszugeben, lauert jedoch auch in öffentlichen Verkehrsmitteln sowie in Bars, Cafés oder Restaurants, wenn sich mehrere Kollegen in lockerer Atmosphäre über Geschäftszahlen, Arbeitsprozesse oder Kundenkontakte unterhalten. Gerade Mitarbeiter, die Geschäftsanrufe am Mobiltelefon entgegennehmen, diskutieren unternehmensinterne Angelegenheiten oft in aller Öffentlichkeit und ohne Rücksicht auf etwaige Mithörer.

Eine softwarebasierte Variante des Social Engineerings stützt sich auf spezielle Schadprogramme, die Internetnutzer verängstigen und so zu bestimmten Handlungen verleiten sollen. Man spricht in diesem Fall von Scareware. Programme dieser Art arbeiten nach folgendem Muster: Dem Benutzer wird über die Software eine bestimmte Bedrohung vermittelt und gleichzeitig ein einfacher Lösungsweg aufgezeigt. Dieser beinhaltet in der Regel die vom Angreifer intendierte Handlung. Oft wird die Scareware dazu im Vorfeld auf dem Computer des Opfers platziert. Einen Ansatzpunkt bietet hier das Vertrauen in bekannte Marken, Firmen oder Behörden. Um einen Nutzer dazu zu bewegen, ein Schadprogramm aus eigenem Antrieb zu installieren, nutzen Trickbetrüger mitunter Namen und Logos, die eine Verwechselung mit bekannten vertrauenswürdigen Produkten provozieren.

So kann sich eine Scareware beispielsweise in einem kostenlosen Antivirenprogramm verstecken, das dem Nutzer nach der Installation auf eine Reihe fiktiver Infektionen hinweist und zur Lösung des Problems den kostenpflichtigen Download der Vollversion anbietet. Zahlt der Nutzer, werden die Warnungen einfach abgeschaltet.

Der Einsatz von Scareware setzt eine Infiltration des Systems jedoch nicht zwangsläufig voraus, sondern kann diese auch einleiten – z. B. durch eine Animation auf einer Website, die dem Nutzer vorgaukelt, Opfer einer Hacking-Attacke geworden zu sein. Die durch die Scareware angebotene „Abwehrmaßnahme“ umfasst in diesem Fall den Download eines Trojaners, der dann den eigentlichen Hack ermöglicht. Bei einer Variation dieses Angriffsmusters wird die fingierte Fehlermeldung nicht auf der Webseite angezeigt, sondern als Browsermeldung ausgespielt. Möglich sind auch Pop-up-Fenster, die bekannte Windows-Systemmeldungen imitieren.

Um das eigene Unternehmen effektiv vor Social Engineering zu schützen, muss man Mitarbeitern bewusst machen, dass sie im Besitz von vertraulichen Informationen sind. Eine Sensibilisierung für das Thema Wirtschaftsspionage kann im Rahmen einer Schulung erfolgen, in der gängige Angriffsmuster und deren Folgen durchgesprochen werden. Darüber hinaus bietet es sich an, Regeln für den Umgang mit sensiblen Firmendaten vorzugeben. Jedem Mitarbeiter sollte klar sein, welche Informationen der Geheimhaltung unterliegen und wo sensible Daten genutzt und gespeichert werden dürfen.

Darüber hinaus geben Standardabläufe für administrative Tätigkeiten Mitarbeitern die Sicherheit, wie sie sich in kritischen Situationen verhalten sollen. Werden Angestellte beispielsweise darauf hingewiesen, dass die Unternehmens-IT persönliche Passwörter grundsätzlich nie über E-Mails oder das Telefon abfragt, werden es Trickbetrüger schwerer haben, diese zu erbeuten.

Da Social Engineering auf menschliches Versagen setzt, lässt sich die Gefahr jedoch durch Präventivmaßnahmen nie gänzlich bannen. Beachtet man folgende Punkte, erschwert man Trickbetrügern der Zugang zu sensiblen Informationen erheblich:

• Gesundes Misstrauen gegenüber Unternehmensfremden: Je großer ein Unternehmen ist, desto leichter haben es Betriebsfremde, sich als Mitarbeiter oder Dienstleister auszugeben. Vor der Gefahr, unbeabsichtigt unternehmensinterne Informationen preiszugeben, schützt in der Regel jedoch ein gesundes Misstrauen gegenüber Fremden. Sensible Daten sollten grundsätzlich nur an Kollegen weitergegeben werden, deren Identität sich zweifelsfrei sicherstellen lässt.

• Auskunft am Telefon: Sensible Informationen sollten grundsätzlich nicht am Telefon weitergegeben werden. Dies gilt vor allem für eingehende Anrufe und bei unbekannten Kommunikationspartnern. Auch scheinbar nebensächliche Auskünfte können Trickbetrügern helfen, Informationen über einen Betrieb zu sammeln und möglicherweise andere Kollegen zu täuschen.

• E-Mails mit unbekanntem Absender: Lässt sich der Absender einer E-Mail nicht zweifelsfrei identifizieren, ist Vorsicht geboten. Mitarbeiter sollten in jedem Fall einen Vorgesetzten oder die IT-Abteilung zurate ziehen, bevor sie auf solche Nachrichten antworten. Beinhaltet die Nachricht eine unerwartete Handlungsaufforderung, beispielsweise eine außergewöhnliche Überweisung, empfiehlt sich ein kurzer Rückruf beim angeblichen Absender.

• Vorsicht bei Links und E-Mail-Anhängen: Immer wieder finden Internetnutzer E-Mails in ihrem Postfach, die Links auf Eingabemasken enthalten. Trickbetrüger nutzen Techniken dieser Art, um an Bankdaten, Passwörter oder Kundennummern zu gelangen. In der Geschäftswelt sind solche Praktiken jedoch unüblich. Seriöse Banken, Onlineshops oder Versicherungen fordern Kunden prinzipiell nicht dazu auf, eine Webseite zu öffnen und dort sensible Daten einzugeben. Vorsicht ist zudem bei Dateianhängen geboten. Diese können Schadware enthalten, die sich im Hintergrund installiert und fremden Zugriff auf das System gewährt. Minimieren lässt sich dieses Risiko, indem Mitarbeiter dazu angehalten werden, ausschließlich E-Mail-Anhänge bekannter Absender zu öffnen.

• Datenschutz in sozialen Netzwerken: Die Vorbereitung von Social-Engineering-Attacken erfolgt in der Regel lange vor dem eigentlichen Hack. Neben der Unternehmenswebsite bieten soziale Netzwerke Trickbetrügern oft ausreichend Informationen, um Manipulationsversuche in eine glaubwürdige Geschichte zu verpacken. Generell gilt: Je mehr ein Mitarbeiter im Netz über sich preisgibt, desto angreifbarer macht er sich für die Gefahren des Social Engineerings. Darum sollte man seine Mitarbeiter über die Möglichkeit von Privatsphäre-Einstellungen informieren und klare Regeln für den Umgang mit unternehmensbezogenen Inhalten in sozialen Netzwerken vorgeben.

Die Komplexität des Themas und die Vielseitigkeit der Angriffsmuster machen es unmöglich, Mitarbeiter auf alle möglichen Social-Engineering-Attacken vorzubereiten. Regelmäßige Schulungen zu datenschutzrechtlichen Themen schärfen jedoch die Aufmerksamkeit und schaffen ein Bewusstsein für das Gefahrenpotenzial. Präventivmaßnahmen sollten aber nicht so weit gehen, dass eine produktive Zusammenarbeit unter generellem Misstrauen oder der Angst vor Fehlern leidet.

Wie weiter oben beschrieben wurde, gibt es verschiedene Maßnahmen, um Social Engineering zu verhindern. Eine wichtige Maßnahme ist dabei die Sensibilisierung der Mitarbeiter, was man durch das Lernen der Funktionsweise von Social Engineering umsetzen kann. Doch wie kann man Social Engineering lernen?

Eine Möglichkeit für das Verstehen von Social Engineering ist das Durchführen von Rollenspiele. Es werden dabei die Rollen des Angreifers und der Opfer vorgegeben und auch die Rahmenbedingungen sind bekannt. Nun können die Beteiligten spielerisch die Funktionsweisen des Social Engineerings lernen. Durch das Lernen und dem spielerischen Anwenden der Angriffstechniken, können so eigene Verwundbarkeiten sichtbar gemacht und die Mitarbeiter dafür sensibilisiert werden.

Neben der Praxis kann man auch anhand der Theorie Social Engineering lernen. Dafür stehen beispielsweise zahlreiche Fachbücher zur Verfügung, die anhand von wahren Begebenheiten erzählen, wie Social Engineering in der Realität durchgeführt wird. Anhand dieser Fälle werden dann Schutzmaßnahmen und Abwehrmechanismen gegen Social Engineering vorgestellt. So wird jeweils die Perspektive des Angreifers als auch des Opfers eingenommen. Beispielhafte Social Engineering Bücher sind unter anderem „Die Kunst der Täuschung“ von Kevin Mitnick oder „Social Engineering enttarnt: Sicherheitsrisiko Mensch“ und „Die Kunst des Human Hacking“ von  Christopher Hadnagy.