Verfassungsschutz durch Aufklärung

Social Engineering - Risikofaktor Mensch

Von Social Engineering spricht man, wenn sich ein „Angreifer“, z. B. im Bereich der Wirtschafts- oder Industriespionage, unter Ausnutzung menschlicher Eigenschaften Zugang zu unbefugten Informationen verschafft. Social Engineering-Angriffe erfolgen in der Regel ohne den Einsatz technischer Hilfsmittel. Dennoch sind sie eine sehr effektive Methode, um an sensible bzw. geschützte Firmendaten zu gelangen. Der Angreifer nutzt dabei geschickt menschliche Reaktionen und Eigenschaften aus. Zu diesen zählen beispielsweise: Dankbarkeit, Hilfsbereitschaft, Stolz, Habgier, Autoritätshörigkeit, Karrierestreben, Geltungssucht, Unsicherheit, Bequemlichkeit, Konfliktvermeidung oder Liebesbedürfnis. Ziel von Social Engineering-Angriffen ist zumeist die Erlangung von Firmeninterna, Passwörtern, Benutzernamen oder sonstiger sensibler Daten, die zur Vorbereitung für das Eindringen in Firmennetzwerke oder das Werksgelände dienen können.

Häufig bieten soziale Netzwerke, Firmenwebseiten und andere allgemein zugängliche Informationsquellen dem Social Engineer umfangreiche Möglichkeiten, um sich auf sein Opfer gründlich und umfassend vorzubereiten. Zu diesen „Vorfeldermittlungen“ können auch Anrufe im Unternehmen gehören, die noch nicht die direkte Nachrichtenbeschaffung zum Ziel haben, sondern auf die Erlangung ergänzender Informationen gerichtet sind.

Professionell vorgehende Angreifer versuchen in der Regel nicht, mit einem Anruf sämtliche gewünschte Informationen zu erlangen – dies könnte das Opfer misstrauisch stimmen. Stattdessen geht der Social Engineer in einer Stufenstrategie vor. Der Anrufer wird im Gespräch nach vermeintlich nebensächlich und unwichtig erscheinenden Informationen fragen. Sämtliche Informationen werden später wie ein Puzzle zusammengefügt.

Einige Beispiele von Social Engineer-Attacken:

Appell an die Hilfsbereitschaft:
Der Angreifer ruft beim Helpdesk an und entschuldigt sich dafür, dass er sein Passwort vergessen hat und dem Mitarbeiter jetzt soviel Mühe mache. Leider stehe man jedoch ziemlich unter Druck und müsse ganz schnell am Computer weiterarbeiten. Am besten sei es daher, wenn das Passwort einfach auf einen definierten Wert zurückgesetzt werde. Der Angreifer wird über das Unternehmen selbstverständlich bestens informiert sein. Er wird die Namen der Mitarbeiter des Helpdesks bzw. deren Vorgesetzten kennen und sich so das nötige Vertrauen erschleichen. Möglicherweise gibt er sich aber auch als neuer Mitarbeiter aus, dem solche Fehler gerade in der Anfangsphase ausgesprochen unangenehm sind.

Berufung auf Autorität:
Der Angreifer gibt sich als IT-Mitarbeiter/Administrator aus und befragt den Anwender zu seinem Passwort oder anderen sensiblen Informationen. Reagiert der Angerufene zurückhaltend oder skeptisch wird sich der Social Engineer auf eine Zusage des Vorgesetzten berufen, der versprochen hat, dass der Mitarbeiter selbstverständlich kooperieren wird. Natürlich wird der Anrufer über Detailwissen verfügen. Möglicherweise weist er auf Bedienfehler, Netzwerkprobleme oder die Notwendigkeit einer Passwortänderung hin.

Konfliktvermeidung:
Der Angreifer stellt sich als Assistent der Geschäftsleitung vor, dem schnell eine dringende E-Mail mit wichtigen Daten übersandt werden muss, die der ungeduldige und jähzornige Chef für eine wichtige Besprechung benötigt. Bei Bedenken wird der Anrufer darauf verweisen, dass der zögerliche Mitarbeiter natürlich auch persönlich mit dem Chef sprechen könne – dieser sei jedoch bereits jetzt ausgesprochen wütend über die Verzögerung.

Nicht selten stellen sich Social Engineers auch als Mitarbeiter eines Service-Unternehmens, als Repräsentant eines wichtigen Geschäftspartners, als relevanter Kunde, als Journalist oder als Mitarbeiter eines Umfrage-Institutes vor.

Social Engineering spielt sich jedoch keineswegs nur am Telefon ab. Auch bei scheinbar zufälligen, belanglosen Gesprächen in Gaststätten, bei Veranstaltungen, beim Sport oder sonstigen Freizeitaktivitäten können vertrauliche Firmeninformationen preisgegeben werden. Je nach Relevanz der Informationen scheuen Social Engineers auch nicht davor zurück, langfristige Beziehungen aufzubauen, wie das Beispiel eines Düsseldorfer Handelsunternehmers belegt:

Im Familienurlaub in Griechenland freundete sich ein Vertriebsleiter eines Düsseldorfer Unternehmens mit einem deutschen Urlauber an. Von Beginn an stimmte die Chemie – man hatte gemeinsame Hobbies und interessierte sich für dieselben Dinge. Auch nach dem Urlaub blieb man in Kontakt. Auf Vorschlag des neuen „Freundes“ fuhr man u.a. auch in ein Spielcasino. Als die Einsätze am Spieltisch – und später auch die Verluste – immer höher wurden, sprang der Bekannte sofort ein und bat dem Verschuldeten ein Freundschaftsdarlehen an. Dieser ließ sich darauf ebenso ein, wie auf die Einladung in ein Etablissement des Rotlichtmilieus. Dass er den ganzen Abend von einem Unbekannten mit einer Handykamera fotografiert wurde, fiel ihm nicht auf. Bereits wenige Tage später ließ der falsche Freund seine Maske fallen. Als Gegenleistung für die kompromittierenden Fotos und die Spielschulden sollte das Opfer die Vertriebsstrategien seines Unternehmens offenlegen und eine detaillierte Kundenliste samt Preiskalkulationen übergeben. Darüber hinaus verlangte der Erpresser das Passwort für den Netzwerkzugang des Unternehmens. Nach langem Zögern, tat der Vertriebsleiter das einzig Richtige und offenbarte sich gegenüber seinem Vorgesetzten. (für eine ausführliche Darstellung dieses Falles siehe: „Christian Schaaf: Industriespionage. Der große Angriff auf den Mittelstand, Stuttgart 2009, S. 98f.“)      

Um sich vor Social Engineer-Angriffen wirkungsvoll schützen zu können, muss man zunächst seine Schwachstellen analysieren. Entscheidend ist es, die Mitarbeiter über die Möglichkeiten, Vorgehensweisen und Angriffsformen von Industriespionen aufzuklären. Der Mitarbeiter stellt nämlich nicht nur das größte Sicherheitsrisiko im Unternehmen dar, er kann auch der beste Schutzschild gegen Angreifer sein – eine „Human Firewall“. Dafür ist es neben der Schulung und Sensibilisierung der Mitarbeiter aber auch notwendig, dass Betroffenen die Angst genommen wird, sie würden für ihr „Versagen“ zur Rechenschaft gezogen werden. Für die Offenbarung eines Fehlers darf kein Mitarbeiter abgestraft werden. Nur so kann die Taktik des Social Engineers wirkungsvoll durchkreuzt werden.

Zehn goldene Regeln, die Social Engineers das Leben schwer machen können:

  1. Seien Sie zurückhaltend bei Auskünften
  2. Lassen Sie sich nicht unter Druck setzen
  3. Haben Sie den Mut, ein Gespräch zu beenden
  4. Überprüfen Sie die Identität des Anrufers (z.B. durch einen Rückruf)
  5. Sichern Sie sich ab
  6. Achten Sie auf sensible Dokumente
  7. Sprechen Sie fremde Personen im Unternehmen an
  8. Sicherheit geht vor Höflichkeit
  9. Seien Sie schweigsam in der Öffentlichkeit und wählerisch bei Ihren Gesprächspartnern
  10. Die Offenbarung eines Fehlers darf nicht bestraft werden

 

Weitere Informationen zum Thema Wirtschaftsschutz finden Sie hier. 

eingestellt am 10.06.2010