Veröffentlichungen

Bitte beachten Sie auch meine Veröffentlichungen zum Thema Social-Engineering:

Psychologische Grundlagen des Social-Engineering Stefan Schumacher (2009): Psychologische Grundlagen des Social-Engineering
In: Proceedings des GUUG Frühjahrsfachgespräches 2009 , Band 2009, S.: 77-98 Hrsg: German Unix User Group, Lehmanns Media Berlin, (Hochschule Karlsruhe)
ISBN: 978-3-86541-322-2

Admins Albtraum: Die psychologischen Grundlagen des Social Engineering
Stefan Schumacher (2009): Admins Albtraum: Die psychologischen Grundlagen des Social Engineering, Teil I
In: Informationsdienst IT-Grundschutz 7/2009, S.: 11-13 ISSN: 1862-4375
http://grundschutz.info/fileadmin/kundenbereich/Dokumente/Grundschutz_7-2009_11_13.pdf

Stefan Schumacher (2009): Admins Albtraum: Die psychologischen Grundlagen des Social Engineering, Teil II
In: Informationsdienst IT-Grundschutz 8/2009, S.: 8-9 ISSN: 1862-4375
http://grundschutz.info/fileadmin/kundenbereich/Dokumente/Grundschutz_8-2009_8_9.pdf

Stefan Schumacher (2009): Admins Albtraum: Die psychologischen Grundlagen des Social Engineering, Teil III
In: Informationsdienst IT-Grundschutz 10/11/2009, S.: 21-22 ISSN: 1862-4375

Was ist Social-Engineering?

Social-Engineering ist eine Angriffsstrategie, die nicht die Technik als Opfer auserkoren hat. Stattdessen wird hier viel lieber — und vor allem effizienter — das schwächste Glied in der Sicherheitskette angegriffen: der Mensch.

Ein Angreifer verwendet verschiedene Strategien und Taktiken um aus Benutzern der Systeme Informationen herauszuholen. Mithilfe dieser Informationen kann er erfolgreiche Angriffe gegen Zielsysteme fahren.

Derartige Techniken sind äußerst erfolgreich wenn größere Organisationen wie Großunternehmen, Behörden oder Universitäten angegriffen werden sollen. Oftmals gelingt es einem Angreifer mit der Aggregation öffentlich zugänglicher Informationen und entsprechender Kaltschnäuzigkeit wichtige Informationen und Zugriff auf geschützte Systeme zu erlangen.

Die Motivation für einen Angriff kann unterschiedlich sein, neben »professionellen« Gründen wie Industriespionage oder Identitätsdiebstahl kommen auch soziale Gründe wie Rache (z.B. durch Ex-Mitarbeiter) oder Spaß und Machtgefühl in Frage.

Phishing

Eine weitverbreitete Masche ist das sogenannte Phishing, bei dem mit gefälschten Emails oder Webseiten Benutzer dazu verleitet werden sollen, Benutzerdaten zu ihren Bank- oder Emailkonten anzugeben. Derartige Angriffe sind sehr leicht durchzuführen, da man dazu lediglich etwas Webspace benötigt und dort die entsprechende Webseite nachahmt. Leider fallen immer wieder viele Benutzer auch auf holprige Emails mit Stilblüten wie »Zu der Beachtung!«-eine wortwörtliche Übersetzung des englischen »To the Attention!«-herein und offenbaren ihre Bankdaten.

Human Based Social Engineering

Das »richtige« Social-Engineering, Human Based Social Engineering genannt, setzt zum Großteil auf soziale Beziehungen als Angriffsvektor.

Zuerst benötigt der Angreifer möglichst viele Informationen über die anzugreifende Organisation. Diese kann er aus freien Informationen, wie bspw. der Webseite oder Werbebroschüren, zusammensammeln und sich so ein Bild machen. Man kann auch den Müll durchwühlen und so an relevante Daten kommen. Außerdem können gewieftere Angreifer über Email oder Telefon Kontakte zu Mitarbeitern herstellen und sich als jemand anderes ausgeben. Als ein Kunde oder Vorgesetzter bspw., der dringend irgendwelche Informationen braucht. Mit diesen kann er dann andere Opfer beeindrucken oder einwickeln. Vorsicht ist daher mit der Freigabe von Informationen geboten, auch solchen, die auf den ersten Blick unverfänglich erscheinen. So mag es für die Mitarbeiter nützlich sein, das alle Mitarbeiter des Rechenzentrums inklusive Telefonnummer, Emailadresse, Aufgabengebiet und Foto auf einer Webseite aufgeführt werden. Wird diese Seite jedoch weltweit freigegeben, kann sich ein Angreifer sehr nützliche Informationen über die Struktur des Rechenzentrums beschaffen. So kann er anderen Mitarbeitern am Telefon bspw. intime Kenntnisse des Betriebs vorgaukeln oder schneller Kontakte knüpfen. Weiß der Angreifer bspw. das ein Mitarbeiter Pferdenarr ist, kann er Termindruck vortäuschen, weil sein eigenes Pferd dringendst zum Tierarzt muss. Das Opfer der Attacke wird als Pferdefreund sofort Sympathie für den Angreifer empfinden und versuchen ihm zu helfen.

Dieses Sympathie-Aufbauen lässt sich auf verschiedenen Wegen durchführen, bspw. mit der Verbrüderung von Opfern, indem man einen gemeinsamen Gegner vorgibt: »Die im Rechenzentrum haben wieder mal den Server abstürzen lassen ...« oder »Das dumme Word hat mal wieder die Datei zerstört ...« führen in der Regel zur Solidarität des Opfers - und damit möglicherweise zur Herausgabe der Daten.

Andere Maschen sind Vorspiegelung von Autorität, was insbesondere in strengen Hierarchien wie Polizei, Armee oder Feuerwehr sehr gut funktioniert. Selbst jemand der nur Grundwehrdienst geleistet hat, kann mit etwas Geschick und Witz als Offizier auftreten und eine Dienststelle auseinandernehmen. Wer das nicht glaubt, sollte einmal die Abenteuer des Gefreiten Asch in 08/15 nachlesen oder den Hauptmann von Köpenick anschauen. Aber auch in normalen Unternehmen gibt es Hierarchien, die sich ausnutzen lassen, so kann sich der Angreifer als wichtiger Kunde oder hoher Verantwortlicher einer anderen Filiale ausgeben. Unter Aufbau einer passenden Drohkulisse - »Wenn wir ihretwegen den Kunden verlieren, dann ...!«, »Es kann ja wohl nicht sein, das Sie Ihren Laden nicht beisammen haben und mir die Akten nicht geben wollen!« oder »Wenn das Dr. Müller-Lüdenscheid bei unserem nächsten Golfturnier erfährt, wird er bestimmt sehr sauer sein!« - kann man hier Mitarbeiter zur Herausgabe von Daten bewegen.

Gerade bei Telefonaten muss der Angreifer über rhetorisches Geschick und Intelligenz verfügen. Man muss das Opfer in ein Gespräch verwickeln und eher nebenher nach den wichtigen Informationen fragen. Es ist außerdem auch von Vorteil, den Kontakt nicht abreißen zu lassen. So kann man als geplagter Pferdefreund aus dem obigen Beispiel ja man nach zwei Wochen wieder beim Opfer anrufen und freudestrahlend von der Genesung des Gauls berichten - dies führt zu einer Festigung der Beziehung.

Gegenmaßnahmen

Es gibt keine technischen Mittel gegen Social-Engineering, da das Angriffsziel nunmal ein Soziales ist.

Gegen soziale Attacken können soziale Maßnahmen helfen. Dies beinhaltet Verträge, Richtlinien, Gebote, Verbote und andere Maßnahmen. So kann man bspw. festlegen das am Telefon niemals das Rechenzentrum nach einem Benutzerpasswort fragen wird und Benutzer daher niemals ihr Passwort herausgeben sollen.

Das wichtigste Instrument im Kampf gegen soziale Angriffe ist Wissen - nur wenn der Mitarbeiter weiß, das es Social-Engineering gibt und das Bösewichte so etwas ausnutzen können, wird er sich Gedanken zum Thema machen. Außerdem ist es wichtig zu wissen, das auch scheinbar harmlose Informationen zu Sicherheitslücken führen können. Schulen Sie alle Mitarbeiter zu diesem Thema. Je höher die Stellung und die Sicherheitsstufe des Mitarbeiters ist, desto intensiver muss die Schulung sein. Und vergessen Sie dabei die Sekretärinnen und Assistenten nicht! Diese verfügen in der Regel über umfangreiches Wissen, werden meist aber von den »Führungskräften« ignoriert.

Grenzen Sie die Anzahl der Geheimnisträger ein. Informationen die ich nicht habe, kann ich nicht weitergeben.

Vernichten Sie Daten sicher, auch offenbar harmlose Datenträger oder Akten können einem Angreifer wertvolle Informationen liefern. Mehr dazu finden Sie in meinem Artikel zum sicheren Datenlöschen.

Etablieren Sie in Ihrer Organisation ein Sicherheitsbewußtsein. Machen Sie Ihren Mitarbeitern klar, das es Angriffe gegen die IT und gegen die Mitarbeiter selbst geben wird. Erläutern Sie die möglichen Angriffswege und -taktiken und bereiten Sie Ihre Mitarbeiter darauf vor. Etablieren Sie entsprechende Meldewege. Sorgen Sie auch dafür, das nicht authentifizierte Anrufer keine Daten oder Informationen am Telefon bekommen. Und sichern Sie Ihre Mitarbeiter gegen die Vorgesetzten ab. Wenn ein Mitarbeiter dafür bestraft wird, am Telefon keine Daten herausgerückt zu haben, brauchen Sie nicht einmal mehr davon träumen, Ihre Organisation abzusichern! Sorgen Sie dafür, das Sicherheitsbewußtsein ein Teil der Firmenkultur wird. Dies funktioniert nicht nur über das Rechenzentrum, sondern muss von jeder Abteilung - inklusive den Vorgesetzten - mitgetragen werden. Viele Manager verstehen die technischen Details oder Hintergründe nicht. Wenn das der Fall ist, argumentieren Sie nicht mit der Technik, sondern mit einer Sprache, die sogar Manager verstehen: € € € Zeigen Sie an einem Beispiel was es das Unternehmen kosten kann, wenn ein Konkurrent an bestimmte Daten kommt.
Mehr Informationen finden Sie in meinem Vortrag zur Security-Awareness oder bzw. in der Zusammenfassung vom Linux-Magazin.

Beratung

Der Kampf gegen Social-Engineering ist sehr aufwändig und komplex. Sie benötigen unbedingt einen externen Berater, denn nur dieser kann einen ethnologischen Blick mitbringen.
Interne bzw. eigene Mitarbeiter kennen die Organisation oftmals sehr lang und sehr gut. Dies ist bei der Analyse von Schwachstellen aber eher hinderlich als sinnvoll, denn blinde Flecken -- die berühmte Betriebsblindheit -- erschweren es, Sicherheitslücken aufzudecken.

Als Hacker mit umfangreichem technischem Wissen (ich bin unter anderem NetBSD-Entwickler und Autor zahlreicher technischer Artikel) verfüge ich über ausgezeichnete Möglichkeiten, technische System zu analysieren.
Als Student der Bildungswissenschaft und Psychologie verfüge ich aber auch über ausgezeichnete Möglichkeiten, soziale Systeme zu analysieren. Darüber hinaus kann ich auch entsprechende Verbesserungsmaßnahmen vorschlagen und umsetzen, denn ich bin nicht nur didaktisch geschult und erfahren, sondern auch in der Lage mit Techies und normalen Menschen zu reden.