Social Engineering – Der Mensch als größte Sicherheitslücke

Wenn in der IT über Sicherheit gesprochen wird, kommen einem direkt Begriffe wie Firewall, Virenscanner, Login oder Verschlüsselung in den Sinn. All die genannten Beispiele sind Bestandteile für eine gute Sicherheit. Doch bilden diese auch die größten Sicherheitslücken? Eine Schwachstelle wird bis heute immer noch zunehmend außer Acht gelassen, der Mensch.

Jedes Sicherheitskonzept lässt sich in Sekundenschnelle aushebeln, wenn der Mensch freiwillig seine Passwörter, oder andere wichtige Informationen preisgibt und sich manipulieren lässt. Social Engineering, oder auch „Menschen-Hacking“ genannt, wird durch die wachsende Zahl von E-Mails, sozialen Netzwerken und anderen Formen elektronischer Kommunikation in letzter Zeit immer beliebter. Laut dem Bundeskriminalamt ist meistens der Internetnutzer selbst das schwächste Glied in der Sicherheitskette. Dessen sind sich Cyberkriminelle auch bewusst. Dies soll anhand eines konkreten Beispiels an der Hochschule Mannheim überprüft werden. Angriffsbeispiele, sowie die Herangehensweise eines Social Engineers werden genauer betrachtet. Inwiefern Du dich gegen solche Angriffe schützen kannst wird Dir gegen Ende des Beitrags erläutert.

Was ist Social Engineering?

Bei dem Begriff „Social Engineering“ (früher: Trickbetrügerei) geht es um eine Vorgehensweise, bei dem der Mensch selbst die Sicherheitslücke darstellt. Im Bereich der IT-Sicherheit spricht man von einer Vielzahl an Techniken, die der Angreifer nutzt, um die Opfer dazu zu bringen, normale Sicherheitsvorkehrungen zu umgehen und vertrauliche Informationen, wie Zugangsdaten preiszugeben.

Häufig dient Social Engineering dem Eindringen in ein fremdes Computersystem. Selbst zu Systemen, die sich sicherheitstechnisch auf dem neuesten Stand befinden, können sich Hacker durch das Fehlverhalten eines Menschen Zugriff verschaffen. In besonderen Fällen kann dies natürlich auch unbewusst geschehen und erst einige Zeit später vom Benutzer bemerkt werden. Bei dem Opfer handelt es sich hierbei immer um eine autorisierte Person.

Die Sicherheit eines Systems darf daher nicht ausschließlich aus technischer Sicht betrachtet werden. Autorisierte Personen müssen sich ihrer Verantwortung bewusst sein und dürfen mit den vertraulichen Informationen nicht leichtfertig umgehen.

Herangehensweise eines Angreifers

1. Computer Based Social Engineering (CBSE)

Beim „Computer Based Social Engineering (CBSE)“ greift der Hacker auf technische Hilfsmittel zurück. Darunter fallen gefährliche E-Mail-Anhänge, falsche Internetseiten oder Fenster jeglicher Art, die den Benutzer zur Eingabe auffordern.

2. Reverse Social Engineering (RSE)

„Reverse Social Engineering (RSE)“ wird als anspruchsvollste Art des Social Engineerings angesehen. Hierbei sorgt der Angreifer dafür, dass der Nutzer sich bei ihm meldet und seine Hilfe in Anspruch nehmen möchte. Entscheidender Vorteil dieser Variante ist, dass es nicht nötig ist, eine lange Vertrauensbeziehung aufzubauen. Lediglich die Vorbereitung ist hier etwas aufwendiger. In der Regel informiert der Hacker den Benutzer, dass eine Störung auftreten kann, man aber bereit sei, diese zu beheben. Er hinterlässt seine Handynummer und führt die Störung herbei. Der Benutzer meldet sich daraufhin beim Social Engineer und ist motiviert Informationen bereitzustellen oder gar fremde Programme auf dem Rechner auszuführen, um die Störung schnellstmöglich zu beheben. Nachdem der Angreifer sein Ziel erreicht hat, stellt er die Störung ab und hofft schnell in Vergessenheit zu geraten.

3. Human Based Social Engineering (HBSE)

Das „Human Based Social Engineering (HBSE)“ setzt direkt beim Menschen an, ohne Umwege über einen Computer zu nehmen. Ein einfaches Telefonat mit dem autorisierten Opfer kann hier bereits zum Erfolg führen, wenn dieser auf Anfrage sein Passwort herausgibt. Rhetorik, soziales Einfühlungsvermögen, Selbstsicherheit und ein kommunikatives Geschick sind Voraussetzungen des Social Engineers für die Anwendung dieser Methode. Der Hacker appelliert meist an das Vertrauen und die Hilfsbereitschaft eines Menschen, um sein Ziel zu erreichen. Menschliche Angewohnheiten wie Neugier oder Angst können ein mächtiges Werkzeug für den Angreifer sein, um das Opfer gezielt zu manipulieren. Hierbei täuscht der Social Engineer entsprechende Identitäten vor und nutzt Verhaltensweisen wie Autoritätshörigkeit aus. Viele Menschen sind von Natur aus konfliktscheu, dies kann der Angreifer für seinen Vorteil nutzen. In diesem Zusammenhang wurde das Fallbeispiel an der Hochschule Mannheim durchgeführt und wird Dir im nächsten Abschnitt beschrieben.

Als Social Engineer an der Hochschule Mannheim unterwegs…

Ich wollte Dir mit einem realen Fallbeispiel zeigen, wie einfach es sein kann Menschen zu beeinflussen. Hierfür gab ich mich in einer Einrichtung der Hochschule als Mitarbeiter des Rechenzentrums aus. Ich erzählte der freundlichen Mitarbeiterin, dass wir von einer Störung der Internetverbindung mitbekommen hätten. Ich erkundigte mich, ob es solche Probleme auch an ihrem Arbeitsplatz gegeben hätte. Sie antwortete mir: „Nein, davon habe ich nichts bemerkt“. Daraufhin erklärte ich, dass ich sie gar nicht lange belästigen würde und lediglich das Netzwerkkabel gegen ein qualitativ hochwertigeres Exemplar austauschen möchte. Ohne zu zögern ließ mich die Mitarbeiterin an ihren Arbeitsplatz. Die Frage nach einem Ausweis, die mich als Social Engineer enttarnt hätte, blieb aus. Schon nach einem kurzen Augenblick klärte ich daraufhin die Mitarbeiterin auf. Höchstwahrscheinlich hätte ich einen USB-Datenträger mit Schadsoftware in den Computer hineinstecken können, ohne dass sie es mitbekommen hätte. Nach einem anschließenden Neustart des Computers hätte ich versuchen können, die Passworteingabe einzusehen. Dies waren nur zwei Beispiele für eine ganze Fülle von Angriffsstrategien. Die Mitarbeiterin bedankte sich am Ende für die Aufklärung und wird hoffentlich in Zukunft ein gesundes Misstrauen an den Tag legen.

Weitere Praxisbeispiele

1. Phishing

Unter Phishing versteht man den Versuch durch gefälschte Webseiten, Mails oder Kurznachrichten an vertrauliche Informationen des Benutzers zu gelangen. Typisch ist hierbei die Nachahmung eines vertrauenswürdigen Anbieters. Die Phisher geben sich als vertrauenswürdige Person aus und versuchen so an die sensiblen Daten des Ziels zu gelangen. In der Regel wird in den Mails, als auch auf den gefälschten Webseiten das Corporate Design komplett vom Original übernommen. Dies macht es für einen Benutzer nicht einfach eine Phishing Mail, von einer Korrekten zu unterscheiden. Meist findet man in der Phishing-Mail einen Link vor, der den Benutzer angeblich auf die zugehörige Webseite des Anbieters weiterleiten soll. Auf der Fake-Webseite wird der Benutzer nun aufgefordert seine Zugangsdaten einzugeben. Nach der Eingabe werden die Daten an den Hacker weitergeleitet und von ihm für kriminelle Handlungen missbraucht. Im schlimmsten Fall wäre dies beispielsweise ein Fremdzugriff auf das Bankkonto des Nutzers.

2. Scareware

Bei Scareware spricht man von Schadsoftware, die den Benutzer zu bestimmten Handlungen zwingen soll. Diese Methode beruht hauptsächlich darauf, den Nutzer in Angst zu versetzen und sehr bedrohlich zu wirken. Dabei verursacht die Scareware selbst, nicht direkt den Schaden. Zum Beispiele könnte sie eine solche Meldung auf dem Computer anzeigen.

IMG_0174

Beispielmeldung von Scareware (Eigene Darstellung)

Erst wenn der Benutzer anschließend auf den Link „OK“ klickt, entsteht der eigentliche Schaden, indem das Programm im Hintergrund heruntergeladen wird.

3. Spionage

Spionage kann schon beim Durchsuchen des Abfalleimers nach vertraulichen Dokumenten beginnen. Ein Blick über die Schulter der Autoritätsperson, als diese ihr Passwort eingibt, ist ebenfalls ein Beispiel dafür. Der Social Engineer nutzt hier die Unachtsamkeit des Menschen zu seinem Vorteil aus. Vergisst der Mitarbeiter seine Geräte zu sperren, so kann der Angreifer versuchen unauffällig Datendiebstahl zu begehen oder gar Schadsoftware zu installieren.

Wie schütze ich mich?

Wenn Du einmal in die Lage kommst, ist es extrem wichtig zu wissen, welche Tricks heute dabei angewendet werden und inwiefern Du dich vor diesen schützen kannst. Unterbindung solcher Angriffe ist nicht einfach zu bewerkstelligen. Anhänge von nichtvertrauensvollen Quellen sollten niemals geöffnet werden. Ein Klicken auf Pop-ups, die fast schon aggressiv auf angeblich vorhandene Fehler oder Gefahren hinweisen, sollte unterlassen werden. Ein gesundes Misstrauen gegenüber der Veröffentlichung bzw. Preisgebung sensibler Daten, sollte stehts vorhanden sein. Eine Weitergabe von Zugangsdaten per Mail oder Telefon sollte grundsätzlich vermieden werden. Die verwendeten Passwörter sollten keine personenbezogenen Daten beinhalten. Das Aufschreiben von Zugangsdaten sollte unterlassen werden. Im Idealfall sollten beim Verlassen des Arbeitsplatzes der Computer und die Mobilgeräte stets gesperrt und notfalls sicher verschlossen werden.

Obwohl der Mensch zurzeit die größte Schwachstelle darstellt, könnten in Zukunft weitere Sicherheitsbedenken auftreten. Nähere Infos dazu findest Du im Blogbeitrag So gefährlich ist die neue IT-Dimension – Die Risiken des Internet of Things.

Dein Feedback

Wurdest Du bereits Opfer von Social Engineering? Hast Du schon einmal dein Passwort weitergegeben? Achtest Du im Alltag auf die genannten Schutzmaßnahmen oder nimmst Du das Thema eher auf die leichte Schulter?  Ich bin gespannt auf deine Erfahrungen.

Quellen

Titelbild – Eigene Darstellung

Social Engineering: Der Mensch als Sicherheitsrisiko in der IT
von: Marcus Lipski, ISBN : 9783836675741 , 3836675749

Wikipedia – Social Engineering

Kaspersky – Social Engineering

Bundeskriminalamt – Internetkriminalität

Wikipedia – Phishing

Was ist Malware – Scareware Artikel

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s