Vælg et sprog
Kontakt
Support
Jobs
News
E-Mail und Web Sicherheitsdienste
Über Symantec
7. september 2010, 18:18 UTC+1(GMT+1)

Social Engineering – wie Unternehmen manipuliert werden

 Printvenlig version

Bereits in unserem letzten Newsletter ging es darum, dass IT-Sicherheit aus einer Kombination von Produkten und Prozessen besteht. Diese Tatsache führt dazu, dass Unternehmen heutzutage einem ständigen Wandel und immer neuen Veränderungen unterworfen sind. Denn die Beseitigung aller Unsicherheiten ist heute leider nicht mit einem einzigen System möglich. Und so begibt sich ein Unternehmen, das sich vor unbefugten Anwendern, vor Hackern, Crackern und vor jedem Menschen mit Hintergedanken schützen möchte, auf einen lebenslangen Wettlauf ums Überleben.

Eine der meist verbreiteten Taktiken für nicht autorisierten Zugang zu IT-Systemen ist Social Engineering. Es ist ein einfaches Werkzeug, das wir alle bestens beherrschen. Für das Erlernen dieser Methode bedarf es lediglich ein wenig Training und ein paar Nachforschungen.

Die meisten Menschen kennen einige dieser Techniken aus dem täglichen Leben. Was passiert zum Beispiel, wenn wir den Verdacht haben, dass unser Partner fremd gegangen ist - es ist wirklich erstaunlich, welche Kreativität viele von uns an den Tag legen, um Beweise dafür zu sammeln. Oder zum Beispiel der loyale Mitarbeiter, der eines Tages ein Angebot vom Wettbewerb erhält, dass er einfach nicht abschlagen kann - die Kreativität scheint keine Grenzen zu kennen, wenn es nun darum geht, die Kundendatenbank am letzten Arbeitstag einfach mitzunehmen!

Es braucht wohl zwei Dinge, die die kreativen und dunklen Seiten eines Menschen zum Vorschein bringen - Geld und Emotionen. Wenn wir zum Objekt oder Opfer einer Situation werden, in der wir völlig ahnungslos von einem oder beiden dieser Dinge beeinflusst werden, entwickeln wir plötzlich ungeahnte kreative Fähigkeiten. Genau das passiert mit Mitarbeitern, wenn sie in Versuchung geraten, wenn sie abgeworben und verführt werden, wenn sie im Stich gelassen und entlassen werden oder wenn ihnen Unrecht angetan wird. All das reicht, um kreative Kräfte in uns Menschen anzustacheln.

Einer der derzeit berühmtesten oder berüchtigtsten Meister der Social Engineering Techniken ist der Amerikaner Kevin Mitnick. Als er in den 1980ern und 90ern vom FBI gesucht wurde, erlangte er Weltberühmtheit. Heute arbeitet er als Sicherheitsberater und veröffentlichte ein Buch mit dem Titel „Die Kunst der Täuschung". Mitnick ist der Überzeugung, dass jeder Mensch gewisse Fähigkeiten zur Manipulation hat. Und einige sind eben besser darin als andere. Mit der zunehmenden Überflutung von IT Technologien wird es immer schwieriger für uns, mit all diesen Entwicklungen Schritt zu halten, und wir hüllen uns daher in ein natürliches Vakuum an Unwissenheit, das uns dann zu einem ganz klaren Ziel von Missbrauch macht.

Nachfolgend beschreiben wir einige der weit verbreiteten Techniken des Social Engineerings.

Nachahmung
Untersuchungen zeigten, dass es äußerst einfach ist, Prozesse in Unternehmen nachzuahmen. Wenn jemand anfängt zu forschen, Informationen zusammenzutragen, diese zu einem Plan zusammenfügt und Arbeitsprozesse eines Unternehmens nachstellt, wird es einfach, Zugang zu allen Bereichen eines Unternehmens zu erhalten. Man denke nur daran, was passiert, wenn Sie die Tür mit einem Code öffnen und ein paar Kollegen dann eben schnell noch mit Ihnen hindurchschlüpfen. So was führt schnell zum Ausfall eines teuren Sicherheitssystems in Ihrem Unternehmen.

Wichtige Anwender - VIPs
Wenn jemand so tut, als sei er ein Anwender des Unternehmens, reicht das manchmal nicht aus. Sich aber als CEO oder Vorstandsvorsitzenden eines Unternehmens auszugeben, sichert den notwendigen Respekt für direkten Zugang zu Daten und Plätzen, die normalerweise verschlossen bleiben. Unser angeborener Respekt vor Autoritäten kann also dazu genutzt werden, um auch extrem geschützte Orte zu erreichen. Oder um es mit anderen Worten zu sagen: je unverfrorener jemand ist, desto weniger Verdacht wird geschöpft.

Eine dritte Person für den Zugang zu vertraulichen Informationen nutzen
Diese Methode betrifft Personen, die eine Machtposition und Vertrauensstellung innehaben und die Zugang zu wichtigen Bereichen der Systeme liefern können. Schmier- und Bestechungsgelder helfen hier oft unglaublich viel. Personen, die gerne glaubwürdig erscheinen und die richtigen Informationen haben möchten, fangen an, Informationen über das Unternehmen zu sammeln. Sie durchforsten Müllcontainern und durchwühlen Abfalleimer um Kennwörter, wichtige Personalien, Durchwahlnummern, bestimmte Bezeichnungen und einschlägige Daten oder andere wichtige Informationen über ein Unternehmen herauszufinden.

Technischer Support
Hierbei handelt es sich um eine ziemlich einfache und deshalb häufig genutzte Quelle, um an wichtige Informationen heranzukommen. So zu tun, als ob man der Supportabteilung angehöre, ermöglichte schon vielerorts den Zugang in Unternehmen. Im EDV-Zeitalter sind unangeforderte Anfragen aus der Supportabteilung zu technischen Problemen nichts Ungewöhnliches. Alles, was von dort kommt, hat mit dem „Herz des Unternehmens" zu tun, und wenn Sie vorgeben, vom Support zu sein, räumen sich jegliche Bedenken von selbst aus dem Weg und jeder Anwender ist bereit, alles für Sie zu machen.

Sich für jemanden ausgeben
Und zu guter letzt und eben genau wie in der Spionagewelt, tauchen Menschen ganz einfach auf und geben sich für einen Mitarbeiter, Gast oder Dienstleister aus. Umfragen zeigen, dass vor allem Hausmeister und Pförtner häufig unverhältnismäßig viel über die Sicherheit eines Unternehmens wissen und dann auch noch sehr einfach und ganz direkt zum Zentrum eines Unternehmens gelangen können. Und Fakt ist, dass jeder von uns käuflich ist; es ist nur häufig die Frage, zu welchem Preis. Deshalb sollten Sie sich sehr genau anschauen, welche Menschen für Ihre Sicherheitsbelange unentbehrlich sind. Das Treffen von Vorsichtsmaßnahmen wird einfacher, wenn Sie diesen Punkt nicht außer acht lassen.

Müll durchwühlen
Hierbei handelt es sich um eine ganz sichere Quelle für Informationen über ein Unternehmen. Selbst streng vertrauliche Informationen werden häufig ungeshreddert entsorgt. Die Sicherheit von Unternehmen und damit auch ihre Lücken können ganz einfach aufgedeckt werden, wenn man sich den Abfall des Unternehmens genau anschaut. Denn leider ist es ziemlich einfach, das zu nutzen, was Unternehmen wegwerfen, um in Unternehmen hineinzukommen. Das kann nur deshalb gelingen, weil es keine Richtlinien dafür gibt, dass vertrauliche oder wichtige Dokumente durch den Papierwolf gehen müssen. Um mögliche Risiken aufzudecken, lohnt es sich wirklich, Risikobewertungen durchzuführen.

Shoulder Surfing
Shoulder Surfing ist die leichteste Methode; dabei muss man nur jemandem über die Schulter blicken, um beispielsweise ein Passwort herauszubekommen. Shoulder Surfing ist ein Phänomen, das aber nur deshalb funktioniert, weil Anwender einen geradezu dafür einladen. Wann und wo geht das von statten? Häufig kann man Mitarbeiter an öffentlichen Orten beobachten, die alles um sich herum vergessen, auch wenn sie gerade mit vertraulichen Informationen umgehen, die dann ganz einfach von anderen belauscht oder nachgelesen werden können.

Dialogfenster
Dialogfenster werden eingesetzt um dem Anwender mitzuteilen, dass seine Verbindung abgebrochen ist und er wird aufgefordert, sein Login und seine Passwörter erneut einzugeben. Sogleich sendet er sein Login und seine Passwörter in einer E-Mail an den Angreifer, der zuvor schon ein kleines Programm für diesen Zweck installiert hat.

E-Mail Anhänge
E-Mail Anhänge oder Dateien sind äußerst gefährliche Quellen für Social Engineering. Kleine Skripts, Viren, Würmer, Trojanische Pferde oder Programme können darin an den Empfänger versendet werden. Denken Sie zurück an einige der ersten Viren wie „I love you" oder „Anna Kournikova" - beide Titel machten neugierig und Anwender vergaßen sämtliche Sicherheitsvorkehrungen. Vor Feiertagen treten solche Attacken verstärkt auf, und man sollte wirklich vorsichtig sein, was sich in diesen Glückwunsch- und Freudenbotschaften verbergen kann - Weihnachten, Pfingsten, Ostern und persönliche Grüße zum Valentinstag sind besonders gefährlich.

Spam, Kettenbriefe und Hoax
All das sind Mittel des Social Engineering, die versendet werden, um Empfänger zu irritieren und zu verführen. Es besteht keine unmittelbare Gefahr oder ein sofortiger Verlust an Informationen, aber sie führen zu massiven Produktivitätseinbußen. Außerdem werden immense Speicherkapazitäten in Ihren Netzwerken belegt. Bei einem Hoax handelt es sich um einen False Virus, der wie Spam weit verbreitet wird und Ihnen damit viel Zeit und Bandbreite stiehlt.

Internetseiten
Eine Methode, die auch häufig verwendet wird, ist das Angebot von Spielen, Glückspielen, Lotterien und allerlei Arten von Unterhaltung über eine Internetseite. Computernutzer werden für gewöhnlich dazu aufgefordert, aufgrund von Sicherheitsvorkehrungen ihre E-Mail Adresse und ein Passwort anzugeben. Und weil das Thema Sicherheit bei vielen Menschen nicht immer präsent ist, verwenden sie zu Hause und in der Arbeit häufig das gleiche Passwort und sind sich dann überhaupt nicht bewusst, dass sie gerade ihre Login-Daten preisgegeben haben.

Was kann man dagegen tun?
Zunächst geht es darum, proaktiv zu sein und zu erkennen, dass es sich um ein wirkliches Problem handelt und es kein Patentrezept dagegen gibt. Neben den notwendigen IT Richtlinien, Regeln und Vorgaben erhalten Sie hier einige sinnvolle Tipps:

1. Setzen Sie auf Ihren gesunden Menschenverstand, er ist Ihre beste Waffe (denken Sie nach - kann das wirklich sein?).
2. Informieren Sie Ihre Mitarbeiter und veranstalten Sie Trainings (am besten regelmäßig).
3. Achten Sie darauf, dass Sie nicht in ungünstige Situationen geraten (ungebetene Telefonanrufe, E-Mails, Briefe, direkte Anreden etc.)
4. Laden Sie Probleme nicht zu sich ein (denken Sie daran bei Anzeigen, Telefonaten, etc.).
5. Trauen Sie sich auch zweimal nachzufragen (Wenn Sie zum Beispiel aufgefordert werden, etwas zu tun - sei es persönlich oder elektronisch. Und fragen Sie den Absender nach seiner Berechtigung. Fragen Sie zum Beispiel einfach, ob Sie zurückrufen können, wenn Sie jemand anruft. Denken Sie immer daran, dass es keine dummen Fragen gibt - nur dumme Antworten!)
6. Überprüfen Sie Ihre Notfallmaßnahmen (Testen Sie Ihre Social Engineering Vorsichtsmaßnahmen, ganz genauso, wie Sie Feueralarm-Übungen durchführen).
7. Informieren Sie bei einem Schadensfall alle, die betroffen sind, damit künftig jeder daraus lernen kann (was ist passiert wie, warum, mit welchen Methoden, was waren die Voraussetzungen und Ziele).
8. Erklären Sie Ihren Mitarbeitern, wie Sie Social Engineering erkennen können (es ist nämlich schwierig, ein Problem zu bekämpfen, wenn niemand weiß, worum es eigentlich geht).9. Seien Sie realistisch! Spionage ist das zweitälteste Metier auf der Welt (warum sollte man also denken, dass es sie heute nicht mehr gibt?)
10. Aufklärung, Aufklärung, Aufklärung.

Diese Liste ist sicherlich nicht vollständig, aber ein guter Anfang. Eine durchdachte Sicherheits-Policy, ein hoher Grad an Bereitschaft und gesunder Menschenverstand sind hervorragende Grundlagen. Legen Sie Ihrer Arbeit folgendes Motto zugrunde: „"Es geht nicht darum, ob, sondern falls" - wir setzen uns also mit den Folgen eines Angriffs auseinander und prüfen uns selbst, bevor wir von äußeren Umständen auf die Probe gestellt werden.

Jesper Lundorf
Security Consultant

Copyright 2010 SoftScan - All rights reserved