Dienstag, 1. Dezember 2015

Social Engineering, Hacken des menschlichen Systems

Langsam aber sicher begeben wir uns wieder in die Weihnachtszeit, eine Zeit der Besinnlichkeit und Freude. Doch in dieser Zeit hat auch das Social Engineering wieder Hochkonjunktur. Als ich kürzlich mit meinen Eltern über dieses Thema sprechen wollte, schaute mich meine Mutter verwirrt an und fragte in die Runde, was denn Social Engineering genau ist und was man darunter verstehen kann? Dies verdeutlichte mir, dass die modernen IT-Begrifflichkeiten nicht jedem vertraut sind. Besonders ältere Generationen können die modernen, englischen Begriffe nicht einordnen und nehmen die Warnungen in den Medien so nicht wahr. Daher möchten wir in unserem Blog einmal mehr etwas Licht in die Vielfalt der IT Begriffe bringen!

Wikipedia gibt eine erste gute Übersicht ab: „Social Engineering“ (auch „soziale Manipulation“) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhalten hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln bewegen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nützen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen“.

Unter Social Engineering verbirgt sich ein manipulatives Verhalten gegenüber anderen Menschen. Ziel ist das Vertrauen von Menschen zu gewinnen, um so „vertrauliche“ Informationen zu erhalten und daraus ungerechtfertigt Kapital zu schlagen. Manchmal liegt das Ziel auch einfach nur darin, einer anderen Person zu schaden. Bekannt aus den Medien ist beispielsweise der Enkeltrick, bei welchem sich der Betrüger als Verwandter ausgibt, um so eine Geldüberweisung des Opfers zu erhalten. Auch das Phishing ist eine Variante von Social Engineering. Der Verfassungsschutz Brandenburg nennt einige gute praxisbezogene Beispiele wie so ein Social Engineering aussehen kann:

Appell an die Hilfsbereitschaft:
Der Angreifer ruft beim Helpdesk an und entschuldigt sich dafür, dass er sein Passwort vergessen
hat und dem Mitarbeiter jetzt soviel Mühe mache. Leider stehe man jedoch ziemlich unter
Druck und müsse ganz schnell am Computer weiterarbeiten. Am besten sei es daher, wenn das
Passwort einfach auf einen definierten Wert zurückgesetzt werde. Der Angreifer wird über das
Unternehmen selbstverständlich bestens informiert sein. Er wird die Namen der Mitarbeiter des
Helpdesks bzw. deren Vorgesetzten kennen und sich so das nötige Vertrauen erschleichen.
Möglicherweise gibt er sich aber auch als neuer Mitarbeiter aus, dem solche Fehler gerade in
der Anfangsphase ausgesprochen unangenehm sind.

Berufung auf Autorität:
Der Angreifer gibt sich als IT-Mitarbeiter/Administrator aus und befragt den Anwender zu seinem
Passwort oder anderen sensiblen Informationen. Reagiert der Angerufene zurückhaltend
oder skeptisch wird sich der Social Engineer auf eine Zusage des Vorgesetzten berufen, der
versprochen hat, dass der Mitarbeiter selbstverständlich kooperieren wird. Natürlich wird der
Anrufer über Detailwissen verfügen. Möglicherweise weist er auf Bedienfehler, Netzwerkprobleme
oder die Notwendigkeit einer Passwortänderung hin.

Konfliktvermeidung:
Der Angreifer stellt sich als Assistent der Geschäftsleitung vor, dem schnell eine dringende Email
mit wichtigen Daten übersandt werden muss, die der ungeduldige und jähzornige Chef für
eine wichtige Besprechung benötigt. Bei Bedenken wird der Anrufer darauf verweisen, dass der
zögerliche Mitarbeiter natürlich auch persönlich mit dem Chef sprechen könne – dieser sei jedoch
bereits jetzt ausgesprochen wütend über die Verzögerung.

Natürlich gibt es noch weiter bekannte Beispiele. Kennen sie etwa den Film „Catch Me If You Can” mit Leonardo DiCaprio? Darin wird sehr deutlich aufgezeigt, was durch Social Engineering alles erreicht werden kann. Der Film beruht auf wahren Begebenheiten.

Doch warum wird das Social Engineering immer beliebter? Der Grund dafür ist einfach und stimmt auch nachdenklich. Jedes System kann gehackt werden. IT Systeme lassen sich durch Weiterentwicklung moderner Sicherheitsmethoden immer besser schützen. Der Mensch selbst, welcher diese IT Systeme bedient, ist aber die Schwachstelle des Ganzen und wird auch gerne in den Medien als „Risikofaktor“ bezeichnet. Dies bedeutet für viele Kriminelle, dass sich das „System Mensch“ einfacher hacken lässt als ein Computersystem. Zudem ist Social Engineering kostenlos und lässt sich vor allem in der Weihnachtszeit sehr einfach anwenden. Denn die Menschen sind gerade in dieser Zeit hilfreich und freundlich eingestellt, was das Herauslocken von Informationen vereinfacht.

Doch was kann man tun um nicht Opfer von Social Engineering zu werden? Beachten sie am besten die folgenden Regeln um Ihr System vor Social Engineers zu schützen.

1. Lassen sie sich nicht unter Druck setzen!

2. Geben sie nie sensible Daten an Unbekannte preis

3. Überprüfen sie wenn möglich die Identität des Fragenden, etwa durch Rückfragen bei anderen Personen

4. Seien Sie grundsätzlich zurückhaltend bei Informationsteilung mit unbekannten Personen

5. Sprechen sie wenn möglich nie in der Öffentlichkeit über sensible Informationen

6. Lassen sie sich nicht von der Höflichkeit eines Menschen blenden, haben sie lieber zu viele Hintergedanken

Für Interessierte haben wir hier noch zwei weitere Links, welche vertiefte Informationen zu dieser Thematik enthalten.

Das Hacken des menschlichen Betriebssystems

Social Engineering, oder: Wie man Menschen "knackt"

Wer sehen will, wie Social Engineering in der Praxis funktioniert, dem empfehlen wir diese zwei Filme: