![[Illustration]](07-1-092-1.jpg)
Abbildung 1: Flussdiagramm zur Prüfung von Informationsanfragen
Unternehmen geben teils horrende Summen für das Errichten elektronischer Schutzmechanismen aus, um kritische Daten gegen Verlust, Diebstahl oder Manipulation zu sichern. Allzu oft scheint man dabei jedoch das häufig schwächste Glied in der Kette funktionierender IT-Sicherheit zu vergessen oder nur unzureichend zu beachten: den Menschen. Häufig wird noch nicht einmal dem natürlichen Grundbedürfnis des Mitarbeiters in Bezug auf Aufklärung Rechnung getragen. Sicherheit gilt vielen Unternehmensleitern noch immer als unbequem, kostenträchtig und scheinbar unnütz, da kein Return-on-Investment (ROI) erkennbar ist.
"Et haett noch immer joot jejange", wie der Rheinländer zu sagen pflegt, ist eine weit über rheinische Grenzen hinausgehende und speziell im Bereich der IT-Sicherheit gleichermaßen verbreitete wie gefährliche Meinung. Doch wie soll sich ein Mitarbeiter im Spannungsfeld zwischen unbürokratischer Hilfsbereitschaft und notorischem Hinterfragen jeder Kontaktaufnahme "richtig" verhalten, wenn es keine Unternehmens-Richtlinie (Policy) hierzu gibt? Wo soll man die Grenze ziehen zwischen naivem Verhalten, gesundem Misstrauen und verordneter Paranoia, wenn keine Aus- und Weiterbildung zum Thema Social Engineering für ein angemessenes Problembewusstsein sorgt?
Der bekannte (Ex-)Hacker Kevin Mitnick hat Social Engineering als "die Kunst der Täuschung" beschrieben und die Frage gestellt: Warum sollte man hochgesicherte Technik angreifen, wenn die Menschen "ungeschützt" sind? Grundlegend lassen sich mehrere Arten des Social Engineering unterscheiden: Beim Computer-based Social Engineering stehen technische Hilfsmittel im Mittelpunkt: manipulierte Internetseiten, "trojanische" E-Mail-Anhänge oder Popups mit Eingabefeldern sind nur einige Beispiele dafür.
Beim Human-based Social Engineering geht der Weg hingegen über die nicht-technische soziale Annäherung an Personen: zum Beispiel per Telefon, Chat oder im direkten Gespräch. Oft trifft man auch eine Mischform, bei der ein Angreifer (s)ein Trojanisches Pferd mittels geschickter verbaler Verpackung begleitet und so zielsicher auf dem Rechner oder im Netzwerk des Opfers positioniert.
Eine Spezialform stellt das Reverse Social Engineering dar: Ziel ist hierbei, sein Opfer dazu zu bringen, die gewünschten Informationen "freiwillig" und aktiv an den Angreifer zu übermitteln. Dies wird ebenfalls meist durch eine Kombination computerbasierter sowie "menschlicher" Taktik erreicht: So könnte sich ein Angreifer zum Beispiel als neuer (Helpdesk-)Mitarbeiter vorstellen und im Laufe des Gesprächs eine persönliche Bindung zu seinem Opfer herstellen und "für eventuelle Probleme" seine Rückrufnummer hinterlassen. Im Anschluss sorgt er dann selbst für ein Problem und erreicht so, dass sein Opfer sich direkt an ihn wendet, statt den zuständigen Helpdesk zu kontaktieren. Diese Methode nimmt zwar die längste und intensivste Vorbereitungszeit in Anspruch, hat aber den großen Vorteil, dass Opfer nur selten Verdacht schöpfen, da sie ja "von sich aus" handeln.
Die grundlegenden Fähigkeiten eines Social Engineers sind denen eines Profilers recht ähnlich, der anhand von Indizien, Spuren am Tatort und den Umständen einer Tat versucht, ein Täterprofil zu erstellen. Der "soziale Angreifer" erstellt hingegen ein Persönlichkeitsbild seines Opfers, um anschließend zielgerichtet und möglichst effizient seinen Angriff durchführen zu können.
Abgrenzend ist festzuhalten, dass Erpressung oder direkte Bedrohung von Zielpersonen nicht zum Betätigungsfeld des Social Engineering zählt. Ein Social Engineer hat stets das Ziel, seine Aktivitäten möglichst unbemerkt durchzuführen.
Leider gibt es keinen Phänotyp für den typischen Social Engineer. Ein Angreifer könnte gleichermaßen als hilfsbereiter Kumpel im Blaumann, unflätiger Pöbler am Telefon oder attraktive Dame auftreten, welche die Blicke der Herren magnetisch auf sich zieht. Ein guter Social Engineer identifiziert sich über ausgeprägte rhetorische und psychologische Fähigkeiten – und genau das macht das Erkennen und die Abwehr seiner Angriffe so schwer.
Im Grunde genommen ist jeder Mensch in seinem Leben schon einmal einem solchen "Verführer" begegnet: seinen eigenen Eltern. Auch Eltern versuchen häufig durch geschickte Manipulation, ihre eigenen Ziele durchzusetzen – umso einfacher, wenn das Kind denkt, es wäre seine Entscheidung gewesen. Selbstverständlich ist die elterliche Motivation eine grundlegend andere – nichtsdestotrotz ist die Herangehensweise artverwandt.
Die besondere Gefahr beim Social Engineering besteht darin, dass Fragen nach Schlüsselinformationen oder das Anregen verräterischer Handlungsweisen geschickt in eine ansonsten harmlose und unverfängliche Konversation eingebettet werden. Und diese Agitation ist umso schwieriger zu enttarnen, je langfristiger und "verteilter" sie betrieben wird.
Beispielsweise wären die Telefondurchwahl vom Kollegen Müller, seine Abteilungszugehörigkeit (Finanzen FA1) oder das Wissen, dass Frau Lackmeier seine Vorgesetzte ist und sich beide zurzeit in Urlaub befinden, jeweils für sich betrachtet kaum als geheimhaltungsbedürftig einzustufen. Dennoch lässt sich auf solchen Informationen eine tragfähige "Story" für einen Social-Engineering-Angriff aufbauen: So könnte etwa ein Anruf beim frisch eingestellten Herrn Schüchtern eingehen, in dessen Verlauf sich der angebliche Herr Müller von der Abteilung FA1 via Mobiltelefon meldet und darum bittet, ihm die Projekt- und Konstruktionspläne für das neue Produkt der Firma zuzusenden. Denn er sei ja gerade unterwegs und habe dummerweise versäumt, seine Daten vor der Abreise noch zu synchronisieren... und die Übermittlung möge bitte an seinen privaten Webmail-Account gehen, den er problemlos auch von unterwegs abrufen kann (alles in allem noch ein recht "vordergründiges" Szenario).
Äußert Herr Schüchtern nun Bedenken, eine solch brisante E-Mail an ein externes Postfach zu senden, verfällt "Herr Müller" vermutlich in einen moralischen Vortrag über Termindruck, die uneinsichtige Vorgesetzte Lackmeier und die Konsequenz, dass womöglich das ganze Projekt durch diese Halsstarrigkeit komplett gefährdet sein könnte – ob Herr Schüchtern hieran Schuld sein will? Zur Sicherheit könne er ja gerne die Frau Lackmeier persönlich anrufen und sich rückversichern – achja richtig, die ist ja zurzeit im Urlaub, aber für dringende Fälle kann Herr Müller natürlich mit ihrer Mobilnummer aushelfen... Im Grunde ist dann gleichgültig, ob Herr Schüchtern bei der vermeintlichen Vorgesetzten Lackmeier unter der mitgeteilten Rufnummer nachhakt oder die Beteuerungen des vorgeblichen Herrn Müllers ausreichen – selbstverständlich hätte ein ausgefuchster Angreifer eine eigens erworbene Prepaid-Karte mit der passenden "Vorgesetzen" in petto.
Was in diesem Kontext hier konstruiert und verdächtig erscheinen mag, kann im alltäglichen Telefonstress eines größeren Hauses schon ganz anders wirken. Und auch überzogene oder vermeintlich realitätsfremde Szenarien können bei entsprechender Stimmigkeit funktionieren: Wo der gesunde Menschenverstand denkt, "so platt kann kein Angriff sein – das kann unmöglich funktionieren", gerade dort kommt womöglich bei arglosen Mitarbeitern in der Situation selbst auch kein Verdacht auf. Umso wichtiger sind regulatorische Vorgaben, interne Dokumentation und Mitarbeiter-Training!
----------Anfang Textkasten----------
Verfassen Sie eine generelle Richtlinie, die mindestens die folgenden, grundlegenden Regeln umfasst:
----------Ende Textkasten----------
Im Grunde kann jede noch so unbedeutend erscheinende, firmenspezifische Information einem Social Engineer zum Vorteil gereichen. Im eben beschriebenen Beispiel könnte das umfangreiche Wissen um "Kleinigkeiten" aus Telefon- und Mitarbeiterlisten, Organigrammen, Hierarchiestrukturen sowie Urlaubsplänen dem Angreifer dabei helfen, als Interner zu erscheinen. Weitere wichtige Informationsquellen sind Raumpläne, interne Memos und Briefe, Netzpläne, Funktionsweisen von Zugangskontrollsystemen sowie Arbeitsanweisungen und Policies, um nur einige Beispiele zu nennen.
Die zweifelsfrei unschönste Methode solche Daten zu beschaffen, ist das so genannte Trashing oder Dumpster Diving, bei dem der Angreifer Papierkörbe oder Mülltonnen durchsucht. Da oft genug im Unternehmen keine klaren Richtlinien bezüglich der sicheren Entsorgung schützenswerter Informationen (elektronisch wie in Papierform) existieren, kann schon der Altpapiercontainer ein wahrer Fundus für den Angreifer sein. Eine weitere (und oft präferierte, weil bequeme und ungefährliche) Möglichkeit ist das Daten-Sammeln am Telefon oder via Internet.
Nicht zuletzt können auch Teile des Angriffs in Person und vor Ort durchgeführt werden, wobei hier die Gefahr des Misslingens oder Erwischtwerdens durch die physische Präsenz ungleich höher ist. Zudem ist hierfür eine wesentlich akribischere, intensivere Vorbereitungszeit anzusetzen, die sicherlich in Relation zum erwarteten Gewinn (Spionageziel) stehen muss. Nicht zwangsweise führen der Social Engineer oder seine Komplizen solche Handlungen selbst aus: Oftmals werden dafür (meist arglose bzw. gutgläubige) Dritte missbraucht, die wenig bis gar nicht für die Thematik sensibilisiert sind. Ein beliebtes Ziel ist hierfür beispielsweise Reinigungs- und Wartungspersonal.
Öffentliche Orte wie Restaurants, Züge oder Volksfeste können für einen Angreifer ebenfalls gute Informationsquellen darstellen, wobei der Informationsgewinn allerdings meist zufällig und diffus und wenig zielgerichtet ist. Nicht zu vergessen ist an dieser Stelle natürlich auch der kombinierte Einsatz technischer Hilfsmittel wie Keylogger, Kameras und (Richt-)Mikrofonen. Der Kreativität der Angreifer sind hier kaum Grenzen gesetzt.
Zum Kreis der gefährdeten Personen gibt es leider eine schlechte Nachricht: Im Grunde kann es jeden Mitarbeiter vom Auszubildenden bis zum CEO zu jeder Zeit in jeder Form treffen. Grundsätzlich sind neue sowie weniger persönlichkeitsstarke Mitarbeiter jedoch meist empfänglicher für Angriffe. Diese Personen wollen "nichts falsch machen" und als Teamplayer gelten, was sie zu einem leichteren Ziel für Social Engineering macht.
Abbildung 1: Flussdiagramm zur Prüfung von Informationsanfragen
Generell ist es sinnvoll für Informationsanfragen und sonstige "Standardsituationen" Verhaltensregeln aufzustellen. Dabei ist die erste Frage immer, ob die Anfrage von einer verifizierten oder nicht-verifizierten Person stammt. Gegebenenfalls ist dann zunächst die Identität des Fragenden zu überprüfen: Beispielsweise kann man die telefonische Rufidentifikation mit dem internen Telefonverzeichnis abgleichen, einen Rückruf auf eine vorab intern hinterlegte Rufnummer veranlassen, die Bürgschaft einer vertrauten Person einholen, sich beim (authentifizierten!) Vorgesetzten des Antragstellers rückversichern oder die Person anhand der Stimme oder mittels eines Ausweises sicher identifizieren (lassen).
Der zweite Schritt gilt der Prüfung, ob der Anfragende tatsächlich gegenwärtig bei der Firma angestellt ist oder eine (Geschäfts-)Beziehung besteht, die einen berechtigten Wissensbedarf begründet. Hierbei kann ein simples Nachschlagen im Mitarbeiterverzeichnis (bei internen Anfragen) oder eine Verifikation über den Vorgesetzten oder einen Kollegen der Abteilung (bei internen wie externen Anfragen) dienlich sein.
Im dritten Schritt schließlich muss bestimmt werden, ob die Person autorisiert ist, die spezielle angefragte Information zu erhalten beziehungsweise die gewünschte Handlung zu veranlassen. Dies kann man zum Beispiel durch Einholen der Erlaubnis vom Vorgesetzten oder durch Freigabe des Informations-Eigentümers erreichen. Ein beispielhaftes Flussdiagramm zeigt Abbildung 1 – weitere Tipps sind in Kurzform im obigen Textkasten zusammengefasst.
Der wohl wichtigste Schritt in Richtung einer sicheren Informationskultur im eigenen Unternehmen liegt in der Aufklärung und Sensibilisierung aller Mitarbeiter. Nur für das Problem sensibilisierte Personen haben eine gute Chance, ambitionierte Social-Engineering-Angriffe zu erkennen und erfolgreich abzuwehren.
Jens Eichler ist zertifizierter Auditor für ISO-27001-Audits auf der Basis von IT-Grundschutz und Security Consultant bei der Trivadis GmbH.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#1, Seite 92
tag:kes.info,2007:art:2007-1-092
| 