Social Engineering und der unsichtbare Feind

Lesezeit: 8 Minuten

Die Sicherheit ist immer nur so stark wie ihr schwächstes Glied, und in den meisten Fällen sind die Benutzer einer Organisation der schwächste Punkt. Es spielt keine Rolle, wie viel Geld in die Sicherheit investiert wird, indem Firewalls, Systeme zur Verhinderung von Eindringlingen, komplexe Fernzugriffssysteme, Sicherheitspersonal, physische Zugangskontrollen oder eine Vielzahl anderer Lösungen installiert werden, die zusammen eine starke Sicherheitsebene bilden, wenn die Benutzer nicht in den Grundprinzipien der Sicherheit geschult sind, ist alles sinnlos.

Eines der größten Risiken für ein Unternehmen ist die Möglichkeit, dass einer seiner Benutzer manipuliert oder dazu verleitet wird, eine Aktion auszuführen oder vertrauliche Informationen an jemanden außerhalb des Unternehmens weiterzugeben. In der Terminologie der Informationssicherheit wird diese Manipulation als „Social Engineering“ bezeichnet. Obwohl der Begriff Social Engineering ein relativ neuer Begriff ist, ist diese Art von Angriff so alt wie die Menschheit selbst. Zwei der berühmtesten Social-Engineering-Angriffe sind die Geschichte des hölzernen Pferdes von Troja aus Homers „Odyssee“ und gehen sogar noch weiter zurück bis zu den Anfängen der Bibel mit Adam und Eva und der Manipulation Evas durch den Teufel, um sie zu überreden, in den Apfel im Garten Eden zu beißen.

In der Geschichte vom hölzernen Pferd von Troja bauten die Griechen, nachdem es ihnen nicht gelungen war, Troja zu erobern, ein riesiges Holzpferd, das sie vor der Stadt zurückließen. Einen Soldaten zurücklassend, verließen die Griechen den Stadtrand von Troja, um nach Hause zurückzukehren. Als sie gefangen genommen wurden, erzählte der Soldat den Bewohnern Trojas, dass die Griechen das Holzpferd als Opfergabe an die Götter zurückgelassen hatten, um eine sichere Reise zu gewährleisten. Er verriet auch, dass sie das Pferd so groß gemacht hatten, dass es nicht innerhalb Trojas bewegt werden konnte, da es den Griechen Unglück bringen würde, wenn dies geschähe.

Die Einwohner Trojas wussten nicht, dass sich im Inneren des Pferdes eine Reihe griechischer Soldaten befand. Natürlich konnten die Trojaner nicht widerstehen, das Pferd vor die Tore zu bringen, um den Griechen Unglück zu bringen. In diesem Paradebeispiel für Social Engineering hatte der Soldat die Trojaner dazu gebracht, das Pferd mit den Griechen im Inneren der Stadtmauern zu bewegen, wozu die Griechen selbst nicht in der Lage gewesen waren. In dieser Nacht schlüpften die Griechen aus dem Pferd, töteten die Wachen und öffneten die Stadttore, um den Rest der griechischen Armee einzulassen und Troja zu besiegen.

Die Geschichte von Troja hat zwar nichts mit IT zu tun, ist aber ein perfektes Beispiel dafür, wie starke Sicherheitsvorkehrungen durch das schwächste Glied besiegt werden können – etwas, das die Menschen nicht unbedingt als sicherheitsrelevant ansehen. Troja hatte den Angriffen der Griechen über ein Jahrzehnt lang standgehalten. Sie hatten Wachen und Soldaten, starke, undurchdringliche Mauern und Nahrungsmittel, die sie unzählige Jahre lang ernähren konnten. Nur durch das schwächste Glied in ihrem Sicherheitsmodell, ihre Bewohner, konnten die Griechen erfolgreich sein.

Heutzutage werden IT- und physikbezogene Social-Engineering-Angriffe auf Benutzer gerichtet, um eine Reihe spezifischer Ziele zu erreichen. Die häufigsten Ziele sind:

Zugang zu eingeschränkten Daten zu erhalten;

Zugang zu eingeschränkten Bereichen;

Monetärer Gewinn und Profit; und

Identitätsdiebstahl

Die ersten beiden in der Liste, der Zugriff auf eingeschränkte Daten und Bereiche, zielen am häufigsten darauf ab, sich unbefugt Zugang zu einer Organisation zu verschaffen. Der Identitätsdiebstahl zielt in der Regel auf Einzelpersonen ab, während der finanzielle Gewinn auf beide Bereiche abzielt. Auch wenn die Einleitung und Ausführung dieser Angriffe auf unterschiedlichen Methoden und Wegen erfolgt, folgen sie doch alle demselben Prinzip: Manipulation des Benutzers, ohne dass dieser davon weiß.

Auch wenn ein Unternehmen starke Sicherheitsvorkehrungen getroffen hat, reicht es in vielen Umgebungen aus, zu wissen, wie man sich mit dem Fernzugriffssystem des Unternehmens verbindet, und einen gültigen Benutzernamen und ein Passwort zu haben, um von überall auf der Welt auf das Netzwerk zuzugreifen. In der Vergangenheit war dafür die Telefonnummer des Fernzugriffsmodems der Organisation erforderlich, aber mit der allgemeinen Verwendung von hochentwickelten Virtual Private Network (VPN)-Geräten in den meisten Organisationen ist alles, was erforderlich ist, eine IP-Adresse oder eine URL.

Es gibt unzählige Methoden, um an Unternehmensinformationen wie Modemnummern, VPN-Zugangsinformationen oder Benutzernamen und mögliche Passwörter zu gelangen. Wardialing, das Anwählen aufeinanderfolgender Nummern in einem Gebiet auf der Suche nach Modems, war üblich, als Modems die Hauptmethode für den Fernzugriff waren. Trashing ist das Durchsuchen des Papierkorbs einer Person oder Organisation nach Informationen wie Kontodaten von Nutzern und manchmal auch nach entsprechenden Passwörtern.

Beim Google-Hacking wird die Google-Suchmaschine genutzt, um so viele verwertbare Informationen wie möglich über einen Benutzer oder eine Organisation zu erhalten. Und schließlich das Helpdesk der Organisation. Wenn ein Angreifer die Namen legitimer Benutzer innerhalb der Organisation kennt, einschließlich anderer Informationen, die zur Glaubwürdigkeit beitragen können, ist es nicht schwer, sich als ein Benutzer auszugeben und eine Aktion wie das Zurücksetzen eines Passworts oder Informationen wie die VPN-Zugangsdaten oder die Modemnummer anzufordern. Ein erfolgreicher Angriff wie dieser würde es einem Angreifer ermöglichen, von überall auf der Welt auf das Netzwerk des Unternehmens zuzugreifen. Je nach den Zugriffsrechten des Benutzers, für den er sich ausgibt, könnte dies zu einer weitreichenden Beeinträchtigung kritischer Systeme führen.

Der Zugang zu IT-Systemen und den darin enthaltenen Daten ist nicht das einzige Ziel von Social Engineers. Die meisten mittelgroßen bis großen Organisationen haben inzwischen irgendeine Form von physischen Zugangstoken eingeführt, um den Zugang zu Gebäuden, Büros und Sperrbereichen zu ermöglichen. Diese Token gibt es in verschiedenen Formen: Magnetkarten, HID- und RFID-Karten oder auch einfache Ausweise, die von anderen Benutzern oder dem Sicherheitspersonal überprüft werden. Social Engineers verfügen über Dutzende von Methoden, um diese Systeme zu umgehen, ohne die Technik auch nur anfassen zu müssen.

Wenn sie auf die Benutzer dieser Systeme abzielen, ist das nicht nötig. Social Engineering ist eine Low-Tech-Lösung für ein High-Tech-Problem. Alles, was erforderlich ist, ist, dass der Angreifer in die Umgebung passt, dass er oder sie so aussieht, als gehöre er oder sie in das Unternehmen oder führe dort eine gültige Aufgabe aus. Eine gängige Methode zur Umgehung physischer Zugangskontrollen ist das sogenannte Tailgating, bei dem der Angreifer einer Person dicht auf den Fersen ist.

Diese Methode ermöglicht es dem Angreifer, einer anderen Person durch eine gesperrte Tür zu folgen, nachdem diese die erforderliche Authentifizierung vorgenommen hat. Impersonation, d. h. die Vorgabe, jemand anderes zu sein, ist äußerst effektiv. Wie oft haben Sie schon Handwerker, Reinigungskräfte oder andere Personen in Ihrem Unternehmen gesehen? Wie oft haben Sie sich ihren Ausweis angesehen oder nachgefragt, um zu überprüfen, wer sie sind? Haben Sie ihnen schon einmal die Tür aufgehalten, während sie ihren Rollwagen, ihr Werkzeug oder eine sperrige Kiste hereinbrachten? Dies sind alles gängige Methoden von erfahrenen Social Engineers.

Unternehmen sind nicht die einzige Beute von Social Engineers. Die riesigen Mengen an SPAM und Phishing-Angriffen, die jeder in seiner E-Mail erhält, sind nur eine weitere Form des Social Engineering. Phishing-Angriffe, d. h. der Versuch, an sensible Informationen zu gelangen, indem man sich als vertrauenswürdige Person ausgibt, sind ein perfektes Beispiel dafür.

Die einzigen Unterschiede zwischen den oben beschriebenen Angriffen und Phishing sind die Ziele und die Methoden. Phishing zielt eher auf Einzelpersonen auf einer persönlichen Ebene ab als auf eine Person, die versucht, eine Organisation zu kompromittieren. Während es sich bei den oben genannten Methoden um manuelle Angriffe handelt, ist Phishing im Allgemeinen automatisiert und zielt auf Hunderte, Tausende oder sogar Millionen von Benutzern ab. Diese Methode verschafft dem Angreifer eine viel höhere Erfolgsquote und dementsprechend auch einen wesentlich höheren Gewinn.

Die einzige Verteidigung gegen Social Engineering ist Aufklärung. Unternehmen sollten ein Programm zur Förderung des Sicherheitsbewusstseins einführen, das bei der Einstellung neuer Mitarbeiter obligatorisch ist und jährliche Auffrischungskurse für etablierte Mitarbeiter beinhaltet. Das Sicherheitsbewusstsein ist ein integraler Bestandteil der gesamten Sicherheitsimplementierung eines Unternehmens und als solcher in den Payment Card Industry Data Security Standards (PCI:DSS), Abschnitt 12.6, zwingend vorgeschrieben.

Sicherheitsbewusstsein und -schulung sind auch in Abschnitt 5.2.2 der Sicherheitsnormen ISO 27001 festgelegt. Während die Schulung des Sicherheitsbewusstseins Bereiche wie Passwortrichtlinien und akzeptable Nutzung umfassen sollte, sollten die folgenden Bereiche, die sich speziell auf Social Engineering beziehen, besprochen werden:

1. Tragen Sie stets Ausweise.

Alle Mitarbeiter, Auftragnehmer und Besucher sollten Ausweise tragen und jederzeit sichtbar sein. Sie sollten für alle Mitarbeiter leicht zu erkennen sein. Die Ausweise der Besucher sind am Ende ihres Besuchs zurückzugeben und ordnungsgemäß zu entsorgen.

2. Unbekannte Personen befragen

Wenn Mitarbeiter in ihrem Bereich jemanden sehen, den sie nicht kennen, oder jemanden, der versucht, zu drängeln, sollten sie ihn befragen. Lassen Sie sich den Ausweis zeigen oder fragen Sie, wen sie besuchen, und begleiten Sie sie zu dem betreffenden Mitarbeiter.

3. Entfernen Sie Ihre Ausweise oder drehen Sie sie um, wenn Sie sich außerhalb des Büros befinden.

Mitarbeiter, die ihren Ausweis außerhalb des Büros sichtbar tragen, liefern einem Angreifer mehr als genug Informationen, um einen Social Engineering-Angriff zu starten. Während einige Ausweise nur ein Foto zeigen, enthalten die meisten wertvolle Informationen für einen Social Engineer. Zu den üblichen Informationen, die auf Firmenausweisen angezeigt werden, gehören der vollständige Name, das Unternehmen und sogar die Abteilung, der der Benutzer innerhalb dieses Unternehmens angehört. Wenn Sie das Gebäude verlassen, nehmen Sie den Ausweis ab und stecken Sie ihn in Ihre Tasche oder Handtasche, oder drehen Sie ihn zumindest um, damit keine Informationen sichtbar sind.

4. Schreiben Sie niemals Passwörter auf

Passwörter sollten niemals aufgeschrieben werden, Punkt. Wählen Sie Passwörter, die Sie sich leicht merken können, ohne sie aufschreiben zu müssen. Benutzer schreiben ihre Passwörter häufig auf und kleben sie an Monitore, unter Tastaturen, an ihre Arbeitsplatzwände oder legen sie in ihre Schreibtischschublade. Ein Social Engineer, ein Auftragnehmer, ein Besucher, eine Reinigungskraft oder sogar andere Mitarbeiter können sie leicht sehen, wenn sie an einem Schreibtisch vorbeigehen oder sich ein paar Sekunden Zeit nehmen, um danach zu suchen. Papier, insbesondere Post-it-Notizen, die leicht an anderen Gegenständen haften, werden häufig versehentlich in den Papierkorb geworfen. Dies ermöglicht einen leichten Zugang für Social Engineers, die Trash-Angriffe durchführen.

5. Helpdesk-Mitarbeiter sollten die Benutzer immer vollständig überprüfen, bevor sie Informationen preisgeben

Bei Telefongesprächen mit Benutzern sollte das Helpdesk bei jeder Aufforderung zur Weitergabe oder Änderung von Informationen den Benutzer am anderen Ende der Leitung vollständig überprüfen. Die Validierungsfragen sollten immer eine Art „Nicht-Geldbeutel-Frage“ enthalten. Eine Frage, die nicht die Brieftasche betrifft, ist etwas über einen Benutzer, das nicht aus dem Inhalt seiner Brieftasche hervorgeht.

Wenn Fragen wie Geburtsdatum, Adresse oder Führerscheinnummer verwendet werden, kann ein Social Engineer, der eine Brieftasche gestohlen oder den Papierkorb eines Benutzers durchsucht hat, diese Informationen leicht herausfinden. Fragen, die sich nicht auf die Brieftasche beziehen, sollten dem Benutzer bekannt sein und können nicht leicht durch Ausmisten, Googeln oder einfaches Social Engineering herausgefunden werden, um die Informationen zu erhalten.

6. Schreddern Sie alle Dokumente

Alle Dokumente mit sensiblen Daten sollten vernichtet oder in sicheren Behältern entsorgt werden, die von einem vertrauenswürdigen Drittunternehmen vernichtet werden. Dokumente mit vertraulichen Daten sollten niemals in den Müll oder in die Recyclingtonne geworfen werden.

7. Öffnen Sie keine E-Mail-Anhänge oder besuchen Sie keine URLs von unbekannten Personen oder von verdächtig aussehenden E-Mails.

Die Benutzer sollten über die grundlegenden Phishing-Angriffe aufgeklärt werden und darüber, wie sie einen Phishing-Angriff von einer echten E-Mail aus einer seriösen Quelle unterscheiden können.

Hier einige Beispiele:

Banken und andere Finanzinstitute werden niemals E-Mails versenden, in denen sie Sie auffordern, Ihre Zugangsdaten einzugeben oder sich über einen Link in der E-Mail bei Ihrem Konto anzumelden.

Wenn Sie eine verdächtig aussehende E-Mail erhalten, in der Sie aufgefordert werden, eine URL zu einem Ihnen bekannten Unternehmen zu besuchen, klicken Sie nicht auf den Link. Öffnen Sie stattdessen Ihren Webbrowser, geben Sie die bekannte URL des Unternehmens manuell ein und besuchen Sie die Website auf diese Weise.

Öffnen Sie niemals einen Anhang, der von einer Ihnen unbekannten Person geschickt wurde.

Seien Sie vorsichtig bei ausführbaren Anhängen, z. B. .exe, .com, .scr, die von Freunden geschickt werden, es sei denn, Sie erwarten diese Art von Dokument. Sie sind sich möglicherweise nicht bewusst, dass sie Ihnen eine bösartige Datei schicken.

Wenn ein Programm zur Förderung des Sicherheitsbewusstseins entwickelt und umgesetzt wird, sinken die Chancen auf erfolgreiche Social-Engineering-Angriffe erheblich. Wenn die Benutzer einer Organisation nicht mehr das schwächste Glied sind, werden Angriffe auf das Unternehmen sehr viel schwieriger. Das Sicherheitsbewusstsein trägt nicht nur zum Schutz eines Unternehmens bei, sondern auch zum Schutz der Benutzer in ihrem Privatleben. Das Wissen um gängige Angriffe und wie man sie erkennt und abwehrt, hilft den Nutzern, sich vor Angriffen wie Phishing zu schützen, die darauf abzielen, ihr Bankkonto oder andere persönliche Daten zu stehlen.



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.