Social Engineering (Sicherheit)

Social Engineering [ˈsəʊʃl̩ ˌɛndʒɪˈnɪəɹɪŋ] (engl. eigentlich „angewandte Sozialwissenschaft“, auch „soziale Manipulation“) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.

Gleichzeitig steht Social Engineering für eine Praxis der politischen und gesellschaftlichen Steuerung bzw. Beeinflussung von Gesellschaften mittels Kommunikation und kann sowohl als positiv als auch als negativ wahrgenommene Ergebnisse erzielen. Die stark negative Begriffsvariante dominiert jedoch aktuell das Begriffsbild, gleichfalls gibt es alternative Definitionen für Social Engineering (Politikwissenschaft).

Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Häufig dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking ['hækɪŋ].

Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen, sich als Insider des Unternehmens auszugeben. Zusätzlich verwirrt er sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, bei vom Opfer unterlassener Kooperation dessen Vorgesetzten stören zu müssen. Unter Umständen hat der Social Engineer bereits im Vorfeld Informationen gesammelt, dass ein bestimmter Mitarbeiter sogar wirklich technische Hilfe angefordert hat und bereits tatsächlich einen derartigen Anruf erwartet.

Trotz ihrer scheinbaren Banalität gelingen mit der Methode immer wieder spektakuläre Datendiebstähle. So gelang es einem amerikanischen Schüler 2015, den privaten E-Mail-Account des damaligen CIA-Direktors Brennan zu öffnen und drei Tage lang darauf zuzugreifen.[1][2]

Beim automatisierten Social Engineering, auch Scareware genannt, kommen spezielle Schadprogramme zum Einsatz, die den Nutzer verängstigen und so zu bestimmten Handlungen bewegen sollen.[3]

Weitere mögliche Formen

[Bearbeiten | Quelltext bearbeiten]

Eine bekannte Variante des Social Engineering ist das Phishing. Bei dieser unpersönlichen Variante werden fingierte E-Mails mit vertrauenserweckender Aufmachung an die potentiellen Opfer versendet. Inhalt dieser Nachrichten kann zum Beispiel sein, dass ein bestimmter Dienst, den man nutzt, eine neue URL hat und man sich auf dieser von nun an einloggen soll, wenn man ihn in Anspruch nehmen will. Bei dieser fingierten Seite handelt es sich, von Layout und Aufmachung her, um eine Kopie der originalen Webseite des Serviceanbieters. Dies soll dazu beitragen, das Opfer in Sicherheit zu wiegen. Fällt man darauf herein, so gelangen Kriminelle in den Besitz des Loginnamens und -passworts. Eine weitere Möglichkeit besteht darin, dass das Opfer von einem vermeintlichen Administrator dazu aufgefordert wird, die Logindaten als Antwort zurückzusenden, da angeblich technische Probleme vorliegen. Das Grundmuster ist ähnlich dem fingierten Telefonanruf, denn auch hier gibt sich der Social Engineer in der Regel als technischer Mitarbeiter aus, der zur Datenüberprüfung oder -wiederherstellung die Geheiminformation benötigt. Anders als dort verfügt der Angreifer hier meist über nicht viel mehr als die E-Mail-Adresse des Empfängers, was die Attacke weniger persönlich und damit auch weniger wirkungsvoll macht.

Effizienter ist das Spear-Phishing (abgeleitet von der englischen Übersetzung des Begriffs Speer), worunter ein gezielter Angriff zu verstehen ist. Hierbei beschafft sich der Angreifer z. B. über die Studentenvertretung einer Hochschule die Mailadressen der dort eingeschriebenen Studenten, um an diese gezielt eine Phishing-Mail einer lokal ansässigen Bank oder Sparkasse zu übersenden. Die „Trefferquote“ bei dieser Art von Phishing-Attacken ist höher als bei normalen Angriffen, da die Wahrscheinlichkeit, dass ein Student seine Bankverbindung bei diesem Institut unterhält, sehr groß ist.

Dumpster Diving

[Bearbeiten | Quelltext bearbeiten]

Hierbei wird der Müll des Opfers durchwühlt und nach Hinweisen und Anhaltspunkten über das soziale Umfeld gesucht. Diese können dann in einem darauf folgenden Anruf dazu verwendet werden, um das Vertrauen des Opfers zu erschleichen.

Die Sicherheitsfirma Kaspersky Lab deckte auf, dass eine unbekannte Hackergruppe seit 2001 rund 500 Firmen mit USB Drops angegriffen hatte. Dabei erhielten zufällige Mitarbeiter infizierte USB-Sticks, deren Verwendung ihren PC infizierte und den Hackern Zugriff auf das interne Netzwerk der Firma gewährte.[4] Eine Möglichkeit für Angreifer ist es, die infizierten USB-Sticks vor dem Firmengelände als Werbegeschenk zu verteilen.[5]

Die Abwehr von Social Engineering ist nicht einfach zu bewerkstelligen, da der Angreifer im Grunde positive menschliche Eigenschaften ausnutzt: Den Wunsch etwa, in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren. Generelles Misstrauen zu schüren, würde auch die Effektivität und die vertrauensvolle Zusammenarbeit in Organisationen negativ beeinflussen. Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefert deshalb im konkreten Fall das Opfer selbst, indem es Identität und Berechtigung eines Ansprechenden zweifellos sicherstellt, bevor es weitere Handlungen vornimmt. Bereits die Rückfrage nach Name und Telefonnummer des Anrufers oder dem Befinden eines nicht existierenden Kollegen kann schlecht informierte Angreifer enttarnen. Höflich um Geduld zu bitten, wenn eine heikle Anfrage auch noch so dringend vorgetragen wird, sollte deshalb gezielt trainiert werden. Auch scheinbar geringfügige und nutzlose Informationen sollten Unbekannten nicht offengelegt werden, denn sie könnten in folgenden Kontaktaufnahmen zum Aushorchen anderer missbraucht werden oder zusammen mit vielen anderen für sich genommen nutzlosen Angaben zum Abgrenzen eines größeren Sachverhalts dienen. Wichtig ist eine schnelle Warnung aller potenziellen weiteren Opfer; erste Ansprechpartner sind die Sicherheitsabteilung des Unternehmens, die Kontaktadresse des E-Mail-Providers und Mitmenschen und Institutionen, deren Angaben zur Vorspiegelung falscher Tatsachen missbraucht wurden. Folgende Punkte sollten unbedingt beachtet werden:

  • Ist die Identität des Absenders einer E-Mail nicht sicher, sollte man stets misstrauisch sein.
  • Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können.
  • Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder finanzielle Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint.
  • Keine Links aus E-Mails verwenden, die persönliche Daten als Eingabe verlangen. Stattdessen die URL selbst im Browser eingeben.
  • Bei Unklarheit über die Echtheit des Absenders diesen nochmals telefonisch kontaktieren, um die Authentizität der E-Mail zu überprüfen.

Der US-Sicherheitsspezialist Bruce Schneier zweifelt angesichts der Komplexität und der möglichen Nebenwirkungen von präventiven Maßnahmen gegen Social Engineering sogar generell an deren Wert und schlägt stattdessen Strategien vor, die auf Schadensbegrenzung und schnelles Recovery bauen.[6]

Schulungen der Mitarbeiter sind zwar notwendig, aber nur begrenzt hilfreich, wie Studien an der US-Militärakademie West Point gezeigt haben.[7] Im Vorfeld können sogenannte Social-Engineering-Penetrationstests durchgeführt werden.

Bekannte Social Engineers

[Bearbeiten | Quelltext bearbeiten]

Öffentlich bekannt wurde die Methode vor allem durch den Hacker Kevin Mitnick, der durch seine Einbrüche in fremde Computer eine der meistgesuchten Personen der Vereinigten Staaten war. Mitnick selbst meinte, Social Engineering sei die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlage rein technische Ansätze in Sachen Geschwindigkeit um Längen.

Bekannt wurde 2010 der US-IT-Experte Thomas Ryan mit seiner Kunstfigur Robin Sage. Die virtuelle Internetschönheit stellte über soziale Netzwerke Kontakte zu Militärs, Industriellen und Politikern her und entlockte ihnen vertrauliche Informationen. Ryan ging nach einem Monat mit den Ergebnissen des Experiments an die Öffentlichkeit, um vor allzu großer Vertrauensseligkeit in sozialen Netzwerken zu warnen.[8]

Der für die Computersicherheit tätige Hacker Archangel zeigte in der Vergangenheit, dass Social Engineering nicht nur bei der Offenlegung von Passwörtern wirksam ist, sondern auch bei der illegalen Beschaffung von Pizzen, Flugtickets und sogar Autos funktioniert.

Weitere bekannte Social Engineers sind der Scheckbetrüger Frank Abagnale, Miguel Peñalver, David „Race“ Bannon, der sich als Interpol-Agent ausgab, der Grundstücksbetrüger Peter Foster, der Hochstapler Steven Jay Russell und der Hochstapler Gert Postel, der mit einem weiteren Hochstapler, Reiner Pfeiffer, eine Rolle in der Barschel-Affäre gespielt hat.

  • Uwe Baumann, Klaus Schimmer, Andreas Fendel: SAP Pocketseminar. „Faktor Mensch – Die Kunst des Hackens oder warum Firewalls nichts nützen“. SAP 2005, Fibel (Memento vom 9. August 2012 im Internet Archive) (PDF; 363 kB).
  • Michael Lardschneider: Social Engineering. Eine ungewöhnliche aber höchst effiziente Security Awareness Maßnahme. In: Datenschutz und Datensicherheit. DuD. 9, 2008 (ISSN 1614-0702 print), S. 574–578.
  • Kevin D. Mitnick, William L. Simon: Die Kunst der Täuschung. Risikofaktor Mensch. (Nachdruck der 1. Auflage). mitp, Heidelberg 2006, ISBN 3-8266-1569-7 (Originalausgabe: The Art of Deception. Controlling the Human Element of Security. Wiley, Indianapolis IN 2002, ISBN 0-471-23712-4 (englisch)).
  • Kevin D. Mitnick, William L. Simon: Die Kunst des Einbruchs. Risikofaktor IT. mitp, Heidelberg 2006, ISBN 3-8266-1622-7.
  • Klaus Schimmer: Wenn der Hacker zweimal fragt! Wie bereite ich meine Mitarbeiter auf Social Engineering Angriffe vor? In: Datenschutz und Datensicherheit. DuD. 9, 2008, S. 569–573.
  • Bettina Weßelmann: Maßnahmen gegen Social Engineering: Training muss Awareness-Maßnahmen ergänzen. In: Datenschutz und Datensicherheit. DuD. 9, 2008, S. 601–604.
  • Stefan Schumacher: Die Psychologischen Grundlagen des Social-Engineering. In: Proceedings. GUUG Frühjahrsfachgespräches 2009, 10.–13. März 2009, Hochschule Karlsruhe. GUUG, München 2009, ISBN 978-3-86541-322-2, S. 77–98 (UpTimes 1, 2009).
  • Stefan Schumacher: Psychologische Grundlagen des Social Engineering. In: Die Datenschleuder. 94, 2010, ISSN 0930-1054, S. 52–59, online (PDF; 8,9 MB).
  • Christopher Hadnagy: Social Engineering – The Art of Human Hacking. Wiley, Indianapolis IN 2010, ISBN 978-0-470-63953-5 (englisch)

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Neue Zürcher Zeitung: Teenager will privates E-Mail-Konto von CIA-Chef geknackt haben vom 20. Oktober 2015, abgerufen am 20. Oktober 2015
  2. Wired: Teen Who Hacked CIA Director’s Email Tells How He Did It vom 19. Oktober 2015, abgerufen am 20. Oktober 2015.
    („Wie der Datendieb verlauten ließ, will er die Zugangsdaten zu Brennans E-Mail-Konto mittels Social Engineering erhalten haben: Er hat offenbar Mitarbeiter von Verizon dazu gebracht, Daten von Brennan herauszugeben.“)
  3. Social Engineering: Sicherheitslücke Mensch. 1und1.de/digitalguide, abgerufen am 14. September 2017.
  4. Mirjam Hauck: Schwachstelle Mensch. In: sueddeutsche.de. 17. Februar 2015, ISSN 0174-4917 (sueddeutsche.de [abgerufen am 15. November 2017]).
  5. Mirjam Hauck: Schwachstelle Mensch. In: sueddeutsche.de. 17. Februar 2015, ISSN 0174-4917 (sueddeutsche.de [abgerufen am 15. November 2017]).
  6. Johannes Wiele: Nachsorge ist besser als Vorsicht. Bruce Schneier im Gespräch mit Wissenschaftlern. In: LANline 3/2008 (ISSN 0942-4172).
  7. Technology Review: Die neuen Waffen der Phisher. heise.de
  8. Ein kurzes, heißes Leben. In: sueddeutsche.de, 2. August 2010