Social Engineering (Sicherheit)

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Social Engineering [ˈsəʊʃl̩ ˌɛndʒɪˈnɪəɹɪŋ] (engl. eigentlich „angewandte Sozialwissenschaft“, auch „soziale Manipulation“) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhalten hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking ['hækɪŋ] (vgl. Hacker).

Geschichte[Bearbeiten]

Eine frühe Form des Social Engineering wurde in den 1980er Jahren mit Phreaking praktiziert. Phreaker riefen unter anderem bei Telefongesellschaften an, gaben sich als Systemadministrator aus und baten um neue Passwörter, mit denen sie schließlich kostenlose Modemverbindungen herstellten.

Grundmuster[Bearbeiten]

Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen, sich als Insider des Unternehmens auszugeben. Zusätzlich verwirrt er sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, bei vom Opfer unterlassener Kooperation dessen Vorgesetzten stören zu müssen. Unter Umständen hat der Social Engineer bereits im Vorfeld Informationen gesammelt, dass ein bestimmter Mitarbeiter sogar wirklich technische Hilfe angefordert hat und bereits tatsächlich einen derartigen Anruf erwartet.

Weitere mögliche Formen[Bearbeiten]

Phishing[Bearbeiten]

Hauptartikel: Phishing

Eine bekannte und unpersönliche Variante des Social Engineering ist das Phishing. Bei dieser unpersönlichen Variante werden fingierte E-Mails mit vertrauenserweckender Aufmachung an die potentiellen Opfer versendet. Inhalt dieser Nachrichten kann zum Beispiel sein, dass ein bestimmter Dienst, den man nutzt, eine neue URL hat und man sich auf dieser von nun an einloggen soll, wenn man ihn in Anspruch nehmen will. Bei dieser fingierten Seite handelt es sich, von Layout und Aufmachung her, um eine Kopie der originalen Webseite des Serviceanbieters. Dies soll dazu beitragen, das Opfer in Sicherheit zu wiegen. Fällt man darauf herein, so gelangen Kriminelle in den Besitz des Loginnamens und -passworts. Eine weitere Möglichkeit besteht darin, dass das Opfer von einem vermeintlichen Administrator dazu aufgefordert wird, die Logindaten als Antwort zurückzusenden, da angeblich technische Probleme vorliegen. Das Grundmuster ist ähnlich dem fingierten Telefonanruf, denn auch hier gibt sich der Social Engineer in der Regel als technischer Mitarbeiter aus, der zur Datenüberprüfung oder -wiederherstellung die Geheiminformation benötigt. Anders als dort verfügt der Angreifer hier meist über nicht viel mehr als die E-Mail-Adresse des Empfängers, was die Attacke weniger persönlich und damit auch weniger wirkungsvoll macht.

Dumpster Diving[Bearbeiten]

Hierbei wird der Müll des Opfers durchwühlt und nach Hinweisen und Anhaltspunkten über das soziale Umfeld gesucht. Diese können dann in einem darauf folgenden Anruf dazu verwendet werden, um das Vertrauen des Opfers zu erschleichen.

Abwehr[Bearbeiten]

Die Abwehr von Social Engineering ist nicht einfach zu bewerkstelligen, da der Angreifer im Grunde positive menschliche Eigenschaften ausnutzt: Den Wunsch etwa, in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren. Generelles Misstrauen zu schüren, würde auch die Effektivität und die vertrauensvolle Zusammenarbeit in Organisationen negativ beeinflussen. Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefert deshalb im konkreten Fall das Opfer selbst, indem es Identität und Berechtigung eines Ansprechenden zweifellos sicherstellt, bevor es weitere Handlungen vornimmt. Bereits die Rückfrage nach Name und Telefonnummer des Anrufers oder dem Befinden eines nicht existierenden Kollegen kann schlecht informierte Angreifer enttarnen. Höflich um Geduld zu bitten, wenn eine heikle Anfrage auch noch so dringend vorgetragen wird, sollte deshalb gezielt trainiert werden. Auch scheinbar geringfügige und nutzlose Informationen sollten Unbekannten nicht offengelegt werden, denn sie könnten in folgenden Kontaktaufnahmen zum Aushorchen anderer missbraucht werden oder zusammen mit vielen anderen für sich genommen nutzlosen Angaben zum Abgrenzen eines größeren Sachverhalts dienen. Wichtig ist eine schnelle Warnung aller potenziellen weiteren Opfer; erste Ansprechpartner sind die Sicherheitsabteilung des Unternehmens, die Kontaktadresse des E-Mail-Providers und Mitmenschen und Institutionen, deren Angaben zur Vorspiegelung falscher Tatsachen missbraucht wurden. Folgende Punkte sollten unbedingt beachtet werden:

  • Ist die Identität des Absenders einer E-Mail nicht sicher, sollte man stets misstrauisch sein.
  • Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können.
  • Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder finanzielle Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint.
  • Keine Links aus E-Mails verwenden, die persönliche Daten als Eingabe verlangen. Stattdessen die URL selbst im Browser eingeben.
  • Bei Unklarheit über die Echtheit des Absenders diesen nochmals telefonisch kontaktieren, um die Authentizität der E-Mail zu überprüfen.

Der US-Sicherheitsspezialist Bruce Schneier zweifelt angesichts der Komplexität und der möglichen Nebenwirkungen von präventiven Maßnahmen gegen Social Engineering sogar generell an deren Wert und schlägt stattdessen Strategien vor, die auf Schadensbegrenzung und schnelles Recovery bauen.[1]

Schulungen der Mitarbeiter sind zwar notwendig, aber nur begrenzt hilfreich, wie Studien an der US-Militärakademie West Point gezeigt haben.[2] Im Vorfeld können sogenannte Social Engineering Penetrationstests durchgeführt werden.

Bekannte Social Engineers[Bearbeiten]

Öffentlich bekannt wurde die Methode vor allem durch den Hacker Kevin Mitnick, der durch seine Einbrüche in fremde Computer eine der meistgesuchten Personen der Vereinigten Staaten war. Mitnick selbst meinte, Social Engineering sei die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlage rein technische Ansätze in Sachen Geschwindigkeit um Längen.

Bekannt wurde 2010 der US-IT-Experte Thomas Ryan mit seiner Kunstfigur Robin Sage. Die virtuelle Internetschönheit stellte über soziale Netzwerke Kontakte zu Militärs, Industriellen und Politikern her und entlockte ihnen vertrauliche Informationen. Ryan ging nach einem Monat mit den Ergebnissen des Experiments an die Öffentlichkeit, um vor allzu großer Vertrauensseligkeit in sozialen Netzwerken zu warnen.[3]

Der für die Computersicherheit tätige Hacker Archangel zeigte in der Vergangenheit, dass Social Engineering nicht nur bei der Offenlegung von Passwörtern wirksam ist, sondern auch bei der illegalen Beschaffung von Pizzen, Flugtickets und sogar Autos funktioniert.

Weitere bekannte Social Engineers sind der Scheckbetrüger Frank Abagnale, Miguel Peñalver, David „Race“ Bannon, der sich als Interpol-Agent ausgab, der Grundstücksbetrüger Peter Foster, der Hochstapler Steven Jay Russell und der Hochstapler Gert Postel, der mit einem weiteren Hochstapler, Reiner Pfeiffer, eine Rolle in der Barschel-Affäre gespielt hat.

Literatur[Bearbeiten]

  • Uwe Baumann, Klaus Schimmer, Andreas Fendel: SAP Pocketseminar. „Faktor Mensch – Die Kunst des Hackens oder warum Firewalls nichts nützen“. SAP 2005, Fibel (PDF; 363 kB).
  • Michael Lardschneider: Social Engineering. Eine ungewöhnliche aber höchst effiziente Security Awareness Maßnahme. In: Datenschutz und Datensicherheit. DuD. 9, 2008 (ISSN 1614-0702 print), S. 574–578.
  • Kevin D. Mitnick, William L. Simon: Die Kunst der Täuschung. Risikofaktor Mensch. (Nachdruck der 1. Auflage). mitp, Heidelberg 2006, ISBN 3-8266-1569-7 (Originalausgabe: The Art of Deception. Controlling the Human Element of Security. Wiley, Indianapolis IN 2002, ISBN 0-471-23712-4 (englisch)).
  • Kevin D. Mitnick, William L. Simon: Die Kunst des Einbruchs. Risikofaktor IT. mitp, Heidelberg 2006, ISBN 3-8266-1622-7.
  • Klaus Schimmer: Wenn der Hacker zweimal fragt! Wie bereite ich meine Mitarbeiter auf Social Engineering Angriffe vor? In: Datenschutz und Datensicherheit. DuD. 9, 2008, S. 569–573.
  • Bettina Weßelmann: Maßnahmen gegen Social Engineering: Training muss Awareness-Maßnahmen ergänzen. In: Datenschutz und Datensicherheit. DuD. 9, 2008, S. 601–604.
  • Stefan Schumacher: Die Psychologischen Grundlagen des Social-Engineering. In: Proceedings. GUUG Frühjahrsfachgespräches 2009, 10.–13. März 2009, Hochschule Karlsruhe. GUUG, München 2009, ISBN 978-3-86541-322-2, S. 77–98 (UpTimes 1, 2009).
  • Stefan Schumacher: Psychologische Grundlagen des Social Engineering. In: Die Datenschleuder. 94, 2010, ISSN 0930-1054, S. 52–59, online (PDF; 8.93 MB).
  • Christopher Hadnagy: Social Engineering – The Art of Human Hacking. Wiley, Indianapolis IN 2010, ISBN 978-0-470-63953-5 (englisch)

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. Johannes Wiele: Nachsorge ist besser als Vorsicht. Bruce Schneier im Gespräch mit Wissenschaftlern. In: LANline 3/2008 (ISSN 0942-4172).
  2. Technology Review: Die neuen Waffen der Phisher. heise.de
  3. Ein kurzes, heißes Leben. In: sueddeutsche.de, 2. August 2010