Social Engineering (Sicherheit)

Eine frühe Form des Social Engineering wurde in den 1980er Jahren mit Phreaking praktiziert. Phreaker riefen unter anderem bei Telefongesellschaften an, gaben sich als Systemadministrator aus und baten um neue Passwörter, mit denen sie schließlich kostenlose Modemverbindungen herstellten.

Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen gescheiterten Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen. Der Angreifer verwirrt sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, den Vorgesetzten stören zu müssen. Unter Umständen hat der Mitarbeiter sogar tatsächlich technische Hilfe angefordert und erwartet bereits einen derartigen Anruf.

Eine bekannte und unpersönliche Variante des Social Engineering ist das Phishing. Bei dieser unpersönlichen Variante werden fingierte E-Mail mit vertrauenserweckender Aufmachung an die potentiellen Opfer versendet. Inhalt dieser Nachrichten kann zum Beispiel sein, dass ein bestimmter Dienst, den man nutzt, eine neue URL hat und man sich auf dieser von nun an einloggen soll, wenn man ihn in Anspruch nehmen will. Bei dieser fingierten Seite handelt es sich um eine, von Layout und Aufmachung her, Kopie der originalen Webseite des Serviceanbieters. Dies soll dazu beitragen, das Opfer in Sicherheit zu wiegen. Fällt man darauf herein, so gelangen Kriminelle in den Besitz des Loginnamens und -passworts. Eine weitere Möglichkeit besteht darin, dass das Opfer von einem vermeintlichen Administrator dazu aufgefordert wird, die Logindaten als Antwort zurückzusenden, da angeblich technische Probleme vorliegen. Das Grundmuster ist ähnlich dem fingierten Telefonanruf, denn auch hier gibt sich der Social Engineer in der Regel als technischer Mitarbeiter aus, der zur Datenüberprüfung oder -wiederherstellung die Geheiminformation benötigt. Anders als dort verfügt der Angreifer hier meist über nicht viel mehr als die E-Mail-Adresse des Empfängers, was die Attacke weniger persönlich und damit auch weniger wirkungsvoll macht.

Anders als beim normalen Phishing richtet sich ein solcher Angriff gezielt auf eine Person oder eine Gruppe, die dem Angreifer lohnend erscheint. Die Nachrichten werden dabei, im Gegensatz zum normalen Phishing, wo der Text eher allgemein ist, möglichst an das Opfer angepasst.

Hierbei wird der Müll des Opfers durchwühlt und nach Hinweisen und Anhaltspunkten über das soziale Umfeld gesucht. Diese können dann in einem darauf folgenden Anruf dazu verwendet werden, um das Vertrauen des Opfers zu erschleichen.

Die Abwehr von Social Engineering ist nicht einfach zu bewerkstelligen, da der Angreifer im Grunde positive menschliche Eigenschaften ausnutzt: Den Wunsch etwa, in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren. Generelles Misstrauen zu schüren, würde auch die Effektivität und die vertrauensvolle Zusammenarbeit in Organisationen negativ beeinflussen. Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefert deshalb im konkreten Fall das Opfer selbst, indem es Identität und Berechtigung eines Ansprechenden zweifellos sicherstellt, bevor es weitere Handlungen vornimmt. Bereits die Rückfrage nach Name und Telefonnummer des Anrufers oder dem Befinden eines nicht existierenden Kollegen kann schlecht informierte Angreifer enttarnen. Höflich um Geduld zu bitten, wenn eine heikle Anfrage auch noch so dringend vorgetragen wird, sollte deshalb gezielt trainiert werden. Auch scheinbar geringfügige und nutzlose Informationen sollten Unbekannten nicht offen gelegt werden, denn sie könnten in folgenden Kontaktaufnahmen zum Aushorchen anderer missbraucht werden oder zusammen mit vielen anderen für sich genommen nutzlosen Angaben zum Abgrenzen eines größeren Sachverhalts dienen. Wichtig ist eine schnelle Warnung aller potenziellen weiteren Opfer; erste Ansprechpartner sind die Sicherheitsabteilung des Unternehmens, die Kontaktadresse des E-Mail-Providers und Mitmenschen und Institutionen, deren Angaben zur Vorspiegelung falscher Tatsachen missbraucht wurden. Folgende Punkte sollten unbedingt beachtet werden:

• Ist die Identität des Absenders einer E-Mail nicht sicher, sollte man stets misstrauisch sein.
• Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können.
• Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder finanziellen Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint.
• Keine Links aus E-Mails verwenden, die persönliche Daten als Eingabe verlangen. Stattdessen die URL selbst im Browser eingeben.
• Bei Unklarheit über die Echtheit des Absenders diesen nochmals telefonisch kontaktieren, um die Authentizität der E-Mail zu überprüfen.

Der US-Sicherheitsspezialist Bruce Schneier zweifelt angesichts der Komplexität und der möglichen Nebenwirkungen von präventiven Maßnahmen gegen Social Engineering sogar generell an deren Wert und schlägt stattdessen Strategien vor, die auf Schadensbegrenzung und schnelles Recovery bauen.^[1]

Öffentlich bekannt wurde die Methode vor allem durch den Hacker Kevin Mitnick, der durch seine Einbrüche in fremde Computer eine der meistgesuchten Personen der Vereinigten Staaten war. Mitnick selbst meinte, Social Engineering sei die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlage rein technische Ansätze in Sachen Geschwindigkeit um Längen.

Bekannt wurde der US-IT-Experte Thomas Ryan mit seiner Kunstfigur Robin Sage. Die virtuelle Internetschönheit stellte über soziale Netzwerke Kontakte zu Militärs, Industriellen und Politikern her und entlockte ihnen vertrauliche Informationen. Ryan ging nach einem Monat mit den Ergebnissen des Experiments an die Öffentlichkeit, um vor allzu großer Vertrauensseligkeit in sozialen Netzwerken zu warnen.^[2]

Der für die Computersicherheit tätige Hacker Archangel zeigte in der Vergangenheit, dass Social Engineering nicht nur bei der Offenlegung von Passwörtern wirksam ist, sondern auch bei der illegalen Beschaffung von Pizzen, Flugtickets und sogar Autos funktioniert.

Weitere bekannte Social Engineers sind der Scheckbetrüger Frank Abagnale, Miguel Peñalver, David "Race" Bannon, der sich als Interpol-Agent ausgab, der Grundstücksbetrüger Peter Foster, der Hochstapler Steven Jay Russell und der Hochstapler Gert Postel, der mit einem weiteren Hochstapler, Reiner Pfeiffer, eine Rolle in der Barschel-Affäre gespielt hat.

• K. Mitnick, W. Simon: Die Kunst der Täuschung: Risikofaktor Mensch. ISBN 3-8266-0999-9, ISBN 3-8266-1569-7 (zweite Auflage).
• K. Mitnick, W. Simon: The Art of Deception: Controlling the Human Element of Security. engl. ISBN 0-471-23712-4.
• K. Mitnick, W. Simon: Die Kunst des Einbruchs. ISBN 3-8266-1622-7.
• K. Mitnick, W. Simon: The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders and Deceivers. ISBN 0-471-78266-1.
• [Uwe Baumann, Klaus Schimmer, Andreas Fendel] SAP Pocketseminar "Faktor Mensch - Die Kunst des Hackens oder warum Firewalls nichts nützen" Copyright SAP 2005, [1].
• Cialdini, Robert B.: Die Psychologie des Überzeugens, 5. Auflage, 2008, ISBN 978-3-456-84478-7. (eines der Grundlagenwerke zur menschlichen Beeinflussbarkeit und zu Beeinflussungstaktiken, die von Social Engineers eingesetzt werden, siehe auch Persuasive Kommunikation)
• Lardschneider, Michael: Social Engineering: Eine ungewöhnliche aber höchst effiziente Security Awareness Maßnahme. DuD 9/2008 (ISSN print 1614-0702), S. 574-578.
• Schimmer, Klaus: Wenn der Hacker zweimal fragt! Wie bereite ich meine Mitarbeiter auf Social Engineering Angriffe vor? DuD 9/2008 (ISSN print 1614-0702), S. 569-573.
• Weßelmann, Bettina: Maßnahmen gegen Social Engineering: Training muss Awareness-Maßnahmen ergänzen. DuD 9/2008 (ISSN print 1614-0702), S. 601-604.
• Schumacher, Stefan: Die Psychologischen Grundlagen des Social-Engineering Proceedings des GUUG Frühjahrsfachgespräches 2009 (ISBN 978-3-86541-322-2), S. 77-98.
• Schumacher, Stefan Admins Albtraum. Die psychologischen Grundlagen des Social Engineering, Teil 1 Informationsdienst IT-Grundschutz 7/2009 (ISSN 1862-4375), S. 11-13, Leseprobe des Artikels als PDF.
• Schumacher, Stefan Admins Albtraum. Die psychologischen Grundlagen des Social Engineering, Teil 2 Informationsdienst IT-Grundschutz 8/2009 (ISSN 1862-4375), S. 8-9, Leseprobe des Artikels als PDF.
• Schumacher, Stefan Admins Albtraum. Die psychologischen Grundlagen des Social Engineering, Teil 3 Informationsdienst IT-Grundschutz 10/2009 (ISSN 1862-4375), S. 21-22.

• sicherheitskultur.at
• computec.ch freie deutschsprachige Dokumente
• Sicherheitskultur im Unternehmen. Umfangreiche Artikelsammlung zur Informationssicherheit, Sicherheitskultur und Security Awareness E-Book als kostenfreier PDF-Download

• Social Engineering Zusammenfassung freies deutschsprachiges PDF Dokument über die Grundlagen von Social Engineering und Gegenmaßnahmen (91 kB)

• Wiele, Johannes: Social Engineering erkennen Artikel in der Fachzeitschrift LANline über Möglichkeiten, als Opfer eine Social-Engineering-Attacke zu erkennen

1. ↑ Wiele, Johannes: Nachsorge ist besser als Vorsicht. Bruce Schneier im Gespräch mit Wissenschaftlern. LANline 3/2008 (ISSN 0942-4172).
2. ↑ tagesschau.de, 2. August 2010