Social Engineering

Social Engineering

Das Phänomen des Social Engineering (soziale Ausspähung) lässt sich anhand eines Beispiels erläutern:

Praxisbeispiel

Auf der Internetpräsenz eines mittelständischen Unternehmens im Maschinenbau stellen sich die Ansprechpartner der Vertriebsbereiche vor. Alle Vertriebsmitarbeiter erhalten Anrufe eines angeblichen Headhunters. Die Gespräche sind freundlich, gelockt von einem lukrativen Job präsentieren sich die Vertriebsmitarbeiter im Plauderton. Sie berichten auch von ihre Leistungen in laufenden Projekten. Die Informationen sind teils schwammig, aber in der Summe ergeben sich Schnittmengen, mit Namen von Kunden und neu entwickelten innovativen Maschinen.
Anschließend meldet sich der Angreifer in der Telefonzentrale und fragt: “Wie war nochmals der Name des Entwicklers für das Produkt XY” Bereitwillig wird ihm Auskunft erteilt.
Auch der Kunde des Unternehmens erhält einen Anruf, es wird nach dem Ansprechpartner für das Projekt mit den innovativen Maschinen gefragt. Als angeblicher Logistikmitarbeiter wolle man noch die fälligen Liefertermine und fehlenden Teile abfragen. Beiläufig sind aber auch Details zum Einbau und den Vorbereitungen dazu bekommen.

Eigentlicher Angriff

Die Informationen reichen aus, um den eigentlichen Angriff zu starten. Der Social Ingineer ruft am Freitag Nachmittag den Entwickler an. Er gibt sich als Mitarbeiter beim Kunden aus,der noch auf die Auslieferung von Maschinenteilen warte. Er müsse jetzt über das Wochenende die Vorbereitung für den Einbau der Maschine treffen. Der eigentliche Ansprechpartner, Herr XY, habe vergessen, ihm die Dateien mit den Zeichnungen zu geben und jetzt sei er schon im Wochenende.
Per SMS habe er ausrichten lassen, er, der Anrufer, solle den Entwickler beim Hersteller anrufen, da man sonst keinen Weg sieht, die viele Tausend Euro Schaden abzuwenden, weil die Fremdfirma für den Einbau ein zweites Mal kommen müsse.
Die Mail für den Empfang der Dateien ähnelt der Original-Mailadresse bis auf einen Buchstaben, der Entwickler schöpft keinen Verdacht und übersendet die technische Zeichnung der neuesten Maschine, welche für Wettbewerber einen Millionenwert darstellt

Verbreitung des Social Engeneering

Social Engineering ist weit verbreitet: Neben Industriespionage benutzen Journalisten, Detektive, Anwälte und Behörden diesen Ansatz. Hilfreich ist Social Engineering auch, um diskreditierende Informationen zu beschaffen, wie es im amerikanischen Wahlkampf üblich ist. Jeder zehnte Social-Engineering-Angriff ist erfolgreich: Das ist eine erschreckend hohe Quote!

Maßnahmen zur Verhinderung von Angriffen durch Social Engineering

Informationen werden beim Social Engineering so lange gesammelt, bis sich daraus eine erfolgsversprechende Angriffsstrategie ableiten lässt. Demzufolge setzen Maßnahmen zur Verhinderung des Social-Engineering an diesen zwei Merkmalen an:

1. Informationen an Beteiligte dürfen nur nach Verifizierung der Nachricht herausgeben werden, z.B. mit der freundlichen Bitte, dass man den Ansprechpartner mit der bekannten Telefonnummer zurückruft, weil man noch im Gespräch ist. Werden verdächtige Wahrnehmungen gemacht, sind diese an eine übergeordnete Stelle zu melden.

2. Beim eigentlichen Angriff wird versucht, Personen so zu beeinflussen, dass diese Compliance- oder Verhaltensregeln umgehen und Handlungen für den Social Engineer ausführen. Die im Vorfeld gewonnenen Informationen werden verwendet, um menschliche Stärken und Schwächen auszunutzen. Der Bruch von Compliance-Regeln erfolgt häufig unter Autoritätsdruck oder kollegialer Sympathie. Wenn Mitarbeitern beim Verstoß gegen Compliance-Regeln ernsthafte Konsequenzen drohen, können diese dem Druck des Social Engineers besser standhalten.

Wer übliche Awareness Schulungen ergänzen möchte, kann ein Test in Auftrag geben. Ähnlich dem “ehtical hacking” testet ein offiziell beauftragter Social Engineer, um Sicherheitslücken am Faktor “Mensch” zu finden. Die Ergebnispräsentation hat durchschlagenden pädagogischen Wert.

Praxishinweise

• Social Engineering Vorfälle werden oft erst im Nachhinein entdeckt und sind z.T. schwer rekonstruierbar.

• Compliance-Regelungen können das Phänomen Social Engineering nicht ganzheitlich berücksichtigen. Es wird primär die eigentlich geschützte Information reguliert. Die zur Vorbereitung des Social Engineering Angriffs erforderlichen “sekundären” Informationen sind vielfach unreguliert.

• Praktisch anwendbares Awareness-Verhalten, wie z.B. Verifizierung von Nachrichten und Ansprechpartnern, oder Meldung von Verdachtsfällen an eine zentrale Stelle, werden in vielen Unternehmen nicht praktiziert.

• Zentrale Meldestellen für verdächtige Wahrnehmungen sind in vielen Unternehmen unbekannt, aber auch datenschutzrechtlich umstritten: Neben der Meldung von Anrufen wie im o.g. Beispiel oder dem Abhandenkommen von Zutrittsausweisen, müssen auch Einbrüche in private Pkw oder Wohnungen von Mitarbeitern gemeldet werden. Ebenso sind verdächtige Kontaktaufnahmen mit Mitarbeitern in und außerhalb des Unternehmens zu melden, um einen Social Engineering Angriff durch Kombination verschiedener Erkenntnisse frühzeitig zu erkennen.

• Technischen Maßnahmen wie IT-Sicherheit, Zutrittskontrolle und sonstiger Sicherheitstechnik wird zu Recht viel Aufmerksamkeit geschenkt. Im Vergleich zum Schadenpotential wird dem Faktor Mensch und dem Phänomen Social Engineering vielfach zu wenig Beachtung geschenkt. Ein Social Engineer sagt: Man braucht nichts stehlen, wenn man es auch geschenkt bekommen kann.