Awareness schaffen - 17. Dezember 2015

Trau, schau, wem!

von Thilo Märtin und Severin Maier

Für viele Unter­nehmen sind Social En­gi­nee­ring und Visual Hacking er­staun­licher­weise immer noch un­be­kannte An­griffs­methoden von außen.

Wer sich mit dem Schutz von Daten seines Unternehmens und seiner Kunden befasst, der kommt um ein Thema nicht herum: Hacking. Der Angriff auf das eigene IT-System oder das von Drittanbietern genutzte sollte für jeden betrieblichen oder externen Datenschützer ein Thema sein. Und die Abwehr derartiger Angriffe sollte auf der To-do-Liste ganz weit oben stehen. Das gängige Bild des Hackings dürfte immer noch ein technisches sein: Mittels Viren, Rootkits, Trojanern und anderer Malware versucht ein Angreifer, in das IT-System zu gelangen. Doch für erfolgreiche Angriffe braucht es nicht immer Hightech beziehungsweise Technik überhaupt. Zwei besondere Formen des Hackings sind Social Engineering und Visual Hacking. Beide An­griffs­metho­den sind im Verhältnis zu ihrem Vorkommen erstaunlich unbekannt. Social Engineering ist die von Angreifern am zweithäufigsten angewandte Methode, um an Unternehmensdaten zu gelangen – 19 Prozent der Angriffe gehen auf das Konto von Social Engineers, wie eine Studie des Verbands BITKOM zeigt. Häufiger ist nur der Diebstahl von IT- oder Kommunikationsgeräten. Das ameri­ka­nische Ponemon Institute wiederum führte einen Feldversuch über Visual Hacking durch. Ergebnis: Mitarbeitern des Instituts, die sich als vorübergehende oder externe Angestellte der untersuchten Unternehmen ausgaben, gelang es in 38 von 43 Fällen, nur durch Einsehen von nicht blicksicheren Daten sensible Informationen zu entwenden. 50 Prozent dieser „Visual Hacks“ waren in weniger als 15 Minuten erfolgreich.

Social Engineering

Was ist nun Social Engineering? Die Definitionen hierüber gehen auseinander. Dennoch kann man sich auf eine gemeinsame Basis einigen. Social Engineering ist eine Angriffsmethode, mit der ein Angreifer mittels Manipulation von Menschen versucht, Zugang zu bestimmten In­for­ma­tions­quellen zu erhalten. Für die Manipulation werden gezielt elementare menschliche Eigenschaften beziehungsweise Emotionen genutzt: Autoritätshörigkeit, Stolz auf die eigene Arbeit, Tendenz zur unbürokratischen Hilfe in Notlagen, Vertrauen oder Angst. Diese Liste lässt sich, wahr­schein­lich beliebig lange, fortsetzen. Sie verdeutlicht aber schon jetzt ein wichtiges Detail des Social Engineerings: Es handelt sich um eine nicht technische Angriffsmethode. Social Engineers „hacken“ primär Menschen und nicht Computer. Dennoch können zur Vorbereitung oder Unterstützung zusätzlich technische Mittel zum Einsatz kommen, wie etwa kompromittierte Mails. In der Regel bilden aber öffentlich zugängliche Informationen die Basis für einen Angriff mittels Social Engineering.

Vorbereitung und Hilfsmittel

Die Vorbereitung ist für einen Social Engineer von enormer Bedeutung. Je mehr Informationen er hat, desto besser kann er sich auf seinen Angriff vorbereiten. Die Vorbereitungen können simpel oder ausgefeilt sein und mit oder ohne (technische) Hilfsmittel ablaufen. Die Basis bilden oftmals öffentlich zugängliche Informationen: Suchmaschinen, Branchenverzeichnisse, Nachrichten, Telefonbücher oder soziale Netzwerke usw. Unterstützt wird die Informationssammlung von profanen und ausgereiften Methoden. Das sogenannte Dumpster Diving (zu Deutsch: Fischen nach Informationen im Müll) fördert häufig brauchbare Informationen zutage – nicht ord­nungs­gemäß vernichtete Unterlagen, Visitenkarten, Kalender oder Scans. Selbst geschredderte Blätter können wieder zusammengesetzt werden, wenn der Schredder sie nur in Streifen schneidet.

Visual Hacking

Visual Hacking ist ebenfalls eine prinzipiell nicht technische Angriffsmethode. Bei ihr handelt es sich um wirklich simple Methoden, die aber erstaunlich erfolgreich und verbreitet sind. Visual Hacking dürfte wohl die Angriffsmethode mit dem besten Kosten-Nutzen-Verhältnis für den Angreifer sein. Aber warum? Und was ist eigentlich Visual Hacking? Gemeint ist das Erlangen von Informationen durch das Sehen von Dingen, die nicht für die Augen des Angreifers bestimmt sind. Folglich braucht der Angreifer kein technisches Know-how oder keine Geräte. Visual Hacks lassen sich dadurch kostenneutral durchführen. Grundsätzlich sind zahllose Möglichkeiten und Situationen denkbar, in denen Visual Hacks vorkommen können. Die zwei folgenden dürften vermutlich am häufigsten vorkommen:

  1. Shoulder Surfing: Der Angreifer positioniert sich neben oder hinter der Zielperson (beispielsweise am Bahnhof oder im Zug) und sieht den Bildschirm des Smartphones, Tablets, Laptops oder Ähnliches ein.
  2. Frei zugängliche Arbeitsplätze: Der Angreifer betritt frei zugängliche Büros und sammelt Informationen, etwa von nicht blicksicheren Bildschirmen, am Arbeitsplatz notierten Passwörtern, nicht verschlossenen Aktenschränken und herumliegenden Dokumenten.

Ausblick

Social Engineering und Visual Hacking sind auch in Kombination denkbar. Beide Methoden sind Lowtech- oder Nontech-Angriffe, einfach und effektiv. Die Unternehmen können sich aber auch einfach und effektiv dagegen schützen. Zum einen sollten Schulungen der Mitarbeiter und klare Richtlinien zum Einsatz kommen. Es ist nötig, ein Bewusstsein für diese beiden Angriffsmethoden zu schaffen beziehungsweise die Mitarbeiter im Unternehmen zu sensibilisieren. Da die Basis eines Social-Engineering-Angriffs oftmals öffentliche Informationen sind, sollte zum anderen geprüft werden, welche Informationen öffentlich zugänglich sind und ob dies unbedingt erforderlich ist. Technischen Schutz – vor allem gegen Visual Hacking – bieten Zutrittskontrollen, verschlüsselte Datenträger, versperrte Aktenschränke und Sichtschutzfolien. Wer sichergehen will, lässt sein Unternehmen (regelmäßig) unter realen Bedingungen testen. Lebensmittel-Discounter führen auch regelmäßig Probe-Ladendiebstähle durch, um das eigene Personal zu testen. Bereits ein einmaliger Testangriff durch einen Social Engineer oder einen Visual Hacker wird Schwachstellen und die Anwendung von Richtlinien aufzeigen und das Unternehmen sensibilisieren.

Mehr zum Thema

MEHR DAZU

DATEV Blog: Sicherheitslücke Mensch

Mittlerweile ver­suchen An­greifer auch durch zwi­schen­mensch­liche Mani­pu­la­tion an sen­sible Unter­neh­mens­daten zu ge­langen.

www.datev-blog.de

Sicherheitsleitfaden:

Verhaltensregeln zum Thema Social En­gi­nee­ring
Eine In­for­ma­tions­bro­schüre von DATEV und Deutsch­land sicher im Netz e.V. zur Schu­lung und Sen­si­bi­li­sie­rung der Mit­arbeiter

Zu den Autoren

Thilo Märtin

Rechtsanwalt und Partner von MKM+Partner Rechtsanwälte PartmbB, Nürnberg. Er ist spezialisiert auf Fragen des IT-Rechts, des Datenschutzes sowie des Gewerblichen Rechtsschutzes.

 Weitere Artikel des Autors
SM
Severin Maier

Jura- und Politikstudent. Er arbeitet in der Rechtsanwaltsgesellschaft Thilo Märtin & Collegen, Nürnberg (www.maertin-collegen.com).

 Weitere Artikel des Autors

Meistgelesene Artikel

Portrait von Marcus Ferchland.
Automatisierung und KI-Copilot

„Wir haben gar keine andere Wahl“

Steuerberater Marcus Ferchland erklärt im Interview, wie er seine Kanzlei über die vergangenen Jahre Schritt für Schritt digitalisiert hat.
100-Euro-Scheine, die zu einem Haus mit Dach gefaltet sind.
Immobilienbewertung

Omas Häuschen im Visier des Fiskus

Die Werte von Immobilien im Rahmen der Erbschafts- und Schenkungsteuer haben sich erhöht. Ein Übersteigen der Freibeträge droht.
49-Euro-Ticket

Job-Ticket statt Lohnerhöhung

Wenn Unternehmen ihren Beschäftigten das Deutschlandticket als Jobticket gewähren, sind in der Lohnabrechnung einige Details zu beachten.

Aktuelle Meldungen im Fokus

Produkte & Services 10.01.2024

Komplett digital im Rechnungswesen

Steuern 22.12.2023

Eilmeldung: Quasi-Fristverlängerung für die Offenlegung der Jahresabschlüsse 2022 verkündet!