Mitarbeiter in Unternehmen müssen sensibilisiert sein, um den vielschichtigen Angriffsmethoden der Cyberkriminalität zu begegnen: Social Engineers gehen beispielsweise so geschickt vor wie sonst nur Geheimagenten in Spielfilmen. Mit deren Tricks sollte man jedoch vertraut sein.
Berichte über erfolgreiche Cyberattacken auf Unternehmen gehören inzwischen zum Alltag. Dabei wird immer häufiger der Faktor Mensch als Sicherheitslücke ausgenutzt – mit sogenannten Social-Engineering-Angriffen. Derartige Attacken sind in der Regel nicht sofort zu erkennen, speziell, wenn sich der Angreifer durch öffentlich zugängliche Informationen oder unternehmensinterne Informationen, die er durch eventuell zuvor ausgeführte Angriffe beziehungsweise ehemalige Unternehmenszugehörigkeit erlangt hatte, entsprechend vorbereitet. Um seinen Angriff durchzuführen, steht einem Social Engineer dann ein vielseitiges Repertoire an Methoden zur Verfügung.
Pretexting
Der bekannte Social Engineer Christopher Hadnagy, selber mit jahrelanger Erfahrung in der IT-Sicherheitsbranche, bezeichnet Pretexting (von englisch pretext – Scheingrund, Vorwand, Ausrede) treffend als das Schlüpfen in eine andere Haut. Um Pretexting glaubwürdig durchführen zu können, ist viel Vorbereitung notwendig. Es ist mehr als das bloße Verkleiden oder Lügen an der Pforte – auch wenn das als Pretexting betrachtet werden kann. Ein erfolgreicher Pretexter erzeugt quasi eine vollkommene Illusion für sein Opfer: Habitus, Kleidung, die Art des Sprechens und mitgeteilte Informationen schaffen ein glaubwürdiges, aber dennoch falsches und nur vorgespieltes Szenario. So macht der Angreifer beispielsweise ein Lokal aus, in dem viele Mitarbeiter des anvisierten Unternehmens mit Geschäftspartnern zu Mittag essen. Er isst selber über einen längeren Zeitraum dort zu Mittag und analysiert Dresscode und Umgangsweise der Angestellten. Zudem erfasst er relevante Gesprächsinhalte über aktuelle Projekte und deren Mitwirkende, wie etwa aufgetretene Probleme, beteiligte Firmen sowie die Namen der Mitarbeiter, anstehende Urlaube und Termine. Mit diesem Wissen kann er bei einem Anruf oder Eindringen in die Geschäftsräume seine Beteiligung an dem Projekt glaubhaft vorspielen. Hier ist auch die Macht einer Visitenkarte nicht zu unterschätzen. Aus einem nicht nachvollziehbaren Grund wird immer als wahr angenommen, was auf einer Visitenkarte steht.
Maßnahmen gegen das Pretexting
Pretexting stellt weniger eine Angriffsform dar, sondern ist vielmehr das Schaffen eines Szenarios, in dem der Angriff erfolgen soll. Hilfe bieten profane Mittel. Beim Schutz sensibler Informationen erfolgen idealerweise mehrere Stufen der Prüfung und zur Informationsfreigabe beziehungsweise für Zutritte werden feste Abläufe definiert. Dabei ist wichtig: Egal wie überzeugend ein Gegenüber selbst oder mit seiner Geschichte wirken mag, die Sicherheitsleitfäden sind strikt zu beachten; dann können viele Vorfälle verhindert werden. Benötigt man zur Informationsfreigabe zum Beispiel Passwörter oder Ausweisdokumente, erschwert das dem Pretexter den Angriff – denn er muss diese erst bekommen beziehungsweise fälschen. Menschen an entsprechenden Kontrollpunkten sollten sich nicht durch Emotionen oder vorgetäuschten Zeitdruck beeinflussen lassen. Es sollte definiert werden, welche Informationen von einer bestimmten Personengruppe wirklich benötigt werden und ob diese freizugeben sind. Sofern die Informationen, die es zu schützen gilt, für das Unternehmen wichtig sind, sollte man keinen Aufwand scheuen, derartige Situationen zu üben, um die verantwortlichen Mitarbeiter zu sensibilisieren. Ein Nachteil strikter Leitlinien ist, dass sie unflexibel sind. Bringt der Pretexter die Leitfäden in Erfahrung, kann er sich exakt auf die eintretenden Abläufe vorbereiten. Um diese in Erfahrung zu bringen, dient eine andere Methode des Social Engineering.
Elizitieren
Wenn man Reize auf einen Menschen wirken lässt, um bei ihm einbestimmtes Verhalten auszulösen – in der Regel das Mitteilen von Informationen – nennt man das Elizitieren (von englisch elicit – herauslocken, entlocken). Die amerikanische National Security Agency definiert Elizitieren als „subtile Extraktion von Informationen während einer offenbar normalen und harmlosen Unterhaltung“. Ein Social Engineer ist in der Lage, sein Gegenüber so zu beeinflussen, dass dieses von sich aus Informationen mitteilt. Um das zu erreichen, gibt es verschiedene Möglichkeiten. Zum Beispiel das Appellieren an das Ego der Zielperson, Bekunden von gemeinsamem Interesse oder absichtlich falsche Aussagen, die zu Gegenreaktionen provozieren. Dabei wählt der Angreifer beispielsweise eine Situation mit lockerer Atmosphäre, wie etwa eine Abendveranstaltung der lokalen Unternehmervereinigung, an der auch die Zielperson teilnimmt. Bei ein, zwei Cocktails an der Bar erwähnt der Angreifer die Vorteile und besondere Qualität einer bestimmten Datenbank oder eines Programms, die Zielperson stimmt zu (Schritt eins: gemeinsames Interesse). Anschließend behauptet der Angreifer, dass eine weitergehende Sicherung von Daten aber nicht möglich sei (Schritt zwei: absichtlich falsche Aussage). Die Zielperson widerspricht und klärt bereitwillig auf (Schritt drei: Elizitieren von Informationen). Durch die Kombination von Schritt eins und zwei erzeugt der Angreifer sogar das Gefühl, dass die Zielperson in dem Gebiet gemeinsamer Interessen kompetenter ist.
Maßnahmen gegen das Elizitieren
Auch hier können Leitfäden und fest definierte Abläufe helfen, speziell für Situationen außerhalb des Arbeitsplatzes, etwa auf Messen, Veranstaltungen, Fortbildungen und so weiter. Was darf gesagt werden? Welche Details dürfen erwähnt werden? Lassen die Leitfäden hier zu wenig Freiraum, wirkt aber fast jedes informelle Gespräch unnatürlich und steht der eigenen Informationsgewinnung im Weg. In jedem Fall sollte aber das Abwehren von Fragen besonders geübt werden. Dazu ist es nötig, diese als solche zu erkennen und dann mit diplomatischem Fingerspitzengefühl zu umgehen. Alternativ kann auch geradeheraus geäußert werden: „Es tut mir leid, aber über diese Angelegenheiten kann ich mich nicht so ausführlich äußern.“
Vorbereitung und Durchführung des Angriffs
Um sich gegen die oben geschilderten Angriffsmaßnahmen zu schützen, muss man natürlich auch wissen, wie ein gut vorbereiteter Social- Engineer-Angriff aufgebaut ist. Der Angreifer recherchiert zunächst in öffentlichen Quellen oder an zugänglichen Plätzen, um Informationen über sein Ziel zu ermitteln. Auf Xing findet er von Mitarbeitern die Unternehmenszugehörigkeit, die Dauer der Anstellung, den Namen und die Ausbildung sowie eventuell dessen Vorgesetzten heraus. Mittels der Google-Suche lässt sich unter Umständen dann die Durchwahl zum Vorzimmer herausfinden. So umgeht der Angreifer die Zentrale und kann behaupten, die Durchwahl bei früheren Kontakten erhalten zu haben. Damit schafft er zusätzlich Vertrauen. Facebook entnimmt er schließlich private Informationen des Ziels, zum Beispiel Hobbys oder Sportarten beziehungsweise Vorlieben. Die kann er nutzen, um Gemeinsamkeiten mit dem Ziel vorzutäuschen. Im Papiermüll findet sich gegebenenfalls er Lieferschein eines IT-Dienstleisters, der Hardware geliefert hat. Nun gibt sich der Angreifer am Telefon als eine bestimmte Person aus, zum Beispiel als Systemadministrator des IT-Dienstleisters. Da er im Internet die Unternehmensgröße recherchiert hat, weiß er, dass das Vorzimmer nicht alle externen Dienstleister kennen wird. Durch einen schon früher getätigten Anruf ist dem Angreifer bekannt, dass das Management für ein paar Tage nicht im Haus ist. Jetzt täuscht er vor, von dem externen IT-Dienstleister zu sein und von einem Manager den Auftrag bekommen zu haben, technische Probleme zu lösen. Um diese zu beheben, müsste er aber noch Einstellungen per Fernzugriff auf dem Computer des Managements anpassen. Die Zweifel des Vorzimmers räumt der Angreifer durch das Schüren von Angst aus dem Weg. Sofern er nicht per Fernzugriff arbeiten könne, würde das Management bei der Rückkehr kein funktionsfähiges System vorfinden und sich die Reparatur um einige Tage verzögern. Zudem bekäme er Probleme mit seinem Chef, wenn er das Problem heute nicht beheben würde. Außerdem könne das Vorzimmer ja parallel sehen, was er auf dem Rechner mache. Das Vorzimmer willigt schließlich ein und der Angreifer erhält Zugriff auf den Computer des Managements.
Hilfsmittel für den Angriff
Um Angriffe eines Social Engineers zu vermeiden, sollte man auch bei der Entsorgung nicht mehr benötigter Unterlagen absolut gewissenhaft vorgehen. Andernfalls kann sich ein Bedrohungspotenzial schnell und leicht realisieren. 2014 etwa wurden in Berlin zwei Baucontainer mit Büroordnern gefunden. Die Ordner enthielten nicht vernichtete Unterlagen zum Flughafen BER: detaillierte Baupläne und Grundrisse sowie Kontrollberichte. Einen solchen Fund könnte man für einen Angreifer, der sich Zutritt zu Sicherheitsbereichen verschaffen will, wohl als Jackpot bezeichnen. Technische Hilfsmittel können GPS-Tracker zum Lokalisieren der Zielperson, Keylogger auf dem Rechner der Zielperson zum Abgreifen von Passwörtern oder Werkzeuge zum Öffnen von Türen sein, wie etwa Dietriche oder sogenannte White Plastics – Magnetkarten zum Beschreiben mit Zugangsdaten. Gegen ein derartiges Bedrohungspotenzial hilft nur, die Passwörter in regelmäßigen Abständen zu ändern beziehungsweise bestimmte Passwortstärken zu verwenden, keine USB-Sticks unbekannter Herkunft zu nutzen sowie keine unbekannten oder unangemeldeten IT-Techniker an die Systeme zu lassen. Ferner sollte man keine E-Mail-Anhänge von unbekannten Personen öffnen. „Das tut doch heute keiner mehr“, werden an dieser Stelle nicht wenige potenziell Betroffene anmerken. Da hilft nur, sich selbst zu sensibilisieren: Was ist zu tun, wenn ein potenzieller Kunde anruft und einem den Mund mit einem neuen, großen Auftrag wässrig macht sowie noch während des Gesprächs ein PDF dazu sendet? Wird diese PDF völlig unkritisch geöffnet? Oder ist man vorsichtig und überprüft man die Datei trotz Virenscanner erst noch einmal separat? Andernfalls könnte man sich ganz schnell einen Keylogger einhandeln, der wichtige Passwörter und Benutzernamen nach außen transportiert.
Visual Hacking
In jedem Fall sollte vermieden werden, sensible Daten in allzu großer Öffentlichkeit zu bearbeiten.
Wie diese simple, prinzipiell nicht technische, aber weitverbreitete Angriffsmethode funktioniert, wird anhand des nachfolgenden Beispiels deutlich. Der Manager eines Unternehmens nutzt die Bahn für eine Geschäftsreise. Durch ein vorhergehendes Telefonat mit dem Vorzimmer kennt der Angreifer den Abreisetag und weiß auch, dass der Manager die Bahn nutzt. Auf der Homepage des Unternehmens hat der Angreifer ein Foto gefunden und lädt dieses auf sein Smartphone, um die Zielperson am Bahnhof identifizieren zu können. Er besteigt denselben Zug und setzt sich neben seine Zielperson, die während der Fahrt mit dem Laptop arbeitet. Ohne Sichtschutzfolie kann der Angreifer wichtige Informationen einsehen. Daher ist dringend zu empfehlen, alle Bildschirme mit Sichtschutzfolien auszustatten (zu bedenken ist, dass die Folie nur in bestimmten Winkeln schützt) und auf die Umgebung zu achten. In jedem Fall sollte man vermeiden, sensible Daten in allzu großer Öffentlichkeit zu bearbeiten. Und am Arbeitsplatz sollte es Richtlinien geben, wo man die Akten abzulegen hat, wann welche Akten vernichtet werden und wann die Aktenschränke zu verschließen sind – das gilt insbesondere für Bereiche mit Publikumsverkehr (Wer hat noch nicht eine Reihe von Patientenakten beim Arzt auf dem Anmeldetresen liegen sehen?). Zudem empfiehlt es sich, im Unternehmen eine Clean Desk Policy einzuführen: Nicht gebrauchte oder sensible Informationen sollte man nicht auf Schreibtischen liegen lassen beziehungsweise auf dem Startbildschirm verknüpfen. Die Bildschirme in jedem Fall sperren, wenn niemand am Arbeitsplatz ist. Ordner gehören in die Datenablage und diejenigen Ordner, die sensible Informationen beinhalten, sind mit Passwörtern zu schützen. In der Öffentlichkeit sollte man schließlich die Bildschirmhelligkeit reduzieren, um Angreifern das Ausspähen von Daten zu erschweren.
Mehr DAZU
MEHR DAZU
finden Sie unter www.datev.de/social-engineering
Alle wichtige Informationen zum Nachlesen sowie der Leitfaden Verhaltensregeln zum Thema Social Engineering zum Download.