Schulungsbedarf - 28. April 2016

Angriffe von außen

von Thilo Märtin und Severin Maier

Mitarbeiter in Unter­neh­men müssen sen­si­bi­li­siert sein, um den viel­schich­ti­gen An­griffs­metho­den der Cyber­kri­mi­na­li­tät zu be­gegnen: Social Engi­neers gehen bei­spiels­weise so ge­schickt vor wie sonst nur Ge­heim­agen­ten in Spiel­filmen. Mit deren Tricks sollte man je­doch vertraut sein.

Berichte über erfolgreiche Cyberattacken auf Unternehmen gehören inzwischen zum Alltag. Dabei wird immer häufiger der Faktor Mensch als Sicherheitslücke ausgenutzt – mit sogenannten Social-Engineering-Angriffen. Derartige Attacken sind in der Regel nicht sofort zu erkennen, speziell, wenn sich der Angreifer durch öffentlich zugängliche Informationen oder unter­neh­mens­in­terne Informationen, die er durch eventuell zuvor ausgeführte Angriffe be­zie­hungs­weise ehe­ma­lige Unter­nehmenszugehörigkeit erlangt hatte, entsprechend vorbereitet. Um seinen Angriff durchzuführen, steht einem Social Engineer dann ein vielseitiges Repertoire an Methoden zur Verfügung.

Pretexting

Der bekannte Social Engineer Christopher Hadnagy, selber mit jahrelanger Erfahrung in der IT-Sicherheitsbranche, bezeichnet Pretexting (von englisch pretext – Scheingrund, Vorwand, Ausrede) treffend als das Schlüpfen in eine andere Haut. Um Pretexting glaubwürdig durchführen zu können, ist viel Vorbereitung notwendig. Es ist mehr als das bloße Verkleiden oder Lügen an der Pforte – auch wenn das als Pretexting betrachtet werden kann. Ein erfolgreicher Pretexter erzeugt quasi eine vollkommene Illusion für sein Opfer: Habitus, Kleidung, die Art des Sprechens und mitgeteilte Informationen schaffen ein glaubwürdiges, aber dennoch falsches und nur vorgespieltes Szenario. So macht der Angreifer beispielsweise ein Lokal aus, in dem viele Mit­ar­beiter des anvisierten Unternehmens mit Geschäftspartnern zu Mittag essen. Er isst selber über einen längeren Zeitraum dort zu Mittag und analysiert Dresscode und Umgangsweise der Angestellten. Zudem erfasst er relevante Gesprächsinhalte über aktuelle Projekte und deren Mitwirkende, wie etwa aufgetretene Probleme, beteiligte Firmen sowie die Namen der Mit­ar­beiter, anstehende Urlaube und Termine. Mit diesem Wissen kann er bei einem Anruf oder Eindringen in die Geschäftsräume seine Beteiligung an dem Projekt glaubhaft vorspielen. Hier ist auch die Macht einer Visitenkarte nicht zu unterschätzen. Aus einem nicht nachvollziehbaren Grund wird immer als wahr angenommen, was auf einer Visitenkarte steht.

Maßnahmen gegen das Pretexting

Pretexting stellt weniger eine Angriffsform dar, sondern ist vielmehr das Schaffen eines Szenarios, in dem der Angriff erfolgen soll. Hilfe bieten profane Mittel. Beim Schutz sensibler Informationen erfolgen idealerweise mehrere Stufen der Prüfung und zur Informationsfreigabe beziehungsweise für Zutritte werden feste Abläufe definiert. Dabei ist wichtig: Egal wie überzeugend ein Gegen­über selbst oder mit seiner Geschichte wirken mag, die Sicherheitsleitfäden sind strikt zu be­achten; dann können viele Vorfälle verhindert werden. Benötigt man zur Informationsfreigabe zum Beispiel Passwörter oder Ausweisdokumente, erschwert das dem Pretexter den Angriff – denn er muss diese erst bekommen beziehungsweise fälschen. Menschen an entsprechenden Kon­troll­punkten sollten sich nicht durch Emotionen oder vorgetäuschten Zeitdruck beeinflussen lassen. Es sollte definiert werden, welche Informationen von einer bestimmten Personengruppe wirklich benötigt werden und ob diese freizugeben sind. Sofern die Informationen, die es zu schützen gilt, für das Unternehmen wichtig sind, sollte man keinen Aufwand scheuen, derartige Situationen zu üben, um die verantwortlichen Mitarbeiter zu sensibilisieren. Ein Nachteil strikter Leitlinien ist, dass sie unflexibel sind. Bringt der Pretexter die Leitfäden in Erfahrung, kann er sich exakt auf die eintretenden Abläufe vorbereiten. Um diese in Erfahrung zu bringen, dient eine andere Methode des Social Engineering.

Elizitieren

Wenn man Reize auf einen Menschen wirken lässt, um bei ihm einbestimmtes Verhalten aus­zu­lösen – in der Regel das Mitteilen von Informationen – nennt man das Eli­zi­tie­ren (von englisch elicit – herauslocken, entlocken). Die amerikanische National Security Agency definiert Eli­zi­tie­ren als „sub­tile Ex­trak­tion von Informationen während einer offenbar normalen und harm­losen Unter­hal­tung“. Ein Social Engineer ist in der Lage, sein Gegenüber so zu beeinflussen, dass dieses von sich aus Informationen mitteilt. Um das zu erreichen, gibt es verschiedene Mög­lich­keiten. Zum Bei­spiel das Appellieren an das Ego der Zielperson, Bekunden von ge­mein­sa­mem In­te­res­se oder absichtlich falsche Aussagen, die zu Gegenreaktionen provozieren. Dabei wählt der Angreifer beispielsweise eine Situation mit lockerer Atmosphäre, wie etwa eine Abendveranstaltung der lokalen Unternehmervereinigung, an der auch die Zielperson teilnimmt. Bei ein, zwei Cocktails an der Bar erwähnt der Angreifer die Vorteile und besondere Qualität einer bestimmten Datenbank oder eines Programms, die Zielperson stimmt zu (Schritt eins: gemeinsames Interesse). Anschließend behauptet der Angreifer, dass eine wei­ter­ge­hende Sicherung von Daten aber nicht möglich sei (Schritt zwei: absichtlich falsche Aussage). Die Zielperson widerspricht und klärt bereitwillig auf (Schritt drei: Elizitieren von In­for­ma­tionen). Durch die Kombination von Schritt eins und zwei erzeugt der Angreifer sogar das Gefühl, dass die Zielperson in dem Gebiet gemeinsamer Interessen kompetenter ist.

Maßnahmen gegen das Elizitieren

Auch hier können Leitfäden und fest definierte Abläufe helfen, speziell für Situationen außerhalb des Arbeitsplatzes, etwa auf Messen, Veranstaltungen, Fortbildungen und so weiter. Was darf gesagt werden? Welche Details dürfen erwähnt werden? Lassen die Leitfäden hier zu wenig Freiraum, wirkt aber fast jedes informelle Gespräch unnatürlich und steht der eigenen In­for­ma­tions­ge­winnung im Weg. In jedem Fall sollte aber das Abwehren von Fragen besonders geübt werden. Dazu ist es nötig, diese als solche zu erkennen und dann mit diplomatischem Fin­ger­spit­zen­ge­fühl zu umgehen. Alternativ kann auch geradeheraus geäußert werden: „Es tut mir leid, aber über diese Angelegenheiten kann ich mich nicht so ausführlich äußern.“

Vorbereitung und Durchführung des Angriffs

Um sich gegen die oben geschilderten Angriffsmaßnahmen zu schützen, muss man natürlich auch wissen, wie ein gut vorbereiteter Social- Engineer-Angriff aufgebaut ist. Der Angreifer recherchiert zunächst in öffentlichen Quellen oder an zugänglichen Plätzen, um Informationen über sein Ziel zu ermitteln. Auf Xing findet er von Mitarbeitern die Unternehmenszugehörigkeit, die Dauer der Anstellung, den Namen und die Ausbildung sowie eventuell dessen Vorgesetzten heraus. Mittels der Google-Suche lässt sich unter Umständen dann die Durchwahl zum Vorzimmer herausfinden. So umgeht der Angreifer die Zentrale und kann behaupten, die Durchwahl bei früheren Kontak­ten erhalten zu haben. Damit schafft er zusätzlich Vertrauen. Facebook entnimmt er schließlich private Informationen des Ziels, zum Beispiel Hobbys oder Sportarten beziehungsweise Vorlieben. Die kann er nutzen, um Gemeinsamkeiten mit dem Ziel vorzutäuschen. Im Papiermüll findet sich gegebenenfalls er Lieferschein eines IT-Dienstleisters, der Hardware geliefert hat. Nun gibt sich der Angreifer am Telefon als eine bestimmte Person aus, zum Beispiel als Sys­tem­ad­mi­nis­tra­tor des IT-Dienstleisters. Da er im Internet die Unternehmensgröße recherchiert hat, weiß er, dass das Vorzimmer nicht alle externen Dienstleister kennen wird. Durch einen schon früher getätigten Anruf ist dem Angreifer bekannt, dass das Management für ein paar Tage nicht im Haus ist. Jetzt täuscht er vor, von dem externen IT-Dienstleister zu sein und von einem Manager den Auftrag bekommen zu haben, technische Probleme zu lösen. Um diese zu beheben, müsste er aber noch Einstellungen per Fernzugriff auf dem Computer des Managements anpassen. Die Zweifel des Vorzimmers räumt der Angreifer durch das Schüren von Angst aus dem Weg. Sofern er nicht per Fernzugriff arbeiten könne, würde das Management bei der Rückkehr kein funk­tions­fä­hi­ges System vorfinden und sich die Reparatur um einige Tage verzögern. Zudem bekäme er Probleme mit seinem Chef, wenn er das Problem heute nicht beheben würde. Außerdem könne das Vorzimmer ja parallel sehen, was er auf dem Rechner mache. Das Vorzimmer willigt schließlich ein und der Angreifer erhält Zugriff auf den Computer des Managements.

Hilfsmittel für den Angriff

Um Angriffe eines Social Engineers zu vermeiden, sollte man auch bei der Entsorgung nicht mehr benötigter Unterlagen absolut gewissenhaft vorgehen. Andernfalls kann sich ein Be­dro­hungs­po­ten­zial schnell und leicht realisieren. 2014 etwa wurden in Berlin zwei Baucontainer mit Büro­ord­nern ge­fun­den. Die Ordner enthielten nicht vernichtete Unterlagen zum Flughafen BER: detaillierte Baupläne und Grundrisse sowie Kontrollberichte. Einen solchen Fund könnte man für einen Angreifer, der sich Zutritt zu Sicherheitsbereichen verschaffen will, wohl als Jackpot bezeichnen. Technische Hilfsmittel können GPS-Tracker zum Lokalisieren der Zielperson, Key­logger auf dem Rechner der Zielperson zum Abgreifen von Passwörtern oder Werkzeuge zum Öffnen von Türen sein, wie etwa Dietriche oder sogenannte White Plastics – Magnetkarten zum Beschreiben mit Zugangsdaten. Gegen ein derartiges Bedrohungspotenzial hilft nur, die Pass­wörter in re­gel­mäßi­gen Ab­stän­den zu ändern beziehungsweise bestimmte Passwortstärken zu verwenden, keine USB-Sticks unbekannter Herkunft zu nutzen sowie keine unbekannten oder un­an­ge­mel­de­ten IT-Techniker an die Systeme zu lassen. Ferner sollte man keine E-Mail-Anhänge von unbekannten Personen öffnen. „Das tut doch heute keiner mehr“, werden an dieser Stelle nicht wenige po­ten­ziell Betroffene anmerken. Da hilft nur, sich selbst zu sensibilisieren: Was ist zu tun, wenn ein potenzieller Kunde anruft und einem den Mund mit einem neuen, großen Auftrag wässrig macht sowie noch während des Gesprächs ein PDF dazu sendet? Wird diese PDF völlig unkritisch geöff­net? Oder ist man vorsichtig und überprüft man die Datei trotz Virenscanner erst noch einmal separat? Andernfalls könnte man sich ganz schnell einen Keylogger einhandeln, der wichtige Passwörter und Benutzernamen nach außen transportiert.

Visual Hacking

In jedem Fall sollte vermieden werden, sensible Daten in allzu großer Öffentlichkeit zu bearbeiten.

Wie diese simple, prinzipiell nicht technische, aber weitverbreitete Angriffsmethode funktioniert, wird anhand des nachfolgenden Beispiels deutlich. Der Manager eines Unternehmens nutzt die Bahn für eine Geschäftsreise. Durch ein vorhergehendes Telefonat mit dem Vorzimmer kennt der Angreifer den Ab­reise­tag und weiß auch, dass der Manager die Bahn nutzt. Auf der Homepage des Unternehmens hat der An­grei­fer ein Foto gefunden und lädt dieses auf sein Smartphone, um die Zielperson am Bahnhof identifizieren zu können. Er besteigt denselben Zug und setzt sich neben seine Zielperson, die während der Fahrt mit dem Laptop arbeitet. Ohne Sichtschutzfolie kann der Angreifer wichtige Informationen einsehen. Daher ist dringend zu empfehlen, alle Bildschirme mit Sichtschutzfolien auszustatten (zu bedenken ist, dass die Folie nur in bestimmten Winkeln schützt) und auf die Umgebung zu achten. In jedem Fall sollte man vermeiden, sensible Daten in allzu großer Öffentlichkeit zu bearbeiten. Und am Arbeits­platz sollte es Richtlinien geben, wo man die Akten abzulegen hat, wann welche Akten ver­nich­tet werden und wann die Aktenschränke zu verschließen sind – das gilt insbesondere für Bereiche mit Pub­li­kums­ver­kehr (Wer hat noch nicht eine Reihe von Patientenakten beim Arzt auf dem An­mel­de­tresen liegen sehen?). Zudem empfiehlt es sich, im Unternehmen eine Clean Desk Policy ein­zu­führen: Nicht gebrauchte oder sensible Informationen sollte man nicht auf Schreib­tischen liegen lassen be­zie­hungs­weise auf dem Startbildschirm verknüpfen. Die Bildschirme in jedem Fall sperren, wenn niemand am Arbeitsplatz ist. Ordner gehören in die Daten­ab­lage und die­je­ni­gen Ordner, die sensible Informationen beinhalten, sind mit Passwörtern zu schützen. In der Öffentlichkeit sollte man schließlich die Bildschirmhelligkeit reduzieren, um Angreifern das Ausspähen von Daten zu erschweren.

Mehr DAZU

MEHR DAZU

finden Sie unter www.datev.de/social-engineering

Alle wichtige Informationen zum Nachlesen sowie der Leitfaden Verhaltensregeln zum Thema Social Engi­nee­ring zum Download.

Zu den Autoren

Thilo Märtin

Rechtsanwalt und Partner von MKM+Partner Rechtsanwälte PartmbB, Nürnberg. Er ist spezialisiert auf Fragen des IT-Rechts, des Datenschutzes sowie des Gewerblichen Rechtsschutzes.

 Weitere Artikel des Autors
SM
Severin Maier

Jura- und Politikstudent. Er arbeitet in der Rechtsanwaltsgesellschaft Thilo Märtin & Collegen, Nürnberg (www.maertin-collegen.com).

 Weitere Artikel des Autors

Meistgelesene Artikel

Portrait von Marcus Ferchland.
Automatisierung und KI-Copilot

„Wir haben gar keine andere Wahl“

Steuerberater Marcus Ferchland erklärt im Interview, wie er seine Kanzlei über die vergangenen Jahre Schritt für Schritt digitalisiert hat.
100-Euro-Scheine, die zu einem Haus mit Dach gefaltet sind.
Immobilienbewertung

Omas Häuschen im Visier des Fiskus

Die Werte von Immobilien im Rahmen der Erbschafts- und Schenkungsteuer haben sich erhöht. Ein Übersteigen der Freibeträge droht.
49-Euro-Ticket

Job-Ticket statt Lohnerhöhung

Wenn Unternehmen ihren Beschäftigten das Deutschlandticket als Jobticket gewähren, sind in der Lohnabrechnung einige Details zu beachten.

Aktuelle Meldungen im Fokus

Produkte & Services 10.01.2024

Komplett digital im Rechnungswesen

Steuern 22.12.2023

Eilmeldung: Quasi-Fristverlängerung für die Offenlegung der Jahresabschlüsse 2022 verkündet!