Scroll Top

Social Engineering-Angriffe: Wenn die beste IT-Security nicht helfen kann

Virus, Wurm, Trojaner, Backdoor, Rootkit? Mit was man sich in der IT so alles beschäftigen muss, zeigt Ihnen unser Beitrag.
social-engineering-angriffe-wenn-die-beste-it-security-nicht-helfen-kann

Sie heißen „ILoveYou“, WannaCry“ oder „MyDoom“. Doch hinter den oft humorvollen oder bisweilen (selbst)ironischen Namen verbirgt sich alles andere als verspielte Gutmütigkeit: Computerviren, Würmer, Rootkits oder Trojaner verursachen jährlich weltweit Schäden in Milliardenhöhe.

„Der Wirtschaftsstandort Deutschland bleibt ein bevorzugtes Ziel für Hacker“, erklärte unlängst BKA-Vizepräsident Peter Henzler. Zudem würden die Täter immer professioneller, die Qualität der Angriffe nehme stetig zu. Die Angriffsziele im Bereich Cybercrime reichen dem BKA-Lagebild zufolge von Attacken auf Wirtschaftsunternehmen oder kritische Infrastrukturen bis hin zum Ausspähen privater Smartphones. Straftaten würden durch die zunehmende Vernetzung technischer Geräte begünstigt. Dabei haben „smarte“ Kühlschränke oder Fernseher jedoch häufig Sicherheitslücken. Auch in der Industrie sind Maschinen und Anlagen vernetzt und Steuerungsprozesse zunehmend webbasiert, weswegen auch hier die Bedrohung durch Cyberkriminalität steigt.

Der Faktor Mensch

Wussten Sie, dass der Hauptgrund für Flugzeugabstürze menschliches Versagen ist? Und dass diese Problemlage durchaus mit den Herausforderungen moderner IT-Security verglichen werden kann? Denn nicht selten versagt das beste Sicherheitskonzept, weil nicht eine technische Schwachstelle, sondern eine menschliche Schwäche ausgenutzt wird. Social Engineering gilt heute als eine der größten Sicherheitsbedrohungen für Unternehmen. Im Erfolgsfall ermöglichen viele Social Engineering-Angriffe einen legitimen, weil autorisierten Zugriff auf vertrauliche Informationen. Aber beginnen wir unseren Beitrag über Social Engineering-Angriffe mit einer kleinen Virenkunde, um die Gefahrenlage besser verstehen zu können. Die Begriffe „Virus“, „Wurm“, „Trojaner“, „Backdoor“ und „Rootkit“ werden häufig synonym verwendet, sind es aber mitnichten. Klar, es sind allesamt Schädlinge, gefährliche Malware, dennoch sollte man unterscheiden.

Im Überblick: Am Anfang stand das Virus. Ein Virus kann sich selbst verbreiten, benötigt jedoch ein Wirtsprogramm. Ein Virus „infiziert“ dabei eine Datei, beispielsweise eine EXE-Datei. Das bedeutet, er fügt dieser Datei eigenen Code hinzu. Die Verbreitung des Virus geschieht dann über die Weitergabe dieser infizierten Datei. Ein Wurm hingegen benötigt keinen Wirt. Einmal auf dem Rechner, nutzt er etwa einen eigenen SMTP-Server und verschickt sich an alle E-Mail-Adressen, die er auf dem befallenen Computer findet. Ein Trojaner wiederum macht, was sein Name schon verrät: Er tarnt sich als vermeintlich nützliche Software. Einmal freigelassen, richtet er verheerenden Schaden an. Ein Backdoor nutzt ein Schlupfloch, um auf den PC zu gelangen. Im Ergebnis erhält der Hacker dauerhaften Zugriff auf einen fremden Rechner. Bleibt noch das Rootkit, sozusagen die Brechstange für Cyberkriminelle. Ein Rootkit nutzt Sicherheitslücken im Betriebssystemen oder in anfälligen Programmen aus, um sich dauerhaft Administratorenrechte zu verschaffen.

Vielen Viren gemein ist, dass sie häufig nur das Vehikel für eine technische Übernahme des Computers sind. Die eigentliche Bedrohung nähert sich hingegen auf anderen Wegen. Social Engineering (engl. eigentlich „angewandte Sozialwissenschaft“, auch „soziale Manipulation“) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen oder zur Freigabe von Finanzmitteln zu bewegen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um so an geheime Informationen zu gelangen. Häufig dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen und so z.B. erpresserisch tätig werden zu können. Öffentlich bekannt wurde Social Engineering vor allem durch den Hacker Kevin Mitnick, der durch seine Einbrüche in fremde Computer eine der meistgesuchten Personen der Vereinigten Staaten wurde. Mitnick selbst hat in mehreren nach seiner Haftzeit publizierten Büchern stets betont, dass Social Engineering die bei weitem effektivste Methode sei, um an ein Passwort zu gelangen, ja, sie schlage rein technische Ansätze in Sachen Geschwindigkeit um Längen.

Die Gefahr der Gutmütigkeit

Die Social Engineering-Strategie von Cyberkriminellen fußt meist auf starker zwischenmenschlicher Interaktion und besteht darin, ein Opfer dazu zu verleiten, bestehende Sicherheitspraktiken zu missachten. Und so hängt der Erfolg von Social Engineering von der Fähigkeit des Angreifers ab, sein Opfer so weit zu manipulieren, dass es bestimmte Aktionen ausführt oder vertrauliche Informationen preisgibt. Dieses Grundmuster des Social Engineering zeigt sich am besten bei fingierten Anrufen: Der Betrüger ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede oder die Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen, sich als Insider des Unternehmens auszugeben. Zusätzlich verwirrt er sein technisch meist ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, bei vom Opfer unterlassener Kooperation dessen Vorgesetzten stören zu müssen. Unter Umständen hat der Social Engineer bereits im Vorfeld Informationen gesammelt, dass ein bestimmter Mitarbeiter sogar wirklich technische Hilfe angefordert hat und bereits tatsächlich einen derartigen Anruf erwartet. Dieses Grundmuster lag bereits einer in den 1980er Jahren verbreiteten Form des Social Engineering zugrunde, dem sog. Phreaking. Phreaker riefen unter anderem bei Telefongesellschaften an, gaben sich als Systemadministrator aus und baten um neue Passwörter, mit denen sie schließlich kostenlose Modemverbindungen herstellten. Heutige Cyberkriminelle haben eine Vielzahl von perfiden Mechanismen entwickelt, von denen wir Ihnen die bekanntesten vorstellen möchten.

Social Engineering-Methoden im Überblick

Es ist erstaunlich, mit welcher Kreativität Cyberkriminelle bisweilen vorgehen! Ein Überblick zu verschiedenen Angriffstechniken, die von Kriminellen auch in Kombination eingesetzt werden:

Baiting

Angreifer führen Köderangriffe durch, indem sie ein mit Malware infiziertes Gerät wie ein USB-Flash-Laufwerk in einem Unternehmen zurücklassen. Wenn ein unbedarfter Mitarbeiter dann den Datenträger zu Testzwecken mit seinem Computer verbindet, wird der Rechner heimlich mit Malware infiziert. Einmal installiert, erlaubt die Malware dem Angreifer, in das System des Mitarbeiters einzudringen. Auch im großen Maßstab war diese Variante schon erfolgreich, z.B. durch das massenhafte Verteilen von USB-Sticks als vermeintliches Werbegeschenk.

Phishing

Unter dem Begriff Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Website einer Bank. Um keinen Verdacht zu erregen, wird das Corporate Design der betroffenen Stelle nachgeahmt. Der Benutzer wird dann auf einer solchen gefälschten Seite etwa dazu aufgefordert, in ein Formular die Login-Daten oder auch Transaktionsnummern für sein Onlinebanking einzugeben.

Spear Phishing

Spear Phishing ist eine besonders gezielte Art eines Phishing-Angriffs, die sich auf eine bestimmte Person oder Organisation konzentriert. Spear Phishing-Angriffe verwenden persönliche Informationen, die spezifisch auf das Opfer zugeschnitten sind, um Vertrauen zu gewinnen und besonders legitim zu erscheinen. Oftmals werden diese Informationen aus den Social Media-Accounts der Opfer oder anderen Online-Aktivitäten entnommen. Durch die Personalisierung ihrer Phishing-Taktiken haben Spear Phisher höhere Erfolgsquoten, wenn es darum geht, ihre Opfer dazu zu bringen, Zugang zu Systemen gewähren oder sensible Informationen wie Finanzdaten preiszugeben.

Dumpster Diving

Hierbei wird der Müll des potentiellen Opfers durchwühlt und nach Hinweisen und Anhaltspunkten über das soziale Umfeld gesucht. Diese können dann in einem darauffolgenden Anruf dazu verwendet werden, um das Vertrauen des Opfers zu erschleichen.

Pretexting

Beim Pretexting schützt ein Angreifer geschickt falsche Tatsachen vor, um ein Opfer zu verleiten, ihm Zugang zu sensiblen Daten oder geschützten Systemen zu gewähren. Beispielsweise gibt ein Krimineller vor, Bankdaten zu benötigen, um die Identität des Empfängers zu bestätigen. Oder er gibt sich als Mitarbeiter der IT-Abteilung aus, um sein Opfer dazu zu bewegen, Login-Daten herauszugeben.

Watering Hole-Attacke

Bei einer Watering Hole-Attacke („Auflauern am Wasserloch“) wählt der Angreifer sorgfältig eine bestimmte Website aus, von der er weiß, dass seine Opfer diese häufig besuchen, und infiziert die Homepage mit Malware. Zielpersonen sind meist Mitarbeiter von großen Unternehmen oder Regierungsstellen, die z.B. regelmäßig die Website eines nahen Restaurants aufsuchen, um sich über das Tagesangebot zu informieren.

Tailgating

Der Begriff Tailgating (Tailgate = Heckklappe) erinnert an Krimiszenen, bei denen der Protagonist bei der Autofahrt einen Verfolger im Rückspiegel entdeckt, der ihm quasi an der Heckklappe klebt. Tailgating ist eine weitere physische Social Engineering-Technik, um an vertrauliche Informationen zu gelangen. Von Tailgaiting spricht man z.B., wenn sich ein Unbefugter gemeinsam mit autorisierten Personen an einen ansonsten gesicherten Ort begibt, indem er vorgibt, seine Zugangskarte vergessen zu haben. Auch kann der Angreifer sein Opfer bitten, ihm kurz Telefon oder Laptop auszuleihen, um eine einfache Aufgabe zu erledigen. Dem Angreifer genügt bereits ein kurzer Augenblick, um Malware zu installieren oder sensible Daten zu stehlen.

Quid pro quo-Angriff

Bei einem Quid pro quo-Angriff (lat. „dies für das“) locken Cyberkriminelle ihre Opfer mit einer Gegenleistung oder Entschädigung, um sensible Informationen zu ergaunern. Beispielsweise erzählen Angreifer am Telefon, eine offizielle Umfrage durchzuführen, und bieten für die Teilnahme Geschenke an. Wie stets gilt: Wenn etwas zu gut klingt, um wahr sein zu können, dann ist es meistens auch nicht wahr.

Und wie kann man sich nun schützen?

Die Abwehr von Social Engineering ist nicht einfach zu bewerkstelligen, da der Angreifer im Grunde positive menschliche Eigenschaften ausnutzt: Den Wunsch etwa, in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren. Generelles Misstrauen zu schüren, würde auch die Effektivität und die vertrauensvolle Zusammenarbeit in Organisationen negativ beeinflussen. Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefert deshalb im konkreten Fall das Opfer selbst, indem es Identität und Berechtigung eines Ansprechenden zweifellos sicherstellt, bevor weitere Aktionen folgen. Bereits die Rückfrage nach Name und Telefonnummer des Anrufers oder dem Befinden eines nicht existierenden Kollegen kann schlecht informierte Angreifer enttarnen. Höflich um Geduld zu bitten, wenn eine heikle Anfrage auch noch so dringend vorgetragen wird, sollte deshalb gezielt trainiert werden.

Stets gilt: Auch scheinbar geringfügige und nutzlose Informationen sollten Unbekannten nicht offengelegt werden, denn sie könnten in nachfolgenden Kontaktaufnahmen zum Aushorchen anderer missbraucht werden oder zusammen mit vielen anderen für sich genommen nutzlosen Angaben zum Abgrenzen eines größeren Sachverhalts dienen. Wichtig ist eine schnelle Warnung aller potenziellen weiteren Opfer. Folgende Punkte sollten dabei unbedingt beachtet werden:

  • Ist die Identität des Absenders einer E-Mail nicht sicher, sollte man stets misstrauisch sein.
  • Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder finanzielle Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint.
  • Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können.
  • Bei Unklarheit über die Echtheit des Absenders sollte dieser nochmals telefonisch kontaktiert werden, um die Authentizität der E-Mail zu überprüfen.

Allerdings: Der US-Sicherheitsspezialist Bruce Schneier zweifelt angesichts der Komplexität und der möglichen Nebenwirkungen von präventiven Maßnahmen gegen Social Engineering sogar generell an deren Wert und schlägt stattdessen Strategien vor, die auf Schadensbegrenzung und schnelles Recovery bauen. Auch Studien an der US-Militärakademie West Point belegen, dass Mitarbeiterschulungen nur begrenzt hilfreich sind, weil eine sensibilisierte Gruppe von Mitarbeitern bei Social Engineering-Penetrationstests nicht signifikant besser abgeschnitten hat als eine unbedarfte Kontrollgruppe. Sollte man deshalb den Kopf in den Sand stecken? Natürlich nicht! Die Gratwanderung liegt in der Herausforderung, eine Unternehmenskultur zu fördern, die auch weiterhin auf Hilfsbereitschaft und Höflichkeit setzt, dabei aber dennoch dafür sensibilisiert, „informationsgeizig“ zu sein, wo man sich nicht zuvor rückversichert hat. Wer z.B. sämtliche Mitarbeiter inkl. jeweiliger Funktion und Durchwahl auf der Website benennt, handelt nicht lobenswert hilfreich, sondern eher grob fahrlässig.

Eine Frage der Unternehmenskultur

Kurioserweise wird eine Social Engineering-Attacke häufig zum Prüfstein der Unternehmenskultur. An ihr lässt sich nur allzu oft bemessen, welchen Stellenwert kritisches Nachfragen im Unternehmen hat. Und wie es um mündiges und verantwortungsbewusstes Handeln bestellt ist. Ein erfolgreicher Social Engineering-Angriff ist damit immer – auch wenn Verantwortliche das ungern hören! – Beleg für eine defizitäre Unternehmenskultur, in der Aufklärung, Diskursbereitschaft und Sensibilität Mangelware sind.

Weiterführende Links

Weitere Beiträge
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.