Wenn man in der IT über die Sicherheit spricht, fallen meistens Begriffe wie Firewall, Virenscanner, Demilitarisierte Zone (DMZ), Proxy, Verschlüsselung, Benutzername und Passwort, Token, um nur einige zu nennen. Es ist durchaus richtig, dass all diese Komponenten für die Sicherheit der IT unverzichtbar sind, doch leider wird bis heute eine Schwachstelle nicht genügend beachtet: der Mensch! Gerade in der IT-Sicherheit ist das Sprichwort Keine Kette ist stärker, als ihr schwächstes Glied sehr treffend. Jedes Sicherheitskonzept, egal wie raffiniert und durchdacht es ist, lässt sich in Sekundenschnelle aushebeln, wenn die Mitarbeiter freiwillig ihre Passwörter oder andere wichtige Informationen preisgeben, sobald man sie danach fragt. Social Engineering ist eine von vielen Angriffsarten, die zum Ziel haben die Kontrolle über Computersysteme bzw. die darin enthaltenen Informationen zu erlangen. Durch die geschickte Ausnutzung des Menschen ist es dem Angreifer, meist ohne ein technisches Hilfsmittel einzusetzen, möglich, an die gewünschten Informationen zu gelangen. Im Zuge dieses Buches wird erläutert, was Social Engineering ist, warum es funktioniert, wie ein Angreifer sich vorbereitet, wie ein Angriff abläuft, wie man ihn erkennt, wie man ihn abwehrt und wie man ihm vorbeugt. Der Leser wird mit den verschiedensten Arten der Informationsbeschaffung und Angriffsvarianten vertraut gemacht. Am Ende werden Maßnahmen zur effektiven Vorbeugung von Angriffen erläutert. Dies umfasst z.B. die Definition von Regeln für eine Sicherheitsleitlinie, sowie die Auflistung der wichtigsten Abwehrmaßnahmen.

Textprobe: Kapitel 4, Vorbereitung eines Angriffs: Beim Social Engineering kommt es auf die Gewinnung von Informationen an. Es geht nicht nur um die Zielinformationen die der Social Engineer haben will, sondern auch um die Informationen, die er benötigt um sein Ziel zu erreichen. Je mehr der Social Engineer von seinem Opfer weiß, desto größer sind seine Erfolgschancen. Es gibt viele unscheinbare Informationen in einem Unternehmen, die den Social Engineer näher an sein Ziel bringen. So reicht meist schon eine einfache Telefonliste, um herauszufinden, wer in welcher Abteilung arbeitet, wie seine Telefonnummer ist und vielleicht sogar, wie seine E-Mail-Adresse lautet. Hat der Social Engineer erst einmal die notwendigen Informationen, ist es für ihn ein leichtes, sich innerhalb der Firmenstruktur zu bewegen und seine breite Palette an schauspielerischen Talenten auszuspielen. Die nachfolgenden zwei Kapitel geben einen Überblick darüber, welche Informationen für einen Social Engineer interessant sind und wie er sich diese Informationen beschafft. Durch die Kenntnisse der Verfahrensweisen und Begehrlichkeiten können Sie dem Social Engineer bereits seine Vorbereitungsphase erschweren, wenn Sie geeignete Maßnahmen ergreifen. Kapitel 4.1, Informationsbeschaffung: Um etwas in einem fremden (oder auch bekannten) Unternehmen zu erreichen, sind Informationen das Wichtigste. Je nach Ziel des Angriffs werden mehr oder weniger Informationen benötigt. Mithilfe von Telefon- und Mitarbeiterlisten ist es dem Social Engineer möglich, die Nummern von Ansprechpartnern zu ermitteln. Da die meisten Telefonlisten auch Informationen wie E-Mail-Adressen, Abteilungszugehörigkeit und vielleicht sogar die Position der jeweiligen Person enthalten, ist durch Kenntnisnahme einer solchen Liste ein hohes Sicherheitsrisiko gegeben. Der Social Engineer findet auf dieser Liste jede Menge potenzieller Opfer, die ihm gewünschte Informationen geben können. Diese Listen liegen meist neben jedem Telefon, auch in Besprechungsräumen, die vom Social Engineer leicht erreicht werden können, wenn er erst einmal im Gebäude ist. Durch die Kenntnisnahme von Organigrammen oder Hierarchiestrukturen weiß der Social Engineer, wer nur ein einfacher Mitarbeiter und wer Entscheidungsträger ist. Damit sind unnötige Anrufe bei weniger hilfreichen Personen vermeidbar, was das Risiko einer Entdeckung drastisch reduziert. Auch Raumpläne geben einem Angreifer die Möglichkeit Hierarchien zu ermitteln oder sich mit der technischen Umgebung vertraut zu machen. Somit kann er sich zielsicher und selbstbewusst im Gebäude bewegen und wird vermutlich niemandem weiter auffallen. Sobald der Social Engineer weiß, mit welchen Dienstleistern und Zulieferern ein Unternehmen zu tun hat, kann er dies als Eintrittskarte für das Firmengelände benutzen oder mithilfe dieser Informationen sogar weitere telefonische Anfragen stellen, die einem Zulieferer, der ja nur seine Arbeit machen will, eher beantwortet werden, als einem unbekannten externen Anrufer. Auch ein Anruf bei einem der Zulieferer oder Dienstleister kann wertvolle Informationen liefern. Dies können Sie leicht verhindern durch die Definition von festen Ansprechpartnern auf beiden Seiten. Dienst- und Schichtpläne sind ebenfalls hilfreiche Informationsquellen. Wenn z.B. der Social Engineer bereits mit einem Mitarbeiter sprach, der ihm bereitwillig Auskunft gegeben hat, so könnte er anhand der Dienst- und Schichtpläne schnell feststellen, wann dieser Mitarbeiter wieder da ist, um so weitere Informationen zu erhalten. Man kennt sich ja schließlich und hilft sich gerne untereinander. Auch Schichtwechsel, in denen die Aufmerksamkeit nicht ganz so hoch ist, können dem Social Engineer von Nutzen sein. Der Informationsgehalt von Memos und Briefen dürfte jeden Social Engineer freuen. Der Social Engineer gewinnt dadurch Informationen über die Art und Weise, wie kommuniziert wird. Er hat die Möglichkeit die Sprache der Firma zu lernen. Eine unschätzbare Fähigkeit, um sich als Insider auszugeben. Des Weiteren erfährt der Social Engineer auch genug über interne Vorgehensweisen, um diese für seine Angriffe zu nutzen. Mithilfe von Netzplänen, Computernamen und Netzwerkadressen lernt der Social Engineer die Struktur der Firma kennen. Durch diese Informationen könnte sich der Social Engineer z.B. auch als Fachmann der IT ausgeben und so unbedarfte Mitarbeiter verunsichern oder auf einer Ebene mit den Fachleuten aus der IT kommunizieren und sie somit glauben lassen, er wäre einer von Ihnen. Die Kenntnisse zur Funktionsweise von Zugangskontrollsystemen ist hilfreich um auch hier unerlaubten Zugriff, entweder durch direktes aushebeln der Zugangskontrollsysteme oder durch Manipulation der Sicherheitsleute bzw. Verantwortlichen für das Zugangskontrollsystem, zu erlangen. Wenn ein Social Engineer weiß, wie die Menschen arbeiten, kann er Schwachstellen in den Prozessen ermitteln und diese als Angriffspunkte benutzen. Dazu versucht er an Arbeitsanweisungen und Policies (bzw. Richtlinien) oder auch Prozessbeschreibungen zu kommen. Die Kenntnisse dieser Dokumente sind hilfreich, um Mitarbeiter der Firma glauben zu lassen, man sei einer von Ihnen, denn woher sollte ein Externer davon wissen?! Entsorgte Datenträger können für einen Social Engineer zum Heiligen Gral der Informationsbeschaffung werden. Je nach den auf dem Datenträger gespeicherten Informationen kann der Social Engineer mit ein wenig Glück bereits alle oben aufgeführten Informationen ohne viel Aufwand erhalten oder vielleicht sogar die Daten in den Händen halten, die er eigentlich sucht. Eine Entdeckung ist fast ausgeschlossen, da der Datenträger nicht mehr vermisst wird. Der Arbeitsaufwand für die Beschaffung dieser Datenträger dürfte auch nicht besonders groß sein.

• Soziale Manipulation

• falsche Identitäten

• Kevin Mitnick

• Industriespionage

• Informationsbeschaffung

Marcus Lipski, Diplom-Informatiker (FH), Studium der Informatik mit Schwerpunkt Informations- und Kommunikationsmanagement an der Wilhelm Büchner Hochschule Darmstadt. Abschluss 2009 als Diplom-Informatiker. Derzeit tätig als Mitarbeiter eines Service Centers im Bereich der Endgeräte- und Kundenbetreuung (IT).