Sicherheitsrisiko Mensch

Was kann ein Unternehmen machen, um die Zugangsdaten der Mitarbeiter zu schützen? Es kann Richtlinien zum sicheren Umgang mit Zugangsdaten erlassen und versuchen, diese mit technischen Mitteln durchzusetzen. Dies kann von computergenerierten Zufallskennwörtern über eine vorgegebene Mindestkomplexität des selbstgewählten Kennworts bis hin zu einer regelmässigen Änderung reichen – alle technischen Massnahmen sind nutzlos, wenn ein Mitarbeiter seine Zugangsdaten fein säuberlich auf ein Post-it notiert und dieses an seinen Monitor klebt.
Der Ausweg aus dieser Misere ist häufig, auf allzu komplexe Kennwörter zu verzichten, was der Sicherheit allerdings auch nicht unbedingt zuträglich ist. Die Feststellung lautet also: Der Mensch ist ein Risikofaktor, der nicht durch technische Massnahmen in den Griff zu bekommen ist. Statt dessen muss er als das behandelt werden, was er ist: ein Mensch mitsamt seinen Schwächen und Fehlern.


Abgesehen von den Schwachstellen in der Sicherheit, die durch den Menschen an sich entstehen, gibt es einen weiteren beachtenswerten Aspekt. Angenommen, es gelingt einem Angreifer, die Firewall eines Unternehmens zu durchdringen, das Intrusion-Detection-System zu überwinden und beispielsweise eine Datenbank zu manipulieren – alle überwundenen Hürden sind technischer Natur, und alle überwundenen Hürden zeichnen seine Aktivitäten potentiell auf und protokollieren, was er macht.

Angenommen, es gelingt einem Angreifer allerdings, Zugangsdaten direkt von einem arglosen Mitarbeiter zu erhalten, weil dieser beispielsweise einen Anruf von der IT-Hotline des Unternehmens erhält und im Rahmen der Installation einer unternehmensweiten Sicherheitsaktualisierung nach seinem Kennwort gefragt wird, so gibt es im nachhinein dafür keinen Beweis, kein Protokoll – das Kompromittieren des Kennwortes hat aus Protokollsicht nie stattgefunden.

Was ist Social Engineering?

Genau um dieses Ausnutzen von ahnungslosen Mitarbeitern geht es beim Social Engineering: Ein Angreifer versucht, sich menschliche Schwächen und Fehler zunutze zu machen, um an Zugangsdaten oder sonstige Informationen zu gelangen. Doch wie gelangt er an die Informationen, die er benötigt, um einen Angriff erfolgreich durchzuführen? Wie wählt er seine Opfer aus? Und wie können Mitarbeiter auf Social Engineering basierende Angriffe erkennen, um sich und ihr Unternehmen davor zu schützen?

Es gibt einige wichtige Aspekte, auf die im Folgenden näher eingegangen werden soll. Dazu zählen unter anderem die scheinbare Harmlosigkeit von Daten, ihre Verknüpfung zu sensitiven oder sogar geheimen Daten und insbesondere die Dreistigkeit seitens des Angreifers als häufig genutzte Vorgehensweise, um an Daten zu gelangen.

Scheinbar harmlose Daten

Um es kurz zu machen: Es gibt keine harmlosen Daten. Alles, was ein Angreifer über einen Mitarbeiter, dessen Unternehmen oder seinen Arbeitsplatz in Erfahrung bringen kann, ist eine für ihn potentiell nützliche Information, die er für einen Angriff missbrauchen kann. Deshalb ist es wichtig, all diese Daten zu schützen und sie Dritten nicht preiszugeben.


Ein gutes Beispiel für solche «harmlos» scheinende Daten sind Durchwahlen von Telefonanschlüssen. Viele Unternehmen geben diese nicht preis, wenn ein Mitarbeiter einen Anruf nach draussen tätigt – zumeist allerdings mit dem Argument, dass Kunden sich nicht automatisch direkt an den Mitarbeiter wenden sollen, sondern dass diese Anrufe gegebenenfalls von der Telefonzentrale im Vorfeld gesichtet und zugeordnet werden können. Ein wenig beachteter Aspekt bei der Preisgabe von Durchwahlen ist der, dass ein Angreifer sie nutzen kann, um sich als ein Mitarbeiter auszugeben. Die erste Regel lautet also:

- Internes Wissen eines Unternehmens darf nur den Mitarbeitern zugänglich sein. Dazu gehören ausnahmslos alle Daten, auch die, die zunächst harmlos erscheinen. Geben Sie interne Daten daher nicht an Aussenstehende weiter, und vergewissern Sie sich bei unbekannten Kollegen, dass es sich wirklich um Kollegen handelt!
Gelingt es einem Angreifer, eine Durchwahl in Erfahrung zu bringen, kann er beispielsweise bei der IT-Hotline anrufen und sich als entsprechender Mitarbeiter ausgeben. Mit der (natürlich ausgedachten) Geschichte, dass er sich seit ein paar Tagen auf einer Konferenz befindet und dringend eine Umleitung seiner E-Mails an seine private Mail-Adresse benötige, könnte er so versuchen, durch die Angabe von internen Daten wie beispielsweise der Angabe seiner Durchwahl das Vertrauen der IT-Hotline zu gewinnen. Stellt er dies geschickt genug an, bittet er glaubwürdig genug um Hilfe und gibt vor, eine wirklich dringende
E-Mail zu erwarten, steigen seine Chancen, dass seinem Wunsch nachgekommen wird. Die zweite Regel lautet deshalb:



- Zeitdruck ist ein gern von Angreifern eingesetztes Mittel. Häufig wird so erreicht, dass der offizielle Weg umgangen oder zumindest abgekürzt wird. Überlegen Sie, bevor Sie den offiziellen Weg verlassen, ob der Hilfesuchende wirklich berechtigt ist, Ihre Hilfe anzufordern.


Um diesen Angriff noch wesentlich wirkungsvoller zu machen, könnte ein Angreifer sich einen Mitarbeiter aussuchen, der wirklich ausser Haus – vielleicht im Urlaub – ist, was sich ebenfalls relativ leicht herausfinden lässt. Auf diese Weise würde der betroffene Mitarbeiter noch nicht einmal bemerken, dass seine E-Mails gestohlen werden. Ausserdem könnte der Angreifer im Vorfeld weitere Daten über das potentielle Opfer in Erfahrung bringen, wie beispielsweise dessen Vorgesetzten – ebenfalls eine Information, die zunächst harmlos erscheint, in diesem Fall aber als zusätzliches Mittel eingesetzt werden kann, um das Vertrauen der IT-Hotline zu erlangen. Gibt der Angreifer beispielsweise an, dass sein Vorgesetzter «Herr XYZ» grosses Vertrauen in ihn setzen würde, das er wegen einer bevorstehenden Beförderung nicht enttäuschen möchte, wird ihm noch eher geholfen. Einem Kollegen, der in Schwierigkeiten steckt, hilft man schliesslich, oder? Die dritte Regel lautet demnach:



- Hilfsbedürftigkeit ist ebenfalls ein gern von Angreifern eingesetztes Mittel. Gezielt wird so die Hilfsbereitschaft ausgenutzt, schliesslich kennt jeder das Gefühl, neu oder unerfahren zu sein. Stellen Sie sicher, dass der Hilfesuchende wirklich derjenige ist, der er zu sein vorgibt!




So gelangt ein Angreifer an Namen und Durchwahlen neuer Mitarbeiter

Sensitive und geheime Daten

Die Schlussfolgerung aus dem vorangegangen Beispiel lautet also, dass es keine harmlosen Daten gibt und dass sich ein Angreifer durch deren Kenntnis durchaus Vertrauen erschleichen kann. Doch scheinbar harmlose Daten haben noch einen weiteren Nachteil – unter Umständen lassen sich aus der Kombination harmloser Daten durch simples Schlussfolgern weitere Daten gewinnen, die sensitiv oder vielleicht sogar geheim sind.


Ein klassischer Fall solcher Schlussfolgerungen ist das ganz simple Erraten eines Kennwortes, indem ein Angreifer persönliche Daten – die mit Sicherheit nicht geheim sind – wie Geburtsdatum oder den Namen der Freundin des Opfers ausprobiert. Ebenso, wie es kein Problem darstellt, die Durchwahl oder den Vorgesetzten eines Mitarbeiters in Erfahrung zu bringen, ist es problemlos möglich, solche persönliche Daten in Erfahrung zu bringen. In grösseren Betrieben kann es bereits ausreichen, sich in der Kantine in die Nähe des betroffenen Mitarbeiters zu setzen und schlicht das Gespräch zu belauschen. Die vierte Regel lautet also:

- Persönliche und private Daten lassen sich leicht herausfinden, indem ein unbedarftes Gespräch in lockerer Atmosphäre belauscht wird. Seien Sie wachsam, wem in Ihrer direkten Umgebung Sie diese Daten nicht anvertrauen würden.
Da sich Kollegen in der Mittagspause häufig auch über private Themen unterhalten, stehen die Chancen für einen Angreifer gut, die entsprechenden Daten zu erhalten. Benötigt der Angreifer allerdings gezielt eine bestimmte Information, könnte er sich auch als neuer Mitarbeiter ausgeben, der sich noch nicht gut auskennt, um so den entsprechenden Mitarbeiter scheinbar «rein zufällig» in ein Gespräch zu verwickeln. Der Vorteil bei dieser Taktik ist, dass es dem betroffenen Mitarbeiter häufig nicht einmal bewusst wird, dass er gerade persönliche Daten preisgibt.



So erschleicht ein Angreifer ein Kennwort

Dreistigkeit führt ans Ziel

Ein grundlegendes Element bei einem auf Social Engineering basierenden Angriff – sowohl bei der vorausgehenden Informationsbeschaffung wie auch bei der tatsächlichen Durchführung des Angriffes – ist, dass der Angreifer in der Regel eine gewisse Dreistigkeit an den Tag legt. Gelingt es ihm, selbstbewusst aufzutreten und das Gefühl zu vermitteln, als gehörte er dazu, schwindet der Argwohn bei den meisten Mitarbeitern erstaunlich schnell. Ein typisches Verhalten, zu dem fast jeder Mensch neigt, ist, Autoritäten und Untergebene als solche anzuerkennen – ohne näher nachzufragen, aus Angst, schlecht dazustehen oder aus Desinteresse.


Tritt ein Angreifer am Empfang auf und gibt sich als wichtiger Geschäftspartner aus, wird ihm sicherlich anders begegnet, als wenn er sich dort als offensichtlich Aussenstehender melden würde. Ebenso wird er sicherlich von den wenigsten Mitarbeitern skeptisch beäugt, wenn er in einem Blaumann durch das Gebäude spaziert und offensichtlich als Handwerker erkennbar ist. Benötigt er in dieser Situation Hilfe, so reicht es in fast allen Fällen aus, den nächstbesten Mitarbeiter anzusprechen, der ihm bereitwillig weiterhilft oder ihn zu jedem gewünschten Ziel innerhalb der Firma bringt. Die fünfte Regel lautet deshalb:




- Die meisten Menschen verhalten sich automatisch anders, sobald sie sich einer Autorität oder einem Untergebenen gegenüber glauben. Seien Sie in beiden Fällen skeptisch, es sei denn, Sie kennen denjenigen persönlich!
Ebenso setzt ein Angreifer Dreistigkeit ein, um an Informationen zu gelangen – oftmals reicht es bereits aus, direkt nach ihnen zu fragen. Sofern die Informationen von den meisten Mitarbeitern zunächst als harmlos angesehen werden, erhält der Angreifer häufig reflexartig eine entsprechende Antwort, ohne dass zunächst nachgefragt wird, wofür er diese Informationen benötigt. Selbst wenn er an einen Mitarbeiter gerät, der skeptisch reagiert, muss sich der Angreifer nur geschickt aus der Affäre ziehen und kann zu einem späteren Zeitpunkt einen weiteren Versuch bei einem anderen Mitarbeiter durchführen. Die sechste Regel heisst also:



- Informationen lassen sich oftmals dadurch gewinnen, dass man einfach nach ihnen fragt. Behalten Sie dies stets im Hinterkopf und fragen Sie sich, warum Sie nach dieser Information gefragt werden, bevor Sie antworten!

Trau schau wem

Im Gegensatz zu technischen Angriffen, die durch entsprechende technische Gegenmassnahmen erkannt und im Prinzip relativ einfach eingedämmt oder sogar verhindert werden können, stehen Unternehmen denjenigen Angriffen, die auf Social Engineering basieren, aus technischer Sicht ziemlich machtlos gegenüber. Die einzige taugliche Gegenmassnahme gegen Social Engineering ist die Intelligenz und vor allem die Skepsis der Mitarbeiter.

So gilt es beispielsweise, grundsätzlich niemandem zu trauen, den man nicht persönlich kennt, sämtliche Daten und Informationen als potentiell sensitiv anzusehen und sich immer der Tatsache bewusst zu sein, dass das sympathische, Hilfe suchende Gegenüber nicht notwendigerweise der neue Kollege sein muss, für den es sich ausgibt. Genauso gut könnte es sich um einen Angreifer handeln, der auf dreiste Art versucht, seinen Angriff vorzubereiten oder durchzuführen.