Die Frage, warum Vertrauen so elementar ist, lässt sich leicht beantworten: Menschen neigen dazu, Situationen, die ihnen vertraut erscheinen, als nicht riskant einzuschätzen. Kennt man eine bestimmte Situation, handelt es sich um einen vertrauten Menschen, eine vertraute Lokation oder ein vertrautes Ereignis, so ist man weniger skeptisch, beäugt Sachverhalte nicht mehr so kritisch und hinterfragt die Beweggründe des anderen nicht.
Ohne Vertrauen gäbe es keine zwischenmenschlichen Beziehungen, sämtliche menschliche Nähe wäre nicht in dieser Form möglich. Das Besondere am Vertrauen ist, dass fast jeder Mensch zudem das Bedürfnis verspürt, anderen Menschen vertrauen zu können, und seinerseits anderen gegenüber als Vertrauter zu handeln.
Vertrauen
Obwohl – oder vielmehr gerade weil – Vertrauen ein dermassen tiefsitzendes und elementares menschliches Gefühl ist, könnte man annehmen, dass es schwierig sei, Vertrauen aufzubauen. Dass dem nicht so ist, erfahren die meisten von uns ständig wieder, wenn man völlig Fremden Dinge anvertraut, bei denen man sich im nachhinein fragt, warum man dies eigentlich getan hat. Eine häufige Ursache ist, dass man sich in einer nicht vertrauten Umgebung befindet und sozusagen «überrumpelt» wird, indem auf dreiste Art eine Frage gestellt wird, die man automatisch beantwortet, ohne zunächst darüber nachzudenken.
Ein beliebtes Beispiel hierfür ist die übliche Frage an manchen Supermarktkassen, welche Postleitzahl denn die eigene Adresse habe – hierauf antworten die meisten Menschen automatisch und ohne auch nur für eine Sekunde nachzudenken, und zwar wahrheitsgemäss. Das Überraschende ist, dass man auffällt und von den anderen als merkwürdig erachtet wird, wenn man sich explizit dagegen ausspricht, diese Daten preiszugeben. Die erste Regel lautet also:
➤ Seien Sie allen Personen gegenüber skeptisch, wenn Sie sie nicht persönlich kennen – egal, ob sie sich als harmloser Besucher oder als ranghoher Manager ausgeben. Verifizieren Sie die Identität der Person, und zwar auf eine Weise, die Sie vorgeben, nicht die entsprechende Person. Denken Sie daran: Alle Informationen, die diese Person über Sie und Ihr Unternehmen hat, könnten gestohlen sein!
Doch auch sensitivere Informationen als die Postleitzahl lassen sich von einem geschickten Angreifer in Erfahrung bringen, wenn es ihm gelingt, das Opfer des Angriffs in eine nicht vertraute Situation zu manövrieren und sich selbst anschliessend als rettenden Strohhalm anzubieten. Das einzige, was ein Angreifer zu diesem Zweck erreichen muss, ist, Hilflosigkeit zu erzeugen und anschliessend seine Hilfe anzubieten, oder – im umgekehrten Fall – sich als scheinbar hilfsbedürftig auszugeben und die Hilfsbereitschaft der anderen auszunutzen.
Sobald diese Hürde genommen ist und das Angriffsopfer den Angreifer als hilfsbereite oder hilflose Person eingestuft hat, ist der Rest einfach. Denn sowohl einem hilfsbereiten wie auch einem hilflosen Menschen bringt man per se viel Vertrauen entgegen, weil ebenfalls tiefe Instinkte geweckt werden – schliesslich helfen die meisten Menschen doch aus Mitleid und nicht, weil sie daraus auf hinterhältige Weise Profit schlagen wollen, oder? Es gilt demnach, als zweite Regel zu beachten:
- Vertrauen Sie nicht blind! Vergewissern Sie sich, wem Sie Vertrauen entgegenbringen, und halten Sie dieses Vertrauen auf einem vernünftigen Mass! Seien Sie nicht zu freigiebig mit Ihrem Vertrauen, es könnte ausgenutzt werden!
Hilfsbedürftigkeit als Falle
Hilfsbedürftigkeit tritt in zwei Varianten auf – zum einen kann der Angreifer selbst Hilfsbedürftigkeit vortäuschen, um Hilfsbereitschaft zu erheucheln, zum anderen kann er auch Hilfsbedürftigkeit beim Angriffsopfer erzeugen, damit dieses für Hilfsbereitschaft empfänglich ist.
Insbesondere der erste Fall ist äusserst einfach in der Umsetzung – es genügt in den meisten Fällen, wenn sich ein Angreifer als Neuling ausgibt. Da jeder Mitarbeiter eines Unternehmens irgendwann einmal in ebendiesem Unternehmen mit der Arbeit begonnen hat, kann sich auch jeder Mitarbeiter daran erinnern, wie froh man um jede Unterstützung war. Alles, was der Angreifer also tun muss, ist, sich als Neuling auszugeben, der sich noch nicht zurechtfindet – schon erhält er auf Nachfragen die meisten Auskünfte bezüglich Mitarbeitern, Hierarchien, Prozessen, Orten usw.
Gelingt es ihm, sich vorher ein wenig Informationen zu dem Unternehmen zu verschaffen, so dass er nicht ganz ahnungslos dasteht, sondern sich eben als neuer Mitarbeiter verkaufen kann – der schon ein bisschen etwas über seinen neuen Arbeitsplatz weiss, aber eben nicht alles –, wird dieser Angriff um so glaubwürdiger und damit wirksamer. Das führt zur dritten Regel:
- Fremde, die sich als Neulinge ausgeben, können auch keine Neulinge sein. Auch dargebotene Fakten, die Sie glauben machen, dass es sich um einen regulären Mitarbeiter handelt, können falsch sein. Prüfen Sie dies im Zweifelsfall nach, bevor Sie Informationen herausgeben, die gegen Sie oder Ihr Unternehmen verwendet werden könnten!
Ist es dem Angreifer aus irgendeinem Grund nicht möglich, als Neuling aufzutreten, so gibt es noch eine zweite Taktik, um Hilfsbereitschaft zu erwecken: Überforderung. Im Prinzip funktioniert diese Variante genauso wie die erste, in dem Sinne, dass an die Erinnerung der anderen Mitarbeiter appelliert wird, wie es war, als man eine schier unlösbare Aufgabe vor sich hatte. Auch in einer solchen Situation ist man um jede helfende Hand dankbar, weshalb die meisten Mitarbeiter auch sofort hilfsbereit reagieren, wenn ein scheinbar total überforderter und überlasteter Kollege um Hilfe bittet.
Der grosse Vorteil für den Angreifer in diesem Fall ist – neben der Tatsache, dass er die Informationen erhält, auf die er es abgesehen hat –, dass nicht einmal er selbst die Informationen zusammentragen muss. Wenn er Glück hat und es geschickt anstellt, wird ihm die meiste Arbeit von einem regulären Mitarbeiter abgenommen, so dass der Angriff im nachhinein nicht einmal mehr analysiert werden kann, weil er nicht von aussen stattgefunden hat. Die vierte Regel lautet demnach:
- Misstrauen Sie Hilflosigkeit, es sei denn, Sie kennen die Person und Ihr Anliegen persönlich! Kapitulieren Sie auch nicht vor Autoritäten, im Zweifelsfall wird man Ihnen Ihre Aufmerksamkeit danken!
Erschlichene Hilfsbereitschaft
Ebenso wie es bei Hilfsbedürftigkeit zwei Varianten gibt, gibt es diese auch in bezug auf Hilfsbereitschaft. Zum einen kann ein Angreifer hilfsbereit auftreten, bevor er den Angriff startet, zum anderen kann er dies auch danach tun.
Ein häufiger Weg, Vertrauen zu einem Mitarbeiter aufzubauen, liegt darin, Hilfsbereitschaft schon vor dem Angriff zu zeigen, so dass der Mitarbeiter den Angreifer als scheinbar kompetenten und hilfsbereiten Kollegen schätzen lernt. Ein Angreifer könnte sich beispielsweise an einen Mitarbeiter wenden und sich als Kollege aus der IT ausgeben, der im Rahmen eines Versuches die Installation eines Service Pack mit einigen ausgewählten Mitarbeitern durchgehen soll, bevor dieses im Rahmen eines grossen Rollout allen Mitarbeitern zugänglich gemacht wird.
Er bittet den Mitarbeiter, dieses Service Pack von einer scheinbar internen Webseite herunterzuladen, dabei kann er dem Mitarbeiter aber beispielsweise den so kompliziert erscheinenden Link per E-Mail zusenden, so dass dieser nur noch darauf klicken muss und so über die wahre Herkunft des vermeintlichen Service Pack getäuscht wird. Damit die Installation zügig vonstatten geht, bietet er dem Mitarbeiter an, die schwierige Installation mit diesem durchzugehen – da die meisten Mitarbeiter in solchen Situationen froh um jede Hilfe sind, wird auch dieser vermutlich das Angebot annehmen und sich leiten lassen.
Statt eines Service Pack installiert der Mitarbeiter dabei unwissentlich natürlich eine Schadsoftware, die im späteren Verlauf beispielsweise Kennwörter ausspähen und an den Angreifer senden könnte. Die fünfte Regel lautet also:
- Seien Sie bei allzu unerwarteter Hilfsbereitschaft skeptisch, sie könnte unter Umständen lediglich dazu dienen, Ihr Vertrauen zu gewinnen und Sie dazu zu bringen, dem Angreifer unwissentlich zuzuarbeiten! Versichern Sie sich zunächst, dass das Anliegen des hilfsbereiten Kollegen seine Rechtmässigkeit hat!
Die zweite Variante, wie ein solcher Angriff stattfinden kann, ist, dass der Angreifer tatsächlich zunächst ein Problem provoziert und sich dann an den Mitarbeiter wendet, beispielsweise als vermeintlicher Mitarbeiter der IT, um ein gerade aufgetretenes Problem so schnell wie möglich zu beheben. Da der Mitarbeiter das Problem tatsächlich vor Augen hat, vermutet er in den seltensten Fällen, dass es sich dabei um ein absichtlich herbeigeführtes Problem handelt, um ihn und seine Arglosigkeit auszunutzen. Das ergibt die sechste Regel:
- Wenn Sie auf ein Problem gestossen sind, wenden Sie sich aktiv an einen Ihnen persönlich bekannten Kollegen, der Ihnen bei der Lösung behilflich sein kann. Misstrauen Sie Hilfsbereitschaft, die von sich aus angeboten wird, dies könnte ein Trick sein!
Fazit
«Vertrauen ist gut, Kontrolle ist besser» – dieses Sprichwort beweist im Zusammenhang mit Social Engineering einmal mehr seine Gültigkeit und Wichtigkeit. Die Grundaussage diesbezüglich muss wohl lauten: Seien Sie skeptisch, allem und jedem gegenüber, was Sie nicht kennen, deren Absicht Sie nicht kennen und das Sie nicht überschauen können! Verschaffen Sie sich Gewissheit, wem Sie welche Informationen aushändigen.
Selbstverständlich soll dies nicht bedeuten, jedem Menschen ein abgrundtiefes Misstrauen entgegenzubringen – doch Vertrauen muss im Lauf der Zeit wachsen, es muss nach und nach entstehen und sich als beständig und vor allem fundiert erweisen. Diesen Balanceakt zwischen Vertrauen und Misstrauen zu schaffen, das ist eine grosse Herausforderung.
Security-Zone 2007
Am 19. und 20. September findet in Zürich-Oerlikon zum vierten Mal die Security-Zone statt. Während der beiden Messetage bietet die Security-Zone 07 kostenlos die Möglichkeit, sich über die neuesten Trends der Informationssicherheit zu informieren. Neben der Messe mit rund 20 Ausstellern findet ein Kongress mit über 35 Vorträgen und Breakout-Sessions statt, abgerundet wird das Programm mit Podiumsdiskussionen, Live-Demos und Networking-Events. Detaillierte Informationen finden Sie unter www.security-zone.info.