Der Mensch als Sicherheitslücke.
Security

Social Engineering

Die Sicherheitslücke sitzt vor dem Computer: Beim Social Engineering täuschen Hacker die Mitarbeiter, um Zugang zu IT-Systemen zu bekommen. Ein Drittel aller Unternehmen weltweit ist betroffen.
Mitten im Wahlkampf um das Amt des US-Präsidenten musste Hillary Clinton 2016 schmerzhaft erfahren, welche Folgen Social Engineering haben kann. Ihr Wahlkampfmanager John Podesta bekam eine Nachricht, er solle das Passwort seines Google-Accounts ändern. Die Mitteilung sei seriös, erklärte auf Nachfrage ein IT-Mitarbeiter. Doch er irrte: Hinter dem mitgeschickten Link verbarg sich eine gefälschte Google-Login-Seite – die das gültige Passwort an Hacker weitergab. So gelangten die Kriminellen an Zehntausende von Podestas E-Mails und gaben sie zur Veröffentlichung an die Enthüllungsplattform Wikileaks weiter. Ein enormer Imageschaden für Hillary Clinton.
Das Fälschen von E-Mails und Webseiten, um an vertrauliche Daten zu kommen (Phishing), ist die wohl bekannteste Methode des Social Engineerings. Social Engineering, das ist die Kunst der Täuschung, immer mit dem Ziel, Menschen sensible Informationen zu entlocken oder sie zu bestimmten Handlungen zu bewegen – oft als erste Phase einer Cyberattacke. Die Angriffe visieren also nicht die IT-Systeme an, sondern deren Nutzer. Laut Digitalverband Bitkom ist jedes fünfte Unternehmen in Deutschland zwischen Anfang 2015 und Anfang 2017 Opfer von Social-Engineering-Angriffen geworden. Weltweit war zwischen Sommer 2015 und Sommer 2017 sogar ein Drittel der Unternehmen betroffen, ergab eine Studie der britischen Forschungsfirma Loudhouse.
Winning SECTF call at DEF CON 25
Chris Kirsch und Chris Hadnagy stellen den Gewinnaufruf des Social Engineering Capture the Flag-Wettbewerbs (SECTF) auf der DEF CON 25 (2017) nach.

Chef-Trick statt Enkel-Trick

Die Angreifer arbeiten mit psychologischen Tricks: Sie tischen ihren Opfern eine mitleiderregende Geschichte auf, setzen sie unter Zeitdruck oder schüchtern sie mit autoritärem Gehabe ein. Als Kommunikationskanal dienen dabei nicht nur E-Mails, sondern auch Faxe, persönliche Gespräche oder das Telefon (Vishing). Ein Beispiel für einen erfolgreichen Angriff per Telefon zeigt Security-Spezialist Chris Kirsch in einem Video: Darin stellt er das Telefonat mit einer realen Firma nach, mit dem er bei der Hacker-Konferenz DEF CON 2015 einen Social-Engineering-Wettbewerb gewann.
Im Sommer 2017 warnte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) explizit vor Kriminellen, die sich als Führungskräfte ausgeben und Mitarbeiter veranlassen, hohe Geldbeträge ins Ausland zu überweisen. Rund 75 Millionen Euro Schaden sind der deutschen Wirtschaft demnach 2016 entstanden. Opfer eines solchen CEO-Frauds mit gefälschten E-Mails wurden damals zum Beispiel der Autozulieferer Leoni und der Messaging-App-Anbieter Snapchat. Bei Letzterem etwa gab ein Lohnbuchhalter eine aktuelle Gehaltsliste heraus, nachdem er eine Phishing-Mail im Namen des CEOs erhalten hatte.

Facebook als Quelle für Human Hacking

Je genauer der Angreifer sein Opfer oder dessen Unternehmen zuvor ausspioniert hat, desto größer sind die Erfolgschancen. Ein Beispiel: Deutsche Sicherheits-Forscher versandten in zwei Studien 2014 und 2017 E-Mails mit einem Link und ähnlichem Inhalt an Studenten. Einziger Unterschied: die Anrede. Bei den personalisierten E-Mails klickten 56 Prozent der Empfänger auf den Link, bei den nicht-personalisierten nur 20 Prozent. Dank sozialer Medien wie Facebook und Twitter lassen sich Social-Engineering-Attacken heute deutlich einfacher und genauer auf Zielpersonen zuschneiden als früher.
Social Engineering funktioniert jedoch auch ohne persönlichen Kontakt zwischen Hacker und Opfer. Zum Beispiel per USB-Stick: Als Forscher rund um den Google-Sicherheitsexperten Elie Bursztein im April 2015 testweise 300 USB-Sticks auf dem Campus der University of Illinois Urbana-Champaign verteilten, wurden 48 Prozent von ihnen aufgehoben und die Dateien darauf geöffnet. Hacker könnten aber auch den Abfall nach sensiblen Daten wie notierten Passwörtern durchsuchen (Dumpster Diving) oder sich an die Fersen von Mitarbeitern mit besonderen Zugangsberechtigungen heften: Beim sogenannten Tailgaiting oder Piggybacking huschen Unbefugte so in die Unternehmensgebäude hinein.
Quelle: BKA Bundes­lage­bild Wirtschafts­krimi­nalität 2016 www.bka.de

Awareness-Trainings für Mitarbeiter

Technische IT-Security hilft also wenig, wenn die Menschen in einem Unternehmen Social-Engineering-Angriffe nicht erkennen. Die wichtigste Maßnahme sind daher Mitarbeiterschulungen, um die typischen Tricks der Hacker zu erläutern und das Verhalten in entsprechenden Situationen zu üben. Einmal schulen hilft allerdings nicht, warnt das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und empfiehlt, das Wissen regelmäßig aufzufrischen. Rund um den Globus standen 2017 laut Loudhouse jedoch nur bei jedem zweiten Unternehmen Sicherheitsthemen auf der Weiterbildungsagenda.
Um den Erfolg der Schulungen zu prüfen, bieten sich Social-Penetration-Tests an. Dabei schlüpft eine beauftragte Person in die Rolle eines Social Engineers und testet, wie weit er mit den Methoden der Hacker kommt. Der Nachteil: Betroffene Mitarbeiter könnten sich bloßgestellt fühlen. Social-Engineering-Maßnahmen gehören natürlich auch in das Sicherheitskonzept, welches Unternehmen für eine ISO-27001-Zertifizierung auf Basis des BSI IT-Grundschutz einreichen und umsetzen müssen.
Zuletzt bleibt klarzustellen: Mitarbeiter mögen ein Sicherheitsrisiko sein – sie sind aber auch ein Bollwerk gegen Cyberangriffe: Laut Bitkom bemerken Unternehmen Hackerangriffe am häufigsten dank Hinweisen aus der Belegschaft.

Weitere Beiträge