Anzeige

Was sind eigentlich Social Engineering Angriffe?

Den Menschen im Visier

Eine Rezeptur, die die Qualität eines Speziallacks oder einer Medizin einzigartig macht, spezielle Konditionen beim Einkauf von Rohstoffen oder technische Kenntnisse zur Optimierung von Produktionsabläufen sind entscheidende Faktoren im globalen Wettbewerb. Folgerichtig müssen solche Informationen möglichst lange geheim bleiben. Ebenso verständlich ist es, dass genau dieses Know-how bei den Konkurrenz-Unternehmen sehr begehrt ist. Mittlerweile schrecken einige nicht mehr davor zurück, Informationen auch auf illegalem Wege abzuschöpfen. Teilweise gelingt dieses erschreckend einfach zum Beispiel über freundliche und hilfsbereite Mitarbeiter.

Mittlerweile schrecken einige nicht mehr davor zurück, Informationen auch auf illegalem Wege abzuschöpfen. Teilweise gelingt dieses erschreckend einfach zum Beispiel über freundliche und hilfsbereite Mitarbeiter. Mit Hiobsbotschaften über Viren, Würmer, Spyware, Trojaner und andere Malware oder Hacking-Attacken via Internet werden Unternehmen nahezu täglich konfrontiert. Dass Angriffe mit deutlich geringerem technischem Aufwand, ganz einfach von innen heraus, sehr Erfolg versprechend sein können, ist zu den meisten Verantwortlichen noch nicht nachhaltig durchgedrungen. Dabei versuchen Kriminelle immer öfter durch den Kontakt mit Mitarbeitern oder gar persönliches Eindringen in ein Unternehmen dem so genannten Social Engineering an wertvolle Informationen zu gelangen. Bei deren Beschaffung dienen Archive, Druckerstationen, Faxgeräte oder Papierkörbe ebenso als Quelle, wie digital abgespeicherte Daten.

Eine Rezeptur, die die Qualität eines Speziallacks oder einer Medizin einzigartig macht, spezielle Konditionen beim Einkauf von Rohstoffen oder technische Kenntnisse zur Optimierung von Produktionsabläufen sind entscheidende Faktoren im globalen Wettbewerb. Bildgestaltung: Zimmytws - Fotolia.com.

Wie trivial funktionieren erfolgreiche Angriffe?

Was Social Engineering tatsächlich ist, definiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) folgendermaßen: "Eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch Aushorchen zu erlangen." Dabei werden "menschliche Eigenschaften wie zum Beispiel Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt". Letztendlich wird es dadurch möglich, Mitarbeiter so zu manipulieren, dass sie unzulässig handeln. Was auf den ersten Blick relativ trivial erscheint, ist in Wirklichkeit eine ausgeklügelte Vorgehensweise. Experten sind sich einig, dass ein erfolgreicher Angriff auf der linearen Ausführung von vier Phasen basiert. In der ersten Phase sammelt ein Angreifer Informationen über das anvisierte Unternehmen. Hier bieten in den meisten Fällen die Unternehmenswebseiten einen lohnenden Einstieg; teilweise vermitteln diese dem geübten Betrachter einen guten Eindruck über schlecht gesicherte Nebeneingänge oder die Platzierung von Bewegungsmeldern. Aber auch Auskünfte über Mitarbeiter sind hier oftmals zu finden. Mit diesem Basiswissen können dann in sozialen Netzwerken wie beispielsweise Xing oder LinkedIn zu den betreffenden Mitarbeitern weitere Nachforschungen angestellt werden. Dies genügt meistens, um später bei persönlichen Anrufen im Unternehmen einen kompetenten Eindruck zu vermitteln, um so an weitere wichtige firmenspezifische Informationen zu gelangen.

Geplanter Zugriff auf kritische IT-Systeme

An diesem Punkt findet der Übergang von der Informationssammlung hin zur Entwicklung einer Beziehung mit bestimmten Mitarbeitern statt. Hierzu sind entweder nur ein oder zwei Anrufe notwendig, es kann aber auch, je nach dem wie umfassend das Ziel des Angreifers ist, mehrere Wochen oder gar Monate dauern. Der nächste Schritt besteht darin, dass die persönliche Beziehung genutzt wird, um konkret etwas zu veranlassen: Bspw. ausgesuchte Mitarbeiter damit zu beauftragen, ihre Passwörter zu ändern. Oder sie zu bitten, zur Behebung von IT-Problemen bestimmte Befehle bzw. Applikationen auszuführen. Tatsächlich wird damit eine versteckte Anweisung für die Änderung von Zugriffsrechten gegeben. So kann letztendlich ohne langwierige und umfangreiche technische Angriffsversuche bspw. der geplante Zugriff auf IT-Systeme erfolgen.

Dass Angriffe mit geringerem technischem Aufwand, ganz einfach von innen heraus, sehr Erfolg versprechend sein können, ist zu den meisten Verantwortlichen noch nicht nachhaltig durchgedrungen. Dabei versuchen Kriminelle immer öfter durch den Kontakt mit Mitarbeitern oder gar persönliches Eindringen in ein Unternehmen dem so genannten Social Engineering an wertvolle Informationen zu gelangen. Bild: Alexey Klementiev - Fotolia.com.

Wie steht es bei Ihnen mit der Sicherheit?

Fest steht, dass Kriminelle gezielt menschliche Schwächen ausnutzen, um ihre Ziele zu erreichen. Da sie hierzu eine sehr systematische Vorgehensweise wählen, ist es für die betroffenen Mitarbeiter oftmals fast unmöglich, im Falle eines Angriffs richtig zu agieren. Um ein angemessenes Sicherheitsniveau zu schaffen, gilt es für die Verantwortlichen, die spezifischen Schwachstellen in ihrem Unternehmen kennen zu lernen. Mittlerweile sind sich viele Geschäftsführer und Vorstände der Gefahrenpotenziale bewusst, bspw. Robert Jungwirth, einer der Vorstände der Mipa AG in Essenbach. "Mir ist klar, dass in einem Unternehmen unserer Größenordnung offene Flanken vorhanden sind", so Jungwirth, "aus diesem Grund haben wir das Beratungsunternehmen @-yet damit beauftragt, diese herauszufinden." Seiner Meinung nach lassen sich Sicherheits-Checks speziell ausgerichtet auf Social Engineering einzig durch versierte Experten bewerkstelligen. Nur so sei im Weiteren zu gewährleisten, dass auch die entsprechenden Schutzmaßnahmen eingeführt würden. In diesem speziellen Sicherheits-Assessment geht es im Wesentlichen darum, die nachfolgend genannten drei Punkte abzuprüfen: Ist es möglich, unbehelligt in das Unternehmen zu gelangen?; Wie frei kann man sich als Fremder im Unternehmen bewegen?; Wie einfach ist es, in das Netzwerk einzudringen? Grundsätzlich sollte die richtige Vorgehensweise, auch zu diesen Fragestellungen, in den Sicherheits-Policies eines Unternehmens umfassend und für die Mitarbeiter nachvollziehbar dokumentiert sein.

Wenn Mitarbeiter zum Sicherheitsrisiko werden

Wie einfach diese Regelwerke jedoch auch ins Gegenteil verkehren können, lässt sich anhand des folgenden Fallbeispiels belegen. Im Rahmen eines Assessments bei einem großen mittelständischen Unternehmen sollte kontrolliert werden, wie die Mitarbeiter darauf reagieren, wenn sich betriebsfremde Personen im Unternehmen aufhalten. Tatsächlich wurden die Sicherheitsexperten bei ihrem Auftrag relativ schnell durch einen Betriebsangehörigen gestoppt und vom Werkschutz zum Werkstor begleitet. Nachdem sie jedoch erklärten, dass sie mit einem Sicherheits-Check beauftragt seien und sich mittels Visitenkarten auswiesen, wurde ihnen ohne weitere Überprüfung ein Tagesausweis ausgestellt, der sie dazu legitimierte, jede Abteilung zu betreten. Eine im Prinzip folgerichtige Handlungsweise, denn in den Security-Policies des Unternehmens ist festgelegt, dass jede Person, die sich im Unternehmen aufhält, einen Ausweis tragen muss - in diesem Fall hätte dies jedoch fatale Auswirkungen haben können. Aber auch hilfsbereite Mitarbeiter werden unbeabsichtigt zum Sicherheitsrisiko, wie bei einem anderen mittelständischen Unternehmen zutage kam. Bei diesem Sicherheits-Check gelang es, in einem vollbesetzten Büro ohne Aufheben einen WLAN-Router zu installieren. Um sie bei ihrer Tätigkeit zu unterstützen, hatte eine freundliche Kollegin aus dem Büro den Sicherheitsexperten von @-yet sogar einen freien Schreibtisch zugewiesen. Dabei hatten sich diese weder ausgewiesen noch ein Auftragsformular vorgelegt.

Alle Maßnahmen, insbesondere die Kultur der Informationssicherheit muss vom obersten Management vorgelebt und mitgetragen werden - nur so kann von den Mitarbeitern erwartet werden, dass sie alle betreffenden Vorgaben auch wirklich Ernst nehmen und umsetzen. Bild: Tomasz Trojanowski - Fotolia.com.

Wie können sich Unternehmen schützen?

Grundsätzlich bleibt festzuhalten, dass an den positiven Verhaltensweisen von Mitarbeitern nichts auszusetzen ist. Im Gegenteil, Werte wie Freundlichkeit und Kollegialität sind wünschenswert. Aus diesem Grund ist es wenig förderlich hier starre Regeln für das richtige Verhalten im Falle eines Social Engineering-Angriffs aufzustellen, die den konstruktiven Mitarbeiterqualitäten eigentlich widersprechen. Da bei Social Engineering-Übergriffen der Mensch die Zielscheibe ist, sollte dieser entsprechend auch mit seinen Bedürfnissen im Mittelpunkt der Sicherheitsstrategie stehen. Allein schon unter der Prämisse, dass der einzelne Mitarbeiter im Prinzip unterschiedliche Angriffspunkte hat: Der eine reagiert darauf, wenn an seine Hilfsbereitschaft appelliert wird, der andere legt Wert darauf, alles zu tun, um als Team-Player zu gelten. Zur Berücksichtigung aller spezifischen Gegebenheiten in einem Unternehmen bedarf es somit eines individuell zugeschnittenen Maßnahmenkatalogs und ständiger Schulung. Hier könnten den Mitarbeitern im Rahmen von Trainings bspw. Gesprächstechniken vermittelt werden, die sie dazu befähigen, auch bei unfreundlichen und genervten Anrufern stets ihre Position als Geschäftsführer zu behalten. Ebenso wichtig ist es, den Mitarbeitern zu vermitteln, dass die Vorgesetzten ihnen gegenüber jederzeit loyal sind, auch dann, wenn einem wichtigen Kunden aus Vorsicht ad hoc nicht die gewünschte Auskunft erteilt wurde. Bevor Unternehmen jedoch in die strategische Planung gehen, muss vorab eine Klassifizierung der Informationen gemäß ihrer Kritikalität für den Geschäftsbetrieb vorgenommen werden. Hier bedarf es einer genauen Differenzierung, denn nicht alle Informationen sind gleich wertvoll. Wenn Mitarbeiter dazu angehalten werden bei allen Unterlagen, auch den augenscheinlich trivialen, höchste Sicherheitsvorkehrungen vorzunehmen, wird die Motivation insgesamt voraussichtlich eher sinken. Insgesamt ist es empfehlenswert, Mitarbeiter stärker im Rahmen der Sicherheitsstrategie zu involvieren. Dazu zählt auch, eine Ethik für den richtigen Umgang mit Daten auszubilden. Denn nur wenn Mitarbeiter den Sinn von Sicherheitsmaßnahmen akzeptieren, werden sie mehr Vorsicht bei dem Umgang mit unternehmenskritischen Daten walten lassen. Letztendlich gilt es jedoch zu beachten: Alle Maßnahmen, insbesondere die Kultur der Informationssicherheit, müssen vom obersten Management vorgelebt und mitgetragen werden - nur so kann von den Mitarbeitern erwartet werden, dass sie alle betreffenden Vorgaben auch wirklich Ernst nehmen und umsetzen.

Autor Wolfgang Straßer ist Geschäftsführer der @-yet GmbH in Leichlingen.
Internet: www.add-yet.de   


IT&PRODUCTION, 12-2008


www.i-need.de    www.sps-magazin.de    www.gebaeudedigital.de    www.embedded-design.net    www.etek-magazin.de    www.invision-news.de
Anzeige
ITVT