Schutz vor Social Engineering Angriffen

15.06.2008

Was ist Social Engineering?

Von Social Engineering spricht man immer dann, wenn ein Angreifer, z.B. für Zwecke der Industriespionage, menschliche Eigenschaften ausnutzt um an Informationen zu kommen. Social Engineering Angriffe sind leider eine extrem effiziente Methode zur Informationsbeschaffung und zwar ohne Einsatz von technischen Hilfsmitteln. Angreifer nutzen dafür natürliche menschliche Reaktionen aus, positive Eigenschaften wie Hilfsbereitschaft, Kundenfreundlichkeit, Dankbarkeit, Stolz auf die Arbeit und das Unternehmen oder weniger positive Aspekte wie Gutgläubigkeit, Respekt vor Autoritäten oder gar Bestechlichkeit und auch Eigenschaften wie Konfliktvermeidung und Liebesbedürfnis und der Wunsch, ein guter Teamplayer zu sein.

Oft werden solche Angriffe in Verbindung mit einem Einbruch in das Firmennetz verwendet, z.B. indem auf diese Weise Benutzername und das Passwort eines Mitarbeiters erschlichen werden oder indem das Imitieren eines Telecom-Technikers für ein Eindringen auf das Werksgelände genutzt wird.

Social Engineering kann mit Gesprächen im Wirtshaus beginnen, in denen ein Mitarbeiter Vertrauliches ausplaudert (vielleicht erzählen sie stolz, an welchen Angeboten sie derzeit arbeiten), oder über Anrufe beim Empfang oder einer Sekretärin als Mitarbeiter einer anderen Niederlassung, bis hin zum Vorstand, der einem (falschen) Journalisten gern ein Interview über Zukunftspläne des Unternehmens gibt.

Im Kern vieler dieser Aktivitäten steht die Legitimierung des Angreifers als Kollege oder als Vorgesetzter (auch z.B. einer anderen Niederlassung), als bestehender Kunde des Unternehmens (der sein Passwort vergessen hat), als Mitarbeiter eines Service-Unternehmens, als Journalist oder als Mitarbeiter eines Umfrage-Instituts.

Dabei wird ein routinierter Angreifer schrittweise und systematisch vorgehen. Er kontaktiert verschiedene Leute im Unternehmen und spürt sehr schnell, wer für welchen Angriff anfällig ist. Von jedem der Mitarbeiter bekommt er einige neue Zusatzinformationen, die er beim nächsten Anruf wiederum als Mittel zur Vertrauensbildung einsetzen kann.

Die Schutzmöglichkeiten

Traditionelle Schutzkonzepte (auch in den Büchern von Kevin Mitnick) gehen davon aus, dass es ausreichend ist, wenn das Unternehmen klare und stringente Sicherheitsregeln aufstellt und diese den Mitarbeitern vermittelt, wie z.B.

konsequentes Sperren von Bildschirmen beim Verlassen des Arbeitsplatzes
konsequentes Abräumen der Schreibtische am Ende des Arbeitstags
Zugangspassworte werden nur dann zurückgesetzt, wenn der unmittelbare Vorgesetzte dies anordnet oder der Mitarbeiter persönlich beim Helpdesk vorspricht
alle Mitarbeiter haben elektronische Zugangskarten und alle Besucher werden beim Empfang abgeholt und sind nie unbeaufsichtigt auf dem Werksgelände

Aber die Realität sieht dann zumeist trotzdem anders aus: die Bildschirme sind unversperrt („ich werde doch meinen Kollegen vertrauen können“), das Abräumen der Schreibtische ist viel zu mühsam und wenn hinter mir noch jemand durch das Werkstor will, dann gebietet doch schon die Höflichkeit, dass ich ihm oder ihr die Tür aufhalte. Passworte werden sehr wohl auf Zuruf zurückgesetzt, wenn der Kollege nur genügend Druck macht und auf das dringende Projekt hinweist, das heute Abend noch erledigt werden muss. Und nach kurzer Zeit dürfen Gäste auch wieder allein auf dem Werksgelände „herumstreunern“.

Das heißt, die Regeln sind zwar gut, aber der Wunsch, den Kollegen vertrauen zu können, die Bequemlichkeit, die Kundenfreundlichkeit, die Höflichkeit der Mitarbeiter untergräbt die Regeln sehr schnell wieder. Strenge Regeln, die aber in „Notsituationen“ nicht anwendbar sind, helfen niemandem, sondern verlagern das Problem und den Konflikt zwischen Einhaltung der Regeln und Kundenfreundlichkeit (Höflichkeit, Bequemlichkeit, „gute Kinderstube“, Respekt vor Autoritäten) nur auf den Mitarbeiter.

Die Herausforderung

Die eigentliche Herausforderung beim Verhindern von Social Engineering liegt darin, dass viele der menschlichen Eigenschaften, die der Angreifer ausnutzt, auch für das Unternehmen sehr erwünscht sind. So ist die Hilfsbereitschaft eine Voraussetzung für Kundenfreundlichkeit, Vertrauen in andere Menschen zu setzen ist eine Voraussetzung für das Arbeiten in einer Gruppe und im Team.

Ein Problem entsteht immer dann, wenn die Mitarbeiter nicht wissen

wie vertraulich die jeweilige Information tatsächlich ist (z.B. die Privatnummern der Kollegen, Details der Unternehmensstruktur und Zuständigkeiten)
welcher Grad an Flexibilität und Kunden-Entgegenkommen ohne Gefährdung der Vertraulichkeit der anvertrauten Informationen noch gefahrlos möglich ist
ob ihr Chef auch dann hinter ihnen steht, wenn sie den Wunsch des anscheinend extrem wichtigen Kunden ablehnen, der soeben damit gedroht hat, dass er den Firmenchef persönlich kennt
welche alternativen Möglichkeiten sie haben, die Legitimierung des Anrufers festzustellen, wenn ein Anrufer sich auf dem normalen Weg nicht legitimieren kann
wen sie nachts oder am Wochenende zu raten ziehen können, wenn eine knifflige Bitte am äußersten Rand der Regeln liegt
wie sie die anderen Helpdesk-Kollegen warnen können, dass bei einem der Kunden-Accounts ein eigenartiger Anruf stattgefunden hat, bei dem sie ein ganz schlechtes Gefühl haben

Das heißt, traditionelle Schutzversuche beschränken sich zumeist auf das Aufstellen von fixen Regeln, deren starre Einhaltung die betroffenen Mitarbeiter häufig in einen Konflikt zwischen dem Bedürfnis, die Unternehmensregeln einzuhalten und dem Wunsch, den eigenen ethischen und moralischen Grundsätzen zu folgen, stürzt.

Unternehmen fordern von ihren Mitarbeitern gleichzeitig Kundenfreundlichkeit und Einhaltung der Regeln, lassen ihre Mitarbeiter dann aber oft mit dem daraus resultierenden Konflikt allein. Die Mitarbeiter verfügen zumeist nicht über eine ausreichende Sensibilisierung in Bezug auf die angewandten psychologischen 'Tricks', um im konkreten Fall entscheiden zu können, ob ein Angriff vorliegt.

Neue Schutzkonzepte

Dies bedeutet, dass der Schutz vor Social Engineering auf mehreren Ebenen stattfinden muss:

Kenntnis der korrekten Unternehmensabläufe, denn Unsicherheit bezüglich der korrekten Prozeduren kann der Angreifer sehr leicht ausnutzen
Vertrauen, dass eine korrekte Regeleinhaltung nie zu Ärger führen wird
Gute technische Unterstützung durch relevante Informationen in den Kunden- und Mitarbeiter-Datenbanken, damit Helpdesk-Mitarbeiter sich gegenseitig warnen können
Umfassende Kenntnis der psychologischen Angriffstechniken und eine entsprechende Sensibilisierung, denn nur wer die Techniken kennt, kann überhaupt in der Lage sein, den Angriff zu erkennen
Kenntnis der eigenen psychologischen Schwächen und Angriffspunkte, so dass der Mitarbeiter weiß, ob er z.B. eher durch Schmeicheleien oder durch Drohungen oder über seine Angst vor Autoritäten angreifbar ist. Diese Kenntnis erlaubt es dem Mitarbeiter, sich von den durch den Angreifer bewusst ausgelösten Gefühlen leichter innerlich zu distanzieren
Einübung von Gesprächstechniken, die es dem Mitarbeiter ermöglichen, Zeit zum Nachdenken zu gewinnen, sich dem Druck des Angreifers zu entziehen und besser Nein sagen zu können

D.h. der Schutz erfordert vernünftige Regeln und Prozeduren, eine gute technische Unterstützung, Vorgesetzte auf die sich der Mitarbeiter verlassen kann, aber auch eine geeignete Sensibilisierung und vor allem gezieltes Training der Situation mit dem Kunden, z.B. mittels Rollenspielen.

Alle Unternehmen, für die Social Engineering ein Thema ist (und das sollten alle sein, die mit vertraulichen Informationen arbeiten), müssen sich fragen, wo bei Ihnen die möglichen Angriffspunkte liegen, wie Ihre Mitarbeiter auf solche Situation vorbereitet sind und wie sie die Mitarbeiter gegen solche Angriffe „abhärten“ können. Workshops mit den Betroffenen, auf denen auch alte Vorfälle endlich mal zur Sprache kommen, sind ein erster Schritt, gefolgt von einem Cocktail von gezielten Maßnahmen.

Mehr Informationen und vor allem auch Links zu weiterführender Literatur gibt es auf meiner Website http://sicherheitskultur.at/social_engineering.htm

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

blog comments powered by Disqus

Autor

Philipp Schaumann

Seit 2001 arbeitet Philipp Schaumann als Security Consultant in Wien und unterrichtet an der Donau Universität in Krems. Er ist als Obmann des Vereins Initiative Informationssicherheit Austria (IISA) aktiv.

Artikel einreichen

Top Artikel

Unsere Experten

Marco Di Filippo
Compass Security AG

Alle Experten
Jürgen Wasem-Gutensohn
PR-COM GmbH

Alle Experten
Andreas G. Weyert
Hellmann Worldwide Logistics GmbH & Co. KG

Alle Experten
Marcus Stahlhacke
Norman

Alle Experten
Michael Rudrich
Websense

Alle Experten

alle Experten

Premium Lösungen

ViPNet TUNNEL
in System/Netzwerk/Datenbank- und Softwaremanagement
INFOTECS GmbH
ViPNet SAFE DISK Mobile
in Verschlüsselung / Kryptographie
INFOTECS GmbH
SecureMail Archive (EMA®)
in E-Mail-Security
IT-Security Group
Innominate mGuard
in Appliances (Komplettsysteme)
Innominate Security Technologies AG
ViPNet SAFE DISK
in Verschlüsselung / Kryptographie
INFOTECS GmbH

Marktübersicht

Premium Services

IT-Services
DIGITAL DISTRICT GmbH
40212 Düsseldorf
Sicherheitsanalysen
nextsolutions - Marketing & Technologiemanagement. Awareness.
06667 Weißenfels
Sicherheitsberatung & -strategie
nextsolutions - Marketing & Technologiemanagement. Awareness.
06667 Weißenfels
Sicherheitsberatung & -strategie
nextsolutions - Marketing & Technologiemanagement. Awareness.
06667 Weißenfels
Sicherheitsberatung & -strategie
known_sense
50672 Köln

Dienstleisterübersicht

Impressum

Das Portal für IT Security - Securitymanager.de