Social Engineering
Der Mensch als Sicherheitsrisiko in der IT
©2009
Diplomarbeit
83 Seiten
Zusammenfassung
Inhaltsangabe:Einleitung:
Social Engineering benutzt Techniken der Beeinflussung und Überredungskunst zur Manipulation oder zur Vortäuschung falscher Tatsachen, über die sich ein Social Engineer eine gefälschte Identität aneignet. Damit kann der Social Engineer andere zu seinem Vorteil ausbeuten, um mit oder ohne Verwendung von technischen Hilfsmitteln an Informationen zu gelangen.
Wenn man in der IT über die Sicherheit spricht, fallen meistens Begriffe wie Firewall, Virenscanner, Demilitarisierte Zone (DMZ), Proxy, Verschlüsselung, Benutzername und Passwort, Token, um nur einige zu nennen. Es ist durchaus richtig, dass all diese Komponenten für die Sicherheit der IT unverzichtbar sind, doch leider wird bis heute eine Schwachstelle nicht genügend beachtet: der Mensch!
Gerade in der IT-Sicherheit ist das Sprichwort Keine Kette ist stärker, als ihr schwächstes Glied sehr treffend. Jedes Sicherheitskonzept, egal wie raffiniert und durchdacht es ist, lässt sich in Sekundenschnelle aushebeln, wenn die Mitarbeiter freiwillig Ihre Passwörter oder andere wichtige Informationen preisgeben, sobald man sie danach fragt.
Social Engineering ist eine von vielen Angriffsarten, die zum Ziel haben die Kontrolle über Computersysteme bzw. die darin enthaltenen Informationen zu erlangen. Durch die geschickte Ausnutzung des Menschen ist es dem Angreifer, meist ohne ein technisches Hilfsmittel einzusetzen, möglich, an die gewünschten Informationen zu gelangen.
Um ein Computersystem zu schützen, reicht es nicht aus, nur das Social Engineering zu beachten und entsprechende Maßnahmen einzuleiten. Es muss die IT-Sicherheit in ihrer gesamten Komplexität beachtet werden. Würde man sich lediglich mit der Angriffsart des Social Engineering auseinandersetzen, so könnte man zwar in diesem Bereich jeden Social Engineer abwehren, würde jedoch technische Angriffe ermöglichen und hätte somit ebenfalls die Informationen nicht am verlassen der Firma hindern können. Nur durch die Anwendung von Autorisierungs- und Authentifizierungsverfahren, Kryptographie, Firewalls, Intrusion Detection Systemen (IDS) und anderen Maßnahmen, sind sie noch nicht in der Lage ein Computersystem angemessen zu schützen.
Um einen effektiven Schutz erreichen zu können, ist es ebenfalls notwendig durch organisatorische Maßnahmen (Sicherheitsrichtlinien, Schulungen, Berechtigungskonzepte, u. a. ) die Sicherheit der Daten, Informationen und Computersysteme zu gewährleisten.
Die Verhinderung bzw. […]
Social Engineering benutzt Techniken der Beeinflussung und Überredungskunst zur Manipulation oder zur Vortäuschung falscher Tatsachen, über die sich ein Social Engineer eine gefälschte Identität aneignet. Damit kann der Social Engineer andere zu seinem Vorteil ausbeuten, um mit oder ohne Verwendung von technischen Hilfsmitteln an Informationen zu gelangen.
Wenn man in der IT über die Sicherheit spricht, fallen meistens Begriffe wie Firewall, Virenscanner, Demilitarisierte Zone (DMZ), Proxy, Verschlüsselung, Benutzername und Passwort, Token, um nur einige zu nennen. Es ist durchaus richtig, dass all diese Komponenten für die Sicherheit der IT unverzichtbar sind, doch leider wird bis heute eine Schwachstelle nicht genügend beachtet: der Mensch!
Gerade in der IT-Sicherheit ist das Sprichwort Keine Kette ist stärker, als ihr schwächstes Glied sehr treffend. Jedes Sicherheitskonzept, egal wie raffiniert und durchdacht es ist, lässt sich in Sekundenschnelle aushebeln, wenn die Mitarbeiter freiwillig Ihre Passwörter oder andere wichtige Informationen preisgeben, sobald man sie danach fragt.
Social Engineering ist eine von vielen Angriffsarten, die zum Ziel haben die Kontrolle über Computersysteme bzw. die darin enthaltenen Informationen zu erlangen. Durch die geschickte Ausnutzung des Menschen ist es dem Angreifer, meist ohne ein technisches Hilfsmittel einzusetzen, möglich, an die gewünschten Informationen zu gelangen.
Um ein Computersystem zu schützen, reicht es nicht aus, nur das Social Engineering zu beachten und entsprechende Maßnahmen einzuleiten. Es muss die IT-Sicherheit in ihrer gesamten Komplexität beachtet werden. Würde man sich lediglich mit der Angriffsart des Social Engineering auseinandersetzen, so könnte man zwar in diesem Bereich jeden Social Engineer abwehren, würde jedoch technische Angriffe ermöglichen und hätte somit ebenfalls die Informationen nicht am verlassen der Firma hindern können. Nur durch die Anwendung von Autorisierungs- und Authentifizierungsverfahren, Kryptographie, Firewalls, Intrusion Detection Systemen (IDS) und anderen Maßnahmen, sind sie noch nicht in der Lage ein Computersystem angemessen zu schützen.
Um einen effektiven Schutz erreichen zu können, ist es ebenfalls notwendig durch organisatorische Maßnahmen (Sicherheitsrichtlinien, Schulungen, Berechtigungskonzepte, u. a. ) die Sicherheit der Daten, Informationen und Computersysteme zu gewährleisten.
Die Verhinderung bzw. […]
Leseprobe
Inhaltsverzeichnis
Marcus Lipski
Social Engineering
Der Mensch als Sicherheitsrisiko in der IT
ISBN: 978-3-8366-2546-3
Herstellung: Diplomica® Verlag GmbH, Hamburg, 2009
Zugl. Private FernFachhochschule Darmstadt, Darmstadt, Deutschland, Diplomarbeit,
2009
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte,
insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von
Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der
Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen,
bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung
dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen
der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik
Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in
diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme,
dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei
zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können
Fehler nicht vollständig ausgeschlossen werden und der Verlag, die Autoren oder
Übersetzer übernehmen keine juristische Verantwortung oder irgendeine Haftung für evtl.
verbliebene fehlerhafte Angaben und deren Folgen.
© Diplomica Verlag GmbH
http://www.diplomica.de, Hamburg 2009
Inhaltsverzeichnis
Inhaltsverzeichnis
Abkürzungsverzeichnis
III
Abbildungsverzeichnis
IV
1
Einleitung
1
1.1 Projekteinbettung . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
1.2 Zielstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
1.3 Methodik
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
2
Was ist Social Engineering?
7
3
Warum funktioniert Social Engineering?
10
4
Vorbereitung eines Angriffs
13
4.1 Informationsbeschaffung . . . . . . . . . . . . . . . . . . . . . . . 13
4.2 Arten der Informationsbeschaffung . . . . . . . . . . . . . . . . . 16
5
Der Angriff
19
5.1 Der Zyklus des Social Engineering . . . . . . . . . . . . . . . . . 19
5.2 Die Rollen des Social Engineers . . . . . . . . . . . . . . . . . . 20
5.3 Übliche Methoden des Social Engineer
. . . . . . . . . . . . . . 23
5.3.1
Manipulation und Täuschung von Menschen . . . . . . . 23
5.3.2
Nutzung technischer Hilfsmittel . . . . . . . . . . . . . . . 24
5.4 Warnzeichen für einen Angriff . . . . . . . . . . . . . . . . . . . . 25
5.5 Allgemeine Angriffsziele . . . . . . . . . . . . . . . . . . . . . . . 25
5.6 Faktoren, die einen Angriff begünstigen . . . . . . . . . . . . . . 26
5.7 Der Angriff in zehn Schritten . . . . . . . . . . . . . . . . . . . . . 27
6
Abwehren eines Angriffs
28
6.1 Verifikation und Datenklassifikation . . . . . . . . . . . . . . . . . 28
6.1.1
Verfahren zur Prüfung der Identitiät . . . . . . . . . . . . . 28
6.1.2
Verfahren zur Prüfung des Angestelltenstatus . . . . . . . 30
6.1.3
Verfahren zum Feststellen der Informationsberechtigung . 31
6.1.4
Kriterien zur Bestimmung von Nicht-Angestellten . . . . . 31
6.1.5
Datenklassifikation . . . . . . . . . . . . . . . . . . . . . . 32
Seite I
Inhaltsverzeichnis
6.2 Rhetorik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
6.3 Die zentrale Anlaufstelle . . . . . . . . . . . . . . . . . . . . . . . 34
7
Einen Angriff verhindern, bzw. die Gefahr reduzieren
36
7.1 Sensibilisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
7.2 Schulungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
7.2.1
Schulungsziel . . . . . . . . . . . . . . . . . . . . . . . . . 38
7.2.2
Schulungsstruktur . . . . . . . . . . . . . . . . . . . . . . 39
7.2.3
Schulungsinhalte . . . . . . . . . . . . . . . . . . . . . . . 39
7.2.4
Fortlaufende Sensibilisierung . . . . . . . . . . . . . . . . 40
7.3 Physikalischer Schutz . . . . . . . . . . . . . . . . . . . . . . . . 41
7.4 Prozessoptimierung (inkl. Notfallprozessen) . . . . . . . . . . . . 42
7.5 Arbeitskomfort vs. Schutz . . . . . . . . . . . . . . . . . . . . . . 43
7.6 Audits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
7.7 Betriebsklima . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
7.8 Sanktionen und Belohnungen . . . . . . . . . . . . . . . . . . . . 45
7.9 Die Sicherheitsleitlinie . . . . . . . . . . . . . . . . . . . . . . . . 46
7.9.1
Aufbau einer Sicherheitsleitlinie . . . . . . . . . . . . . . . 46
7.9.2
Vorschläge für eine Sicherheitsleitlinie . . . . . . . . . . . 47
7.10 Zehn Regeln zur Abwehr eines Angriffs . . . . . . . . . . . . . . 58
8
Zusammenfassung und Ausblick
59
A Bearbeitung einer Anfrage nach ...
63
A.1 ... Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
A.2 ... Handlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
B Fallbeispiele
66
B.1 HBSE - Die Geschichte von Janie Acton . . . . . . . . . . . . . . 66
B.2 RSE & CBSE - Netzwerkausfall . . . . . . . . . . . . . . . . . . . 68
C Literaturverzeichnis
72
Seite II
Inhaltsverzeichnis
Abkürzungsverzeichnis
AktG
Aktiengesetz
BDSG
Bundesdatenschutzgesetz
BGB
Bürgerliches Gesetzbuch
BSI
Bundesamt für Sicherheit in der Informationstechnik
CBSE
Computer Based Social Engineering
DMZ
Demilitarisierte Zone
GmbHG
Gesetz betreffend die Gesellschaften mit beschränkter
Haftung
HBSE
Human Based Social Engineering
IT
Informationstechnologie
RSE
Reverse Social Engineering
SMTP
Simple Mail Transfer Protocol
SÜG
Sicherheitsüberprüfungsgesetz
TMG
Telemediengesetz
VS
Verschlusssache
VS-IT-Richtlinien
Richtlinien zum Geheimschutz von Verschlusssachen beim
Einsatz von Informationstechnik in Unternehmen
Seite III
Abbildungsverzeichnis
Abbildungsverzeichnis
1
Abgewandeltes V-Modell . . . . . . . . . . . . . . . . . . . . . . .
5
2
Sicherheitsebenen und deren Überbrückung
. . . . . . . . . . .
8
3
Der Zyklus des Social Engineering . . . . . . . . . . . . . . . . . 19
4
RSA SecurID 700
. . . . . . . . . . . . . . . . . . . . . . . . . . 30
5
Bearbeitung einer Anfrage nach Informationen . . . . . . . . . . 64
6
Bearbeitung einer Anfrage nach Handlungen . . . . . . . . . . . 65
Seite IV
1 Einleitung
1 Einleitung
Social Engineering benutzt Techniken der Beeinflussung und Über-
redungskunst zur Manipulation oder zur Vortäuschung falscher Tat-
sachen, über die sich ein Social Engineer eine gefälschte Identität
aneignet. Damit kann der Social Engineer andere zu seinem Vorteil
ausbeuten, um mit oder ohne Verwendung von technischen Hilfs-
mitteln an Informationen zu gelangen.
1
Wenn man in der IT über die Sicherheit spricht, fallen meistens Begriffe wie
Firewall, Virenscanner, Demilitarisierte Zone (DMZ), Proxy, Verschlüsselung,
Benutzername und Passwort, Token, um nur einige zu nennen. Es ist durchaus
richtig, dass all diese Komponenten für die Sicherheit der IT unverzichtbar sind,
doch leider wird bis heute eine Schwachstelle nicht genügend beachtet: der
Mensch!
Gerade in der IT-Sicherheit ist das Sprichwort ,,Keine Kette ist stärker, als ihr
schwächstes Glied" sehr treffend. Jedes Sicherheitskonzept, egal wie raffiniert
und durchdacht es ist, lässt sich in Sekundenschnelle aushebeln, wenn die
Mitarbeiter freiwillig Ihre Passwörter oder andere wichtige Informationen preis-
geben, sobald man sie danach fragt.
1.1 Projekteinbettung
Social Engineering ist eine von vielen Angriffsarten, die zum Ziel haben die
Kontrolle über Computersysteme bzw. die darin enthaltenen Informationen zu
erlangen. Durch die geschickte Ausnutzung des Menschen ist es dem Angrei-
fer, meist ohne ein technisches Hilfsmittel einzusetzen, möglich, an die ge-
wünschten Informationen zu gelangen.
Um ein Computersystem zu schützen, reicht es nicht aus, nur das Social En-
gineering zu beachten und entsprechende Maßnahmen einzuleiten. Es muss
die IT-Sicherheit in ihrer gesamten Komplexität beachtet werden. Würde man
sich lediglich mit der Angriffsart des Social Engineering auseinandersetzen, so
könnte man zwar in diesem Bereich jeden Social Engineer abwehren, würde
1
[Mitnick und Simon 2003, S. 4]
Seite 1
1 Einleitung
jedoch technische Angriffe ermöglichen und hätte somit ebenfalls die Infor-
mationen nicht am verlassen der Firma hindern können. Nur durch die An-
wendung von Autorisierungs- und Authentifizierungsverfahren, Kryptographie,
Firewalls, Intrusion Detection Systemen (IDS) und anderen Maßnahmen, sind
sie noch nicht in der Lage ein Computersystem angemessen zu schützen.
Um einen effektiven Schutz erreichen zu können, ist es ebenfalls notwendig
durch organisatorische Maßnahmen (Sicherheitsrichtlinien, Schulungen, Be-
rechtigungskonzepte, u. a. ) die Sicherheit der Daten, Informationen und Com-
putersysteme zu gewährleisten.
Die Verhinderung bzw. Vermeidung von Social Engineering Angriffen gehört,
wie bereits geschrieben, in den Bereich der organisatorischen Maßnahmen ei-
nes Sicherheitskonzeptes und kann höchstens durch technische Maßnahmen
unterstützt werden.
Neben den rein technischen Aspekten, gilt es auch die rechtliche Seite eines
Social Engineering Angriffes zu betrachten. So ist nach §91 Abs. 2 Aktien-
gesetz (AktG)
2
jedes börsennotierte Aktienunternehmen verpflichtet ein Ri-
sikofrüherkennungssystem einzurichten. Sollte dieses Früherkennungssystem
nicht eingerichtet worden sein und es kommt zu einem Schaden, so sind nach
§93 Abs. 2 AktG
2
die Vorstandsmitglieder ,,der Gesellschaft zum Ersatz des
daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig,
ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters an-
gewandt haben, so trifft sie die Beweislast".
Nach §9 Bundesdatenschutzgesetz (BDSG)
3
haben alle öffentlichen und
nicht öffentlichen Stellen, die personenbezogene Daten verarbeiten, alle tech-
nischen und organisatorischen Maßnahmen zu ergreifen, um die Daten im Sin-
ne des BDSG zu schützen.
Sobald in einem Unternehmen die private Nutzung von Mails oder dem Internet
gestattet ist, ist das Unternehmen ein Diensteanbieter nach §2 Nr. 1 Tele-
mediengesetz (TMG)
4
. Das heißt auch, dass der Diensteanbieter dafür zu
sorgen hat, dass nach §13 Abs. 4 Nr. 3 TMG
4
,,der Nutzer Telemedien gegen
Kenntnisnahme Dritter geschützt in Anspruch nehmen kann".
2
[AktG 1965]
3
[BDSG 1990]
4
[TMG 2007]
Seite 2
1 Einleitung
Neben diesen Beispielen gibt es noch weitere Gesetze, die den Unterneh-
mer in die Pflicht nehmen. So zum Beispiel §43 Abs. 2 Gesetz betreffend
die Gesellschaften mit beschränkter Haftung (GmbHG)
5
: ,,Geschäftsführer,
welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für
den entstandenen Schaden.".
Doch nicht nur die Unternehmer bzw. Vorstände können zur Rechenschaft ge-
zogen werden, sondern auch direkt der IT-Verantwortliche kann zivilrechtlich
nach §823 Abs. 1 Bürgerliches Gesetzbuch (BGB)
6
belangt werden, wenn
der Arbeitgeber ihm Vorsätzlichkeit oder Fahrlässigkeit explizit nachweisen
kann (§619a BGB
6
). Nach §276 Abs. 2 BGB
6
handelt fahrlässig, ,,wer die im
Verkehr erforderliche Sorgfalt außer Acht lässt".
Durch Social Engineering kann man sehr schnell selbst zum Angeklagten wer-
den, auch wenn man selbst den Angriff nicht durchgeführt hat.
Der materielle bzw. finanzielle Schaden der entsteht ist ebenfalls nicht zu
unterschätzen. So kann es von einfachen Arbeitsaufwänden, wie einer Pass-
wortänderung, zum Verlust von Kunden, Projekten, Investoren oder sogar zum
Imageverlust kommen. Im schlimmsten Fall, wird das Unternehmen sich davon
nicht mehr erholen können und seinen Geschäftsbetrieb aufgeben müssen.
1.2 Zielstellung
Dieses Dokument richtet sich primär an IT-Administratoren, Sicherheitsmana-
ger bzw. -berater und den Mitgliedern der Geschäftsleitung. Diese sollen, nach
der Durchsicht dieses Dokuments, in der Lage sein, die Gefahren eines Social
Engineering Angriffes für Ihr Unternehmen einschätzen zu können. Des Wei-
teren sollen Sie ihre bestehende Sicherheitslösung anpassen oder eine neue
Sicherheitslösung, unter Berücksichtigung der Gefahren eines Social Enginee-
ring Angriffes, entwickeln können.
Dazu ist es erforderlich, den Leser mit den Möglichkeiten, Mitteln, Formen und
Gefahren des Social Engineering vertraut zu machen. Um dieses Ziel zu errei-
chen, werden die folgenden Fragestellungen erläutert:
5
[GmbHG 1892]
6
[BGB 1896]
Seite 3
1 Einleitung
·
Was ist Social Engineering?
·
Warum funktioniert Social Engineering?
·
Wie bereitet sich ein Angreifer vor?
·
Wie läuft ein Angriff ab?
·
Wie kann ich einen Angriff erkennen?
·
Wie kann ich einen Angriff abwehren?
·
Wie kann ich einem Angriff vorbeugen?
Die Einführung in das Social Engineering sowie die allgemeinen Grundlagen
sind für die Einschätzung der Bedrohung und dem daraus folgenden Gefah-
renpotenzial für das Unternehmen, erforderlich. Mit diesen Kenntnissen ist es
der Geschäftsleitung möglich, den entsprechenden Sicherheitslösungen die
notwendige Aufmerksamkeit zu schenken und damit die Sicherheitsberater in-
nerhalb des Unternehmens angemessen zu unterstützen.
Der Schwerpunkt dieser Arbeit liegt auf der Abwehr (Kapitel 6) und der Vermei-
dung (Kapitel 7) eines Angriffes und soll dem IT-Administrator oder Sicherheits-
berater am Ende Vorschläge unterbreiten, worauf er in seinem Unternehmen
zu achten hat und welche Maßnahmen zu ergreifen sind, um einen Social En-
gineering Angriff abwehren zu können. Dies umfasst die Ermittlung von Regeln
für eine Sicherheitsleitlinie in Bezug auf das Social Engineering, sowie einer
Auflistung der wichtigsten Abwehrmaßnahmen.
1.3 Methodik
Die vorgestellten Ziele in Kapitel 1.2 lassen sich sehr gut in das aus der Softwa-
remodellierung bekannte V-Modell einordnen. Da es sich beim Social Enginee-
ring allerdings nicht um eine Softwareentwicklung handelt, passt ,,das Original"
nicht hundertprozentig und wurde entsprechend angepasst. Das angepasste
V-Modell finden Sie in Abbildung 1.
Die Kapitel 2 und 3 geben eine Einführung in das Thema. Es wird erläutert,
was Social Engineering ist und wie es funktioniert. Diese beiden Kapitel stel-
len ein grundlegendes Verständnis des Themas her und sind gleichzeitig die
Basis für die Erarbeitung von Maßnahmen für die Vorbeugung. Denn nur wenn
Seite 4
1 Einleitung
Einführung
Vorbereitung
Umsetzung/Angriff
Abwehr
Vorbeugung
Abbildung 1: Abgewandeltes V-Modell
man versteht, was Social Engineering ist und warum es funktioniert, können
sinnvolle Gegenmaßnahmen ergriffen werden.
Nach einer Einführung in das ,,Was" und ,,Warum" folgt die Vorbereitung für
das ,,Wie" in Kapitel 4. Die Vorbereitung schildert, wie sich ein Social Engineer
auf einen Angriff vorbereitet und was er hier für Mittel einsetzt. Kennt man erst
einmal die Mittel und Wege des Social Engineer, kann man diese leicht aushe-
beln oder auf Angriffe gezielt reagieren. Dieser Punkt ist also unerlässlich für
die Abwehr und Vorbeugung eines Angriffs.
Das ,,Wie" in Kapitel 5 schildert schließlich, wie ein Social Engineer die gewon-
nenen Informationen einsetzt und welche Mittel und Wege er dafür benutzt. Es
wird ermittelt, wie ein solcher Angriff ablaufen kann, was lohnenswerte Ziele
sind und mit welchen Methoden der Social Engineer versucht, seine Opfer zu
manipulieren. Es gilt, den Angriff als solchen zu erkennen, zu wissen, was, wie
und wo es passiert. Sind diese Informationen ermittelt und erkannt, können
effektive Gegenmaßnahmen eingeleitet werden.
Anhand der bis hierher erarbeiteten Informationen werden in Kapitel 6 Maß-
nahmen zur Abwehr eines Angriffes entwickelt. Die Abwehr des Angriffs setzt
voraus, dass ein solcher stattfindet, und dass man in der Lage ist, einen Angriff
als solchen zu erkennen. Die Grenze zwischen Abwehr und Vorbeugung ist
nicht immer eindeutig zu ziehen, da diese beiden Bereiche eng zusammenar-
Seite 5
1 Einleitung
beiten müssen. Anhand der Abwehr eines Angriffs lässt sich überprüfen, ob die
vorhandenen Informationen zur Vorbereitung eines Angriffes korrekt sind. Soll-
te es hier zu Unstimmigkeiten kommen, so ist eine erneute Überprüfung des
Moduls Vorbereitung notwendig, was wiederum Auswirkungen haben kann auf
die Art und Weise, wie ein Angriff durchgeführt wird.
Sollte man sein gesamtes Sicherheitskonzept nur darauf ausgelegt haben zu
reagieren, so wird es dem Angreifer in einem Augenblick der Unaufmerksam-
keit gelingen, die IT-Sicherheit zu gefährden. In Kapitel 7 geht es nicht mehr
darum zu reagieren, sondern zu agieren. Die Vorbeugung ist der wichtigs-
te Punkt zur Vermeidung erfolgreicher Social Engineering Angriffe. Innerhalb
dieses Kapitels werden nun alle bisher gewonnen Informationen dazu genutzt,
Möglichkeiten zur effektiven Vorbeugung von Angriffen zu finden. Dies um-
fasst die Definition von Regeln für eine Sicherheitsleitlinie, die den Benutzern
verbindliche Verhaltensregeln vorgibt, sowie die Auflistung der wichtigsten Ab-
wehrmaßnahmen für den IT-Administrator und Sicherheitsberater.
Seite 6
2 Was ist Social Engineering?
2 Was ist Social Engineering?
Jeder Dienst, der von einem Server zur Verfügung gestellt wird, stellt ein Si-
cherheitsrisiko für das geschützte System dar. Während in einem sicheren
System der Angreifer immer nur bis zu einem bestimmten Punkt kommt, sind
dem Menschen (z. B. dem Mitarbeiter) hier keinerlei Grenzen gesetzt.
Dies ist dem Umstand zu verdanken, dass die Mitarbeiter mit den Daten ar-
beiten müssen. Die Zugriffe lassen sich zwar einschränken, aber spätestens
wenn man beim Administrator angekommen ist hat man jemanden, der das
Sicherheitssystem komplett umgehen kann. Hier versucht der Social Engineer
anzusetzen. Sein Ziel ist es mithilfe der menschlichen ,,Schwächen" den Men-
schen dazu zu bringen etwas zu tun, was für ihn hilfreich ist. Dafür ist es erfor-
derlich, den Menschen zu beeinflussen oder zu manipulieren.
Dem Mitarbeiter können zwar durch Schulungen, Maßnahmekataloge und Si-
cherheitsleitlinien die Gefahren erläutert werden, man ist jedoch von der Zu-
verlässigkeit des Mitarbeiters abhängig, dass dieser die Maßnahmen auch um-
setzt. Wenn der Mitarbeiter entscheidet, bewusst oder auch unbewusst, sich
nicht an die geltenden Sicherheitsregeln zu halten, können diese noch so gut
sein, sie helfen nichts. Dieser Sachverhalt ist auch in Abbildung 2 dargestellt.
Der Social Engineer versucht nun mittels des Social Engineering den Men-
schen dazu zu bringen, für ihn die Sicherheitregeln und -barrieren zu umge-
hen. Der Social Engineer nutzt die einzige Schwachstelle im gesamten Sicher-
heitssystem aus, die man nicht ,,patchen" kann. Es ist allerdings möglich, das
Sicherheitsrisiko zu minimieren.
Je nachdem, wie sich der Social Engineer die Informationen beschafft, lässt
sich das Social Engineering in drei verschiedene Kategorien einteilen
7
:
·
Human Based Social Engineering (HBSE)
·
Computer Based Social Engineering (CBSE)
·
Reverse Social Engineering (RSE)
7
Vgl. [Baumann u. a. 2005, S. 13. f.]
Seite 7
2 Was ist Social Engineering?
Weit
ere Sic
herheitsmassnahm
en
Sensibi
lisier
ung
Security
Polic
ies
Maßnahm
ekat
alo
g
Spam
filter
Signatu
r
Versc
hlüsselu
ng
Sm
ar
tc
ar
ds
(P
rox
y-)
Fire
wall
(inkl. P
aketfilter und App
likatio
nsfi
lter)
Intr
usio
n Detect
ion Systeme
(IDS)
Vir
en
sca
nner
, Anti-Spyware-Softwa
re, e
tc.
Patches
Berechtigungen
Öffe
ntliche Systeme
F
T
P
W
W
W
D
ate
nb
an
k
E-Mail
..
.
(P
ro
xy
-)
Fi
re
wa
ll (i
nkl.
Paketfilter und A
pplik
atio
ns
filt
e
r)
V
P
N
M
o
d
e
m
In
tru
sio
n D
etection System
e (ID
S
)
V
ir
e
ns
ca
nn
er,
Anti
-Spyware-S
oftw
are
,e
tc
.
Patches
Be
rec
htigunge
n
Mens
ch
Haupt-
systeme
Abbildung 2: Sicherheitsebenen und deren Überbrückung
Bei jedem dieser drei Verfahren verwendet der Social Engineer verschiedene
Hilfsmittel, um zum Ziel zu kommen. Neben diesen drei relativ klar abgrenzba-
ren Formen können im Verlauf eines Angriffs auch mehrere Arten des Social
Engineering angewendet werden. So könnte mittels HBSE auf dem Rechner
ein Programm installiert werden, welches dann mithilfe des CBSE den Social
Engineer zum gewünschten Erfolg führt.
Das Human Based Social Engineering (HBSE) setzt direkt beim Menschen
an, ohne hier über den Weg des Computers zu gehen. Beim HBSE kann be-
reits die einfache Frage nach dem Passwort zum Erfolg führen. Die Waffen des
Social Engineer sind hier die Rhetorik, soziales Einfühlungsvermögen, Autori-
tät, Selbstsicherheit, Kreativität, Flexibilität und ein gewisses kommunikatives
Geschick, um nur einige zu nennen. Ein Beispiel finden Sie im Anhang B.1.
Seite 8
2 Was ist Social Engineering?
Beim Computer Based Social Engineering (CBSE) geht es um die Beschaf-
fung von Informationen mit Hilfe von technischen Hilfsmitteln. Hierbei können
Verfahren wie das Phishing (z. B. durch manipulierte Internetseiten), gefähr-
liche E-Mailanhänge oder Fenster jedweder Art, die den User zu einer Ein-
gabe auffordern, eingesetzt werden. Das Eindringen in ein Computersystem
über Netzwerkprotokolle oder den physischen Zugriff sind beim CBSE nicht
gemeint, da hier keine soziale Interaktion stattfindet. Ein Beispiel für das CBSE
finden Sie im Anhang B.2.
Das Reverse Social Engineering (RSE) ist die anspruchsvollste Disziplin
beim Social Engineering. Bei dieser Angriffsart sorgt der Social Engineer dafür,
dass das Opfer sich bei ihm meldet und ihn um Hilfe bittet. Da sich das Opfer
bei seinem Angreifer gemeldet hat, ist es nicht notwendig lange Vertrauens-
beziehungen aufzubauen. Der Anrufer hat keinen Grund dem Angerufenen zu
misstrauen. Bevor der Social Engineer an den Punkt kommt, wo ihn der Anru-
fer kontaktiert, ist eine nicht unerhebliche Menge an Vorbereitung erforderlich.
Zusätzlich muss der Social Engineer eine gewünschte Störung herbeiführen
können. Der Angriff läuft meist nach folgendem Schema ab:
1. Das Opfer wird darauf hingewiesen, dass Störungen auftreten können
und man bereit ist, diese zu beheben.
2. Der Social Engineer hinterlässt seine Handynummer.
3. Der Social Engineer verursacht eine Störung.
4. Das Opfer wird nun den Social Engineer anrufen, damit dieser schnellst-
möglich das Problem behebt. Er wird dabei bereitwillig Auskunft geben
oder sogar fremde Programme auf seinem Rechner ausführen.
5. Der Social Engineer stellt die Störung ab und hofft auf die Dankbarkeit
seines Opfers, damit er ganz schnell in Vergessenheit gerät.
Ein Beispiel finden Sie im Anhang B.2.
Seite 9
3 Warum funktioniert Social Engineering?
3 Warum funktioniert Social Engineering?
Ein Sicherheitsangriff kann immer nur dann funktionieren, wenn es etwas gibt,
das nicht gut genug geschützt, nicht richtig konfiguriert oder sogar fehlerhaft
programmiert ist. Da Programme statische Konstrukte sind, ist ein Sicherheits-
angriff so lange möglich, wie der ,,Fehler" noch nicht beseitigt wurde. Nun sind
Menschen keine statischen, sondern dynamische Wesen. Es gibt hier keine
standardisierten Verfahren, einen Menschen ,,upzudaten" um einen ,,Fehler"
zu beseitigen. Der Mensch kann dynamisch auf Veränderungen reagieren und
entsprechend handeln bzw. dazulernen. Wie er dazulernt, und wie er handelt,
hängt dabei von der Lebenserfahrung der jeweiligen Person ab. Da ein Soci-
al Engineer nicht alle Reaktionen des Menschen auf eine bestimmte Situation
im Vorfeld ermitteln kann, muss er sich auf Gemeinsamkeiten verlassen, die
jeder Mensch in einem sozialen Umfeld entwickelt haben sollte. Darunter fällt
z. B. das Vertrauen und die Hilfsbereitschaft.
Ein wichtiges, wenn auch nicht unbedingt notwendiges, Kriterium für einen er-
folgreichen Angriff ist die Bildung von Vertrauen. Das Problem am Begriff Ver-
trauen ist, dass es keine einheitliche Definition
8
gibt. Nach Lynne G. Zucker ist
Vertrauen ,,'essential for stable social relationships'
9
, vital for the maintenance
of cooperation in society
10
, or necessary as grounds for even the most routine,
everyday interaction
11
". Um es anders zu formulieren: Ohne Vertrauen würde
nichts funktionieren.
Wenn auch nicht unbedingt fachlich begründet, weiß der Social Engineer das
und kann dieses Wissen nutzen. Wenn der Social Engineer nun allerdings
als Fremder an einen Menschen herangeht, um Informationen zu erhalten,
kann er nicht davon ausgehen, dass der Mensch ihm von der ersten Sekunde
an vertraut. Er kann sich allerdings darauf verlassen, dass das sogenannte
Urvertrauen zum Persönlichkeitsbild des Menschen gehört:
Die Auffassungen von Vertrauen als zeitlich stabiler Persönlichkeits-
eigenschaft gehen auf den Tiefenpsychologen Erikson sowie auf
den Lerntheoretiker Rotter zurück. Erikson geht davon aus, dass
8
Vgl. [Schweer und Thies 2003, S. 4]
9
[Blau 1964, S. 64] zitiert nach [Zucker 1986, S. 56]
10
[Parsons 1951] zitiert nach [Zucker 1986, S. 56]
11
[Garfinkel 1963, S. 217] zitiert nach [Zucker 1986, S. 56]
Seite 10
3 Warum funktioniert Social Engineering?
das Kind bereits im ersten Lebensjahr ein Urvertrauen erwerben
muss; dieses bildet dann den Grundstein für eine gesunde Persön-
lichkeitsentwicklung. Rotter hingegen postuliert eine vertrauensvol-
le Grundhaltung als Ergebnis von Erfahrung. Ist eine solche ver-
trauensvolle Grundhaltung erworben, verhält sich das Individuum
zunächst situationsabhängig vertrauensvoll, gewährt also einen Ver-
trauensvorschuss.
12
Vertrauen macht dem Social Engineer die Erfüllung seines Auftrages vielleicht
etwas einfacher, aber es muss noch nicht zum unmittelbaren Erfolg führen.
Vertrauen impliziert nicht, dass der Social Engineer auch die gewünschten In-
formationen erhält. Hier kommt ihm allerdings zugute, dass der Mensch, für
gewöhnlich, bemüht ist, seinen Mitmenschen zu helfen. In der Sozialpsycholo-
gie ist dieses Verhalten unter dem Begriff Altruismus erforscht worden.
Unter dem Begriff Altruismus, versteht man ,,... sich um andere zu sorgen und
anderen zu helfen, ohne sie umgekehrt um einen Gefallen zu bitten ..."
13
. Die
Frage, die sich stellt, ist, warum die Menschen so etwas tun. Allan Luks und
Peggy Payne haben dazu in Ihrem Buch dargelegt, dass helfen den Helfen-
den gesünder macht
14
. Der Helfende wird in einen richtigen Rausch versetzt
15
,
wenn er die Möglichkeit bekommt, zu helfen. Durch die Flutung des Körpers
mit Endomorphinen (Glückshormonen) fühlt sich der Mensch gut und versucht
dieses Glücksgefühl so oft wie möglich zu erreichen. Seine Erfahrung hat ihm
gezeigt, dass dies durch das Helfen erreicht werden kann. Also hilft er.
Der Social Engineer versucht nun unter Ausnutzung des Hilfebedürfnisses des
Menschen sein Ziel zu erreichen und schlüpft dazu in die verschiedensten Rol-
len, um das Vertrauen und das Hilfebedürfnis des Opfers auszunutzen. Nähe-
res zu den einzelnen Rollen erfahren Sie in Kapitel 5.2.
Doch wie könnte man dem Altruismus und dem Urvertrauen begegnen, wo es
doch bereits von den ersten Lebenstagen an gelernt wurde?
Nach der Sozialen Tauschtheorie
16
von Foa und Foa führt jeder von uns eine
Kosten-/Nutzen-Analyse durch, bevor man hilft. ,,Wenn der Nutzen, zu helfen,
12
[Schweer und Thies 2003, S. 6]
13
[Cash 2005, S. 212]
14
Vgl. [Luks und Payne 1998, S. 19 ff.]
15
Vgl. [Luks und Payne 1998, S. 49 ff.]
16
Vgl. [Foa und Foa 1980, S. 77 ff.]
Seite 11
3 Warum funktioniert Social Engineering?
größer ist als die Kosten, nicht zu helfen, ist die Wahrscheinlichkeit höher, dass
ein Mensch einem anderen hilft."
17
Um nun einen Menschen dazu zu bringen,
einem Unbekannten nicht zu helfen, müssen die Kosten für diese Hilfe nach
oben gesetzt werden. Dies kann z. B. erreicht werden, durch hinzuziehen ei-
ner weiteren Person zur Informationsfreigabe, durch Sanktionen bei Nichtbe-
achtung von Arbeitsanweisungen oder durch Information der Betroffenen über
den Wert der Daten. Näheres erfahren Sie in Kapitel 6.
Das Vertrauen, der Altruismus und die soziale Tauschtheorie sind für eine
nüchterne Erstellung eines Sicherheitskonzeptes nicht geeignet. Es ist nicht
möglich, eine in sich logische Sicherheitsstruktur aufzubauen und sich dar-
auf zu verlassen, dass sie funktioniert. Es ist notwendig, die drei genannten
Faktoren zu berücksichtigen und im Sicherheitskonzept mit einzuplanen. Nur
dann ist es möglich aus dem unberechenbaren Faktor Mensch etwas weniger
Unberechenbares zu machen.
17
[Cash 2005, S. 213]
Seite 12
4 Vorbereitung eines Angriffs
4 Vorbereitung eines Angriffs
Beim Social Engineering kommt es auf die Gewinnung von Informationen an.
Es geht nicht nur um die Zielinformationen die der Social Engineer haben will,
sondern auch um die Informationen, die er benötigt um sein Ziel zu erreichen.
Je mehr der Social Engineer von seinem ,,Opfer" weiß, desto größer sind seine
Erfolgschancen.
Es gibt viele unscheinbare Informationen in einem Unternehmen, die den So-
cial Engineer näher an sein Ziel bringen. So reicht meist schon eine einfache
Telefonliste, um herauszufinden, wer in welcher Abteilung arbeitet, wie seine
Telefonnummer ist und vielleicht sogar, wie seine E-Mail-Adresse lautet.
Hat der Social Engineer erst einmal die notwendigen Informationen, ist es für
ihn ein leichtes, sich innerhalb der Firmenstruktur zu bewegen und seine breite
Palette an schauspielerischen Talenten auszuspielen.
Die nachfolgenden zwei Kapitel geben einen Überblick darüber, welche Infor-
mationen für einen Social Engineer interessant sind und wie er sich diese In-
formationen beschafft.
Durch die Kenntnisse der Verfahrensweisen und Begehrlichkeiten können Sie
dem Social Engineer bereits seine Vorbereitungsphase erschweren, wenn Sie
geeignete Maßnahmen ergreifen.
4.1 Informationsbeschaffung
Um etwas in einem fremden (oder auch bekannten) Unternehmen zu errei-
chen, sind Informationen das Wichtigste. Je nach Ziel des Angriffs werden
mehr oder weniger Informationen benötigt. Die folgende Auflistung ist nicht als
vollständig zu verstehen. Jedes Dokument in der Firma oder über die Firma
kann als Informationsquelle für den Social Engineer unverzichtbar sein
18
:
·
Telefon-/Mitarbeiterlisten
·
Organigramme und Hierarchiestrukturen
·
Raumpläne
18
Die folgenden Stichworte wurden [Baumann u. a. 2005, S. 17 ff.] entnommen.
Seite 13
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Jahr
- 2009
- ISBN (eBook)
- 9783836625463
- DOI
- 10.3239/9783836625463
- Dateigröße
- 587 KB
- Sprache
- Deutsch
- Institution / Hochschule
- Private FernFachhochschule Darmstadt; Standort Pfungstadt – Informatik
- Erscheinungsdatum
- 2009 (Februar)
- Note
- 2,0
- Schlagworte
- it-sicherheit industriespionage sicherheitsleitlinien kevin mitnick informationsbeschaffung
