Darstellung der Bedrohung durch Social Engineering und Analyse der als Gegenmaßnahme vorhandenen IT-Sicherheitsprozesse am Beispiel eines großen Unternehmens
©2008
Bachelorarbeit
121 Seiten
Zusammenfassung
Inhaltsangabe:Einleitung:
Unternehmen, Behörden, sowie auch immer öfter Privatpersonen investieren in teure Anti-Virus-Software, Firewalls, ausgeklügelte biometrische Zutrittssysteme zum internen Netzwerk und aufwändige Verschlüsselungsverfahren. Ist alles installiert und perfekt konfiguriert, wähnt sich der Anwender in Sicherheit. Es wurde an alle erdenklichen Risiken gedacht, um die vertraulichen Informationen zu schützen. Es stellt sich aber die Frage, ob auch der Risikofaktor Mensch in der Planung des informationstechnischen Schutzkonzeptes berücksichtigt wurde.
Möchte ein Angreifer an vertrauliche Informationen gelangen, muss er sich nicht technischer Methoden bedienen, um die Firewall zu überwinden, sondern kann einen Mitarbeiter des Unternehmens direkt nach den vertraulichen Informationen fragen. Diese soziale Manipulation nennt man Social Engineering.
Im Gegensatz zu konventionellen technischen Angriffsmethoden benötigen die Angreifer keine besonderen technischen Kenntnisse. Somit ist die Gruppe der potenziellen Angreifer ungleich größer. Aus wirtschaftlichen Gründen wird die Informationsbeschaffung mittels Social Engineering oftmals einer aufwändigen Hackerattacke vorgezogen.
Doch stellt sich die Frage, warum Social Engineering überhaupt möglich ist. Menschen sind in ihrem Wesen sehr sozial eingestellt und häufig zu schnell bereit, einer fremden Person zu vertrauen, die vorgibt, bei einem Problem helfen zu wollen oder Hilfe benötigt. Das folgende Beispiel soll diese Problematik anschaulich erläutern:
Alice arbeitet im Büro eines großen Konzerns. Das Telefon klingelt. Ein äußerst sympathisch klingender Bob stellt sich Alice als Systemadministrator vor und erzählt ihr, dass es ein Problem im Netzwerk gibt. Um zu verhindern, dass dieses Problem auch auf Alices Computer auftritt, benötigt Bob ganz dringend Alices Benutzernamen und Passwort. Alice erklärt, dass sie ihre vertraulichen Logindaten äußerst ungern nennen möchte, da sie schon so viel Schlechtes gehört habe. Bob erwidert sofort, dass Alice das Passwort doch auf einen neuen Wert ändern könne, nachdem er die Konfiguration abgeschlossen habe. Er würde auch in fünf Minuten fertig sein und kurz zurückrufen, so dass Alice das Passwort ändern könne. Alice klärt sich nun einverstanden und nennt Bob ihre vertraulichen Logindaten. Bob meldet sich sofort mit den Logindaten an, ändert als erstes das Passwort und kopiert in aller Ruhe die vertraulichen Informationen, die er benötigt.
Durch […]
Unternehmen, Behörden, sowie auch immer öfter Privatpersonen investieren in teure Anti-Virus-Software, Firewalls, ausgeklügelte biometrische Zutrittssysteme zum internen Netzwerk und aufwändige Verschlüsselungsverfahren. Ist alles installiert und perfekt konfiguriert, wähnt sich der Anwender in Sicherheit. Es wurde an alle erdenklichen Risiken gedacht, um die vertraulichen Informationen zu schützen. Es stellt sich aber die Frage, ob auch der Risikofaktor Mensch in der Planung des informationstechnischen Schutzkonzeptes berücksichtigt wurde.
Möchte ein Angreifer an vertrauliche Informationen gelangen, muss er sich nicht technischer Methoden bedienen, um die Firewall zu überwinden, sondern kann einen Mitarbeiter des Unternehmens direkt nach den vertraulichen Informationen fragen. Diese soziale Manipulation nennt man Social Engineering.
Im Gegensatz zu konventionellen technischen Angriffsmethoden benötigen die Angreifer keine besonderen technischen Kenntnisse. Somit ist die Gruppe der potenziellen Angreifer ungleich größer. Aus wirtschaftlichen Gründen wird die Informationsbeschaffung mittels Social Engineering oftmals einer aufwändigen Hackerattacke vorgezogen.
Doch stellt sich die Frage, warum Social Engineering überhaupt möglich ist. Menschen sind in ihrem Wesen sehr sozial eingestellt und häufig zu schnell bereit, einer fremden Person zu vertrauen, die vorgibt, bei einem Problem helfen zu wollen oder Hilfe benötigt. Das folgende Beispiel soll diese Problematik anschaulich erläutern:
Alice arbeitet im Büro eines großen Konzerns. Das Telefon klingelt. Ein äußerst sympathisch klingender Bob stellt sich Alice als Systemadministrator vor und erzählt ihr, dass es ein Problem im Netzwerk gibt. Um zu verhindern, dass dieses Problem auch auf Alices Computer auftritt, benötigt Bob ganz dringend Alices Benutzernamen und Passwort. Alice erklärt, dass sie ihre vertraulichen Logindaten äußerst ungern nennen möchte, da sie schon so viel Schlechtes gehört habe. Bob erwidert sofort, dass Alice das Passwort doch auf einen neuen Wert ändern könne, nachdem er die Konfiguration abgeschlossen habe. Er würde auch in fünf Minuten fertig sein und kurz zurückrufen, so dass Alice das Passwort ändern könne. Alice klärt sich nun einverstanden und nennt Bob ihre vertraulichen Logindaten. Bob meldet sich sofort mit den Logindaten an, ändert als erstes das Passwort und kopiert in aller Ruhe die vertraulichen Informationen, die er benötigt.
Durch […]
Leseprobe
Inhaltsverzeichnis
René Merten
Darstellung der Bedrohung durch Social Engineering und Analyse der als
Gegenmaßnahme vorhandenen IT-Sicherheitsprozesse am Beispiel eines großen
Unternehmens
ISBN: 978-3-8366-3415-1
Herstellung: Diplomica® Verlag GmbH, Hamburg, 2009
Zugl. Fachhochschule Bonn-Rhein-Sieg, Bonn, Deutschland, Bachelorarbeit, 2008
Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte,
insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von
Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der
Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen,
bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung
dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen
der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik
Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich
vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des
Urheberrechtes.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in
diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme,
dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei
zu betrachten wären und daher von jedermann benutzt werden dürften.
Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können
Fehler nicht vollständig ausgeschlossen werden und der Verlag, die Autoren oder
Übersetzer übernehmen keine juristische Verantwortung oder irgendeine Haftung für evtl.
verbliebene fehlerhafte Angaben und deren Folgen.
© Diplomica Verlag GmbH
http://www.diplomica.de, Hamburg 2009
Inhaltsverzeichnis
Inhaltsverzeichnis
1 EINFÜHRUNG ...6
1.1 Problemstellung... 6
1.2 Zielsetzung ... 8
1.3 Rahmenbedingungen... 8
1.4 Methodik ... 9
2 SOCIAL ENGINEERING ...10
2.1 Definition und Abgrenzung ... 10
2.2 Psychologische Aspekte ... 19
2.2.1 Erfolgsfaktoren sozialer Manipulation ... 19
2.2.2 Kognitive Voreingenommenheit... 24
2.2.3 Soziopsychologische Compliance ... 25
2.3 Aktualität und Relevanz ... 28
2.3.1 Fallbeispiele ... 28
2.3.2 Aktuelle Untersuchungen ... 30
2.3.3 Unternehmensspezifische Relevanz ... 33
2.4 Methoden ... 35
2.4.1 Phishing... 35
2.4.2 Identity Theft ... 44
2.4.3 Dumpster Diving ... 47
2.4.4 Road Apple... 50
2.4.5 Shoulder Surfing ... 55
2.4.6 Tailgating... 58
2.4.7 Just Asking... 61
2.5 Übersicht des Gefährdungspotentials... 64
3 CHALLENGE QUESTION PROCESS ...66
3.1 Definition und Abgrenzung ... 66
3.1.1 Darstellung als eEPK... 69
3.1.2 Technische Umgebung ... 72
3.2 Akzeptanz... 74
3.2.1 Resonanz nach Regionen... 74
3.2.2 Fehlerquote ... 81
3.3 Angriffspunkte durch Social Engineering ... 86
3.3.1 Phishing... 87
3.3.2 Identity Theft ... 88
3.3.3 Dumpster Diving ... 88
3.3.4 Road Apple... 89
3.3.5 Shoulder Surfing ... 90
3.3.6 Tailgating... 90
3.3.7 Just Asking... 91
2.4 Erweiterte Übersicht des Gefährdungspotentials ... 92
Inhaltsverzeichnis
4 ERGEBNISSE...94
4.1 Handlungsempfehlungen ... 94
4.1.1 Maßnahmen gegen Social Engineering ... 94
4.1.2 Empfehlungen für den Challenge Question Process ... 103
4.2 Alternativer IT-Sicherheitsprozess... 106
4.3 Fazit ... 109
Abbildungsverzeichnis... 111
Tabellenverzeichnis ... 112
Abkürzungsverzeichnis... 113
Literaturverzeichnis ... 114
Einführung
5
,,Mathematik ist tadellos, die Computer besiegbar, die
Netzwerke lausig und die Mitarbeiter unberechenbar."
Bruce Schneier, 2001
Bruce Schneier ist Chief Technical Officer, Mitbegründer der auf
Internetsicherheit spezialisierten Firma Counterpane Internet Security
und Mitentwickler der Blowfish- und Twofish-Encryption-Alogrithmen.
,,Es gibt keinen Patch für Dummheit!"
Kevin David Mitnick, 2002
Kevin David Mitnick ist ein weltweit bekannter, ehemaliger Hacker und
heutiger Geschäftsführer einer Sicherheitsfirma. Er wurde populär über
seinen erfolgreichen Einsatz von Social-Engineering-Methoden.
Einführung
6
1 Einführung
Zu Beginn werden die Problemstellung, die Zielsetzung, die Rahmen-
bedingungen und die Methodik erläutert, die die Ausrichtung der Bachelor-
arbeit einleitend skizzieren.
1.1 Problemstellung
Unternehmen, Behörden, sowie auch immer öfter Privatpersonen investieren
in teure Anti-Virus-Software, Firewalls, ausgeklügelte biometrische Zutritts-
systeme zum internen Netzwerk und aufwändige Verschlüsselungsverfahren.
Ist alles installiert und perfekt konfiguriert, wähnt sich der Anwender in
Sicherheit. Es wurde an alle erdenklichen Risiken gedacht, um die
vertraulichen Informationen zu schützen. Es stellt sich aber die Frage, ob auch
der Risikofaktor Mensch in der Planung des informationstechnischen Schutz-
konzeptes berücksichtigt wurde.
Möchte ein Angreifer an vertrauliche Informationen gelangen, muss er sich
nicht technischer Methoden bedienen, um die Firewall zu überwinden, sondern
kann einen Mitarbeiter des Unternehmens direkt nach den vertraulichen Infor-
mationen fragen. Diese soziale Manipulation nennt man Social Engineering.
Eine Illustration dieser Vorgehensweise wird in der folgenden Abbildung
dargestellt. [BAUMGARTNER 2005].
Quelle: Eigene Darstellung
Abb. 1.1.1 Vorgehensweise via Social Engineering
Im Gegensatz zu konventionellen technischen Angriffsmethoden benötigen die
Angreifer keine besonderen technischen Kenntnisse. Somit ist die Gruppe der
potenziellen Angreifer ungleich größer. Aus wirtschaftlichen Gründen wird die
Einführung
7
Informationsbeschaffung mittels Social Engineering oftmals einer aufwändigen
Hackerattacke vorgezogen. [BAUMGARTNER 2005].
Doch stellt sich die Frage, warum Social Engineering überhaupt möglich ist.
Menschen sind in ihrem Wesen sehr sozial eingestellt und häufig zu schnell
bereit, einer fremden Person zu vertrauen, die vorgibt, bei einem Problem
helfen zu wollen oder Hilfe benötigt. Das folgende Beispiel soll diese
Problematik anschaulich erläutern:
Alice
1
arbeitet im Büro eines großen Konzerns. Das Telefon klingelt. Ein
äußerst sympathisch klingender Bob stellt sich Alice als System-
administrator vor und erzählt ihr, dass es ein Problem im Netzwerk gibt.
Um zu verhindern, dass dieses Problem auch auf Alices Computer
auftritt, benötigt Bob ganz dringend Alices Benutzernamen und
Passwort. Alice erklärt, dass sie ihre vertraulichen Logindaten äußerst
ungern nennen möchte, da sie schon so viel Schlechtes gehört habe.
Bob erwidert sofort, dass Alice das Passwort doch auf einen neuen Wert
ändern könne, nachdem er die Konfiguration abgeschlossen habe. Er
würde auch in fünf Minuten fertig sein und kurz zurückrufen, so dass
Alice das Passwort ändern könne. Alice klärt sich nun einverstanden und
nennt Bob ihre vertraulichen Logindaten. Bob meldet sich sofort mit den
Logindaten an, ändert als erstes das Passwort und kopiert in aller Ruhe
die vertraulichen Informationen, die er benötigt.
Durch Vorspielung einer falschen Identität und das gezielte Ausnutzen
menschlicher Eigenschaften wie Sympathie, Hilfsbereitschaft und Autoritäts-
gläubigkeit, gelangt Bob an Alices vertrauliche Informationen. Vor dem Anruf
hat Bob höchstwahrscheinlich eine Recherche über den Konzern, die
Zielperson und die internen Abläufe durchgeführt. Dies erfolgt oft über die
Verknüpfung öffentlicher Informationen, wie zum Beispiel der Webseite des
Konzerns oder aus Anrufen beim Kundendienst. Es wird deutlich, dass
Social-Engineering-Methoden ein effizienter Weg sind, um an die vertraulichen
Informationen eines Unternehmens zu gelangen.
Von 2005 bis 2007 wurde ein Anstieg in der Anwendung dieser
Social-Engineering-Methoden festgestellt. Nun warnt das Bundesamt für
Sicherheit in der Informationstechnik (BSI)
2
in seinem aktuellen Bericht zur
Lage der informationstechnischen Sicherheit in Deutschland, dass diese
Methoden immer professioneller werden. Ein weiterer Anstieg wird
prognostiziert. [BSI LAGEBERICHT 2007]. Zusätzlich wird, nach einer Umfrage
der Zeitschrift für Informationssicherheit kes, bei 49 Prozent der Befragten
(Grundgesamtheit 163 Unternehmen) der menschliche Faktor eindeutig als die
größte Gefahr für die informationstechnische Sicherheit des eigenen Unter-
nehmens dargestellt. [KES 2004].
1
Alice und Bob sind Synonyme für Sender und Empfänger einer Nachricht, Anfrage oder Aktion.
2
Das BSI ist eine in der Bundesstadt Bonn ansässige obere Bundesbehörde im Geschäftsbereich
des Bundesministeriums des Innern (BMI), die für Fragen der IT-Sicherheit zuständig ist.
Einführung
8
Dies führt zu dem Schluss, dass Social Engineering einerseits im Rahmen zu-
künftiger Angriffe wahrscheinlicher wird und andererseits eine Bedrohung für
die Vertraulichkeit der Informationen darstellt.
1.2 Zielsetzung
Im Rahmen dieser Bachelorarbeit wird untersucht, welche Bedrohungen durch
Social Engineering für Unternehmen entstehen.
Die Analyse und Bewertung eines Schutzkonzeptes vor Social Engineering
bilden den praktischen Teil der Bachelorarbeit. Dies soll für Unternehmen eine
Anregung liefern, den menschlichen Faktor in den Sicherheitsrichtlinien
adäquat zu berücksichtigen.
Diese Bachelorarbeit soll auch zeigen, dass Social Engineering nicht mit der
Implementierung neuer Sicherheitsrichtlinien oder aufwändigen Sensibili-
sierungsmaßnahmen der Mitarbeiter verhindert werden kann. Es kann das
Risiko eines Angriffs verringern, jedoch wird Social Engineering stets eine
Bedrohung sein.
Eine Erarbeitung von Handlungsempfehlungen zur Verringerung des eingangs
skizzierten Risikos durch Social Engineering ist das Ergebnis und bildet den
Abschluss dieser Bachelorarbeit.
1.3 Rahmenbedingungen
Diese Bachelorarbeit wird in Kooperation mit einem Chemie-Unternehmen und
der Fachhochschule Bonn-Rhein-Sieg erstellt.
Das börsennotierte Unternehmen beschäftigt weltweit mehr als 50.000 Mit-
arbeiter in 125 Ländern, davon sind 80 Prozent der Angestellten außerhalb
Deutschlands tätig.
Die Geschäfte gliedern sich in drei Bereiche:
·
Wasch- und Reinigungsmittel
·
Kosmetik und Körperpflege
·
Industrielle Klebstoffe
Einführung
9
Die Informationstechnik (IT) ist dem Vorstandsbereich Finanzen unterstellt
und verfolgt zwei Aufgaben. Zum einem die Durchsetzung der IT-Governance
3
und zum anderen IT-Dienstleister für das Unternehmen.
Die Sicherheitsrichtlinie (engl. IT-Security-Policy) beschreibt den Sicherheits-
anspruch eines Unternehmens. Im Rahmen solcher Sicherheitsrichtlinien kann
der menschliche Faktor in Form von Regeln und Arbeitsabläufen (engl.
workflows) abgebildet werden. Diese firmeninternen Regelwerke sind im
Verantwortungsbereich
der
IT-Governance.
Da
diese
Bachelorarbeit
Handlungsempfehlungen für die Sicherheitsrichtlinie liefern soll, ist sie in der
IT-Governance des Unternehmens angesiedelt.
Vertrauliche Daten, die im Rahmen dieser Bachelorarbeit anfallen, werden zum
Schutz von Personen und des Unternehmens anonymisiert eingebracht.
1.4 Methodik
Der methodische Aufbau dieser Bachelorarbeit gliedert sich in drei Blöcke.
Der erste Block beschreibt die theoretischen Grundlagen der Bachelorarbeit
und beginnt mit einer Begriffsdefinition und Abgrenzung. Die psychologischen
Aspekte werden in einem Exkurs über die Struktur des menschlichen Denken
und Handelns erläutert, um die Fragestellung zu untersuchen, warum
Social Engineering möglich ist. Es folgt die Vorstellung aktueller Auswertungen
und Untersuchungen zu Social Engineering. Eine Beschreibung der
Social-Engineering-Methoden
und
eine
Einschätzung,
wie
hoch
das
Gefährdungspotential für das Unternehmen ist, bilden den Abschluss.
Im zweiten Block wird ein bestehender IT-Sicherheitsprozess im Unternehmen
auf Schwachstellen gegenüber Angriffen der vorgestellten Social-Engineering-
Methoden untersucht. Der IT-Sicherheitsprozess dient der Identitäts-
feststellung eines Mitarbeiters im Unternehmen und muss vor dem
Zurücksetzen des Mitarbeiter-Passworts durchlaufen werden. Zusätzlich wird
der
IT-Sicherheitsprozess
auf
Akzeptanz
und
Implementierung
im
Unternehmen analysiert. Hier besteht Interesse herauszufinden, ob die
Mitarbeiter den IT-Sicherheitsprozess verstehen, wie hoch die Abbruchquote
ist und ob es Unterschiede nach Regionen, Ländern oder Kulturkreisen gibt.
Schließlich werden im dritten Block Handlungsempfehlungen abgeleitet, die
zur Erhöhung der Festigkeit gegen Social-Engineering-Angriffe beitragen
sollen. Ein Ausblick auf einen alternativen IT-Sicherheitsprozess für das
sichere Zurücksetzen eines Passwortes soll weitergehende Anregung liefern.
3
IT-Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen,
dass die IT die Unternehmensstrategie und -ziele unterstützt. [GADATSCH 2007].
Social Engineering
10
2 Social Engineering
Dieses Kapitel definiert Social Engineering, beschreibt Methoden und
psychologische Aspekte, stellt aktuelle Untersuchungen vor und betrachtet das
Gefährdungspotential
des
Unternehmens
vor
Angriffen
durch
Social Engineering.
2.1 Definition und Abgrenzung
Im Rahmen dieses Kapitels wird eine Abgrenzung der für diese Bachelorarbeit
relevanten Bereiche vorgenommen.
Begriffsdefinition
Social Engineering (engl. für angewandte Sozialwissenschaft bzw. soziale
Manipulation) verwendet Methoden der Beeinflussung und Überredungskunst
zur Manipulation, über die sich ein Social Engineer eine gefälschte Identität
aneignet. [SCHNEIER 2000, Seite 260f]. Mit dieser kann ein Social Engineer
das Opfer zu seinem Vorteil ausbeuten, um mit oder ohne Verwendung von
technischen Hilfsmitteln an vertrauliche Informationen zu gelangen. Beim
Social Engineering werden menschliche Eigenschaften wie z.B. Hilfs-
bereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt.
[MITNICK 2002, Seite 4].
Eine Teilmenge von Social Engineering ist Social Hacking, die auf der
nachfolgenden Grafik abgebildet wird. Social Hacking bezeichnet den Angriff
auf ein Computersystem unter Verwendung von Social-Engineering-Methoden.
Im Gegensatz zum Social Engineering ist das Ziel bei Social Hacking nur der
unautorisierte Zugriff in ein Computersystem. [MITNICK 2002, Seite 9].
Quelle: Eigene Darstellung in Anlehnung an [MITNICK 2002]
Abb. 2.1.1 Abgrenzung Social Hacking zu Social Engineering
Social Engineering
11
Geschichte
Erstmalig wird Social Engineering in Zusammenhang mit Phreaking
4
in den
1980er Jahren erwähnt. Die Angreifer riefen bei Telefongesellschaften an und
gaben sich als Systemadministratoren aus, um neue Passwörter zu
erschleichen. Mit diesen konnten kostenlose Modemverbindungen initiiert
werden. [ROBSON 2004, Seite 4f], [SCHNEIER 2000, Seite 260]. Etwa zehn
Jahre später warnte das Computer Emergency Response Team (CERT)
5
der
Carnegie Mellon University vor Telefonanrufen und E-Mail-Nachrichten, die
Nutzer durch Verstellung und mit rhetorischen Tricks dazu bringen,
Zugangsdaten preiszugeben. [CERT 1991].
Bekannter wurde Social Engineering über Kevin David Mitnick, der aufgrund
seiner Angriffe in fremde Computersysteme, eine der meistgesuchten
Personen
in
den
Vereinigten
Staaten
von
Amerika
(USA)
war.
[SYCAMNIAS 1999]. Nach über 100 Angriffen wurde Mitnick schließlich vom
Federal Bureau of Investigation (FBI) am 15. Februar 1995 verhaftet.
[FBI 1995]. Heute ist er Inhaber einer Sicherheitsfirma, Autor mehrere
Fachbücher zum Thema IT-Sicherheit und regelmäßiger Kongressteilnehmer
auf IT-Sicherheitskonferenzen weltweit.
Abgrenzung
Privatpersonen, Unternehmen und Behörden sind die Zielgruppe von Angriffen
via Social Engineering. Da diese Bachelorarbeit in Kooperation mit einem
Unternehmen erstellt wird, befindet sich der Schwerpunkt der Betrachtung bei
den Unternehmensinteressen.
Das Ziel eines Social-Engineering-Angriffs auf ein Unternehmen ist in den
überwiegenden
Fällen
eine
vertrauliche
Information.
Daher
fällt
Social Engineering hier in das Fachgebiet der Informationssicherheit (IS).
[MITNICK 2002, Seite 45].
Informationssicherheit
bezeichnet
die
Eigenschaften
informationsver-
arbeitender und -lagernder Systeme, welche die Schutzziele
6
Vertraulichkeit,
Integrität und Verfügbarkeit sicherstellen sollen.
4
Phreaking bezeichnet Methoden, die es ermöglichen durch Nutzung vorhandener Funktionen
Telefonnetze zu manipulieren, ohne sie jedoch physisch zu sabotieren.
5
Ein CERT ist eine Organisation oder ein spezielles Team von IT-Sicherheitsfachleuten, das bei
der Lösung von konkreten IT-Sicherheitsvorfällen als koordinierende Instanz mitwirkt bzw.
sich ganz allgemein mit Computersicherheit befasst.
6
Vertraulichkeit: Daten dürfen nur von autorisierten Benutzern gelesen werden. Integrität:
Daten dürfen nicht unbemerkt verändert werden. Verfügbarkeit: Verhinderung von
Systemausfällen. Der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens
gewährleistet werden.
Social Engineering
12
Ein Angriff via Social Engineering kann alle drei Schutzziele gefährden, oft wird
aber
die
nur
Vertraulichkeit
angegriffen.
Der
Teilbereich
der
Informationssicherheit, der in dieser Bachelorarbeit behandelt wird, fällt in die
logische Sicherheit und wird auf der folgenden Gesamtübersicht eingegrenzt.
Quelle: Eigene Darstellung in Anlehnung an [POHL 2008]
Abb. 2.1.2 Teilbereich der Informationssicherheit
Im Rahmen der Informationssicherheit unterscheidet man drei Bereiche,
welche die Sicherheit direkt beeinflussen: Menschen, Prozesse und Tech-
nologie. Da Social Engineering vor allem gegen Menschen und Prozesse
eingesetzt wird, ist dies der Schwerpunkt der Bachelorarbeit.
Die Menschen, die Social-Engineering-Angriffe auf ein Unternehmen durch-
führen, werden wie folgt typisiert:
·
Innentäter
Sind Mitarbeiter des Unternehmens
Besitzen eine gültige Zugangsberechtigung
·
Außentäter
Sind keine Mitarbeiter des Unternehmens
Haben keine gültige Zugangsberechtigung
Die Zugangsberechtigung bezeichnet hier die Genehmigung eines Mitarbeiters,
sich auf dem Werksgelände frei bewegen und die IT-Systeme des
Unternehmens benutzen zu dürfen. Dies ist also der klassische Mitarbeiter mit
allen Berechtigungen, die er zum Arbeiten benötigt.
Social Engineering
13
Die eingangs beschriebenen Innentäter werden in der folgenden Gesamt-
übersicht hervorgehoben.
Quelle: Eigene Darstellung in Anlehnung an [POHL 2008]
Abb. 2.1.3 Tätertypisierung und Innentäter
Nach Mitnick lassen sich die oben betrachteten Mitarbeiter in einem Unter-
nehmen in vier verschiedene Zielgruppen einteilen.
[MITNICK 2002, Seite 379].
·
Unkenntnis des wahren Wertes von Informationen
Empfangspersonal
Sekretäre
Kundendienst
·
Spezielle Privilegien
Systemadministratoren
Technischer Kundendienst
Wartungspersonal
·
Hersteller, Lieferanten oder externe Dienstleister
Hersteller von Computer-Hardware und -Software
Entsorger
·
Besondere Abteilungen
Personal
Buchhaltung
Social Engineering
14
Nicht alle Mitarbeiter eines Unternehmens sind für einen Angriff gleichermaßen
geeignet. Je nach Absicht werden andere Zielgruppen bevorzugt, da hier die
Erfolgsaussichten höher liegen, an vertrauliche Informationen zu gelangen.
Der Systemadministrator hat z.B. eine höhere Berechtigung als der
Kundendienst und wird eher das Ziel eines Angriffs durch Social Engineering
werden.
Anfragetypen
Es stellt sich die Frage, welche Ziele ein Social Engineer verfolgt.
Mitnick gliedert die Ziele eines Angriffs in zwei verschiedene Anfragetypen:
Anfrage nach Information (ANI) und Anfrage nach Handlung (ANH).
[MITNICK 2002, Seite 75].
ANI Angriffsziele:
·
Passwort
·
Schaubilder mit Details des Unternehmens
·
Firmen- oder Telefonverzeichnis
·
Persönliche Informationen
·
Computersystemabläufe
·
Geheime oder vertrauliche Informationen
·
...
ANH Angriffsziele:
·
Öffnen eines E-Mail-Anhanges
·
Das eigene Passwort ändern
·
Elektronischer Transfer von internen Informationen
·
Eingabe von Befehlen in den Computer
·
Download, Installation, Deaktivierung von Software
·
Änderungen an den Einstellungen des Computers
·
...
Angriffszyklus
Eine ANI oder ANH sollte erst dann an das Opfer adressiert werden, wenn eine
Beziehung zu dieser Person aufgebaut worden ist. Dies ist eine Strategie beim
Social Engineering, die die Erfolgsaussichten einer ANI oder ANH erhöht.
Durch z.B. viele scheinbar unwichtige Telefonate im Vorfeld kann der Angreifer
Informationen sammeln und Vertrauen aufbauen, das er später ausnutzen
kann. Solche Angriffe können auch mehrstufig sein, indem in weiteren
Schritten auf Wissen und Techniken aufgebaut wird, die in vorhergehenden
Stufen erworben wurden.
Social Engineering
15
So entsteht nach einigen Telefonaten Insider-Wissen, das legitimiert. Dieser
Zyklus wird in der folgenden Grafik abgebildet.
Quelle: [Mitnick 2002, Seite 375]
Abb. 2.1.4 Zyklus Social Engineering
Zu Beginn werden Informationen gesammelt, mit diesen wird eine Beziehung
zum Opfer aufgebaut, das gewonnene Vertrauen wird ausgenutzt und
schließlich das gewonnene Wissen eingesetzt, um das Angriffsziel zu erfüllen.
Eigenschaften eines Social Engineers
Der vorgestellte Angriffszyklus ist in der praktischen Anwendung nicht trivial.
Es werden soziale Kompetenzen und Erfahrung benötigt, um den
Angriffszyklus erfolgreich zu durchlaufen. [MITNICK 2002, Seite 376]. Die
klassischen Eigenschaften eines Social Engineers werden in der folgenden
Auflistung [GRAFE 2005] beschrieben:
·
Gut vorbereitet
Ein Social Engineer muss gut vorbereitet sein, um so einen Anschein
von Kompetenz zu erwerben.
·
Zielorientiert
Ein Social Engineer muss zielorientiert agieren, um keine
Zufallsaktionen zu riskieren, die seine wahren Absichten offenbaren
könnten.
·
Bleibt anonym
Ein Social Engineer muss anonym vorgehen, damit er seine wahre
Identität verstecken und sich fremder Identitäten bedienen kann.
·
Besitzt soziale Kompetenzen
Ein Social Engineer muss soziale Kompetenzen besitzen, um das
Opfer z.B. über Sympathie, Interesse und Aufmerksamkeit dazu zu
verleiten einer ANI oder ANH zuzustimmen.
·
Ist selbstbewusst
Ein Social Engineer muss selbstbewusst auftreten, um über seine
Überzeugungskraft das Opfer zu überreden einer ANI oder ANH
zuzustimmen.
Social Engineering
16
Das Studium der Literatur zur sozialen Manipulation von Menschen, um-
fangreiche Web-Angebote mit Informationen zu Social Engineering und die
Teilnahme an Schulungen ermöglichen es, sich viele der o.g. Eigenschaften
innerhalb kurzer Zeit anzueignen. Diese Fülle an Möglichkeiten führt zu einer
wachsenden Gruppe von Mitarbeitern, die erfolgreiche Social Engineers
werden können.
Kategorien
Social Engineering wird in die drei Kategorien Human Based, Computer
Based und Reverse eingeteilt. Die folgende Abbildung skizziert diese drei
Kategorien. [COMPUTERZEITUNG 2007, Seite 3].
Die Abbildung wird im Laufe des zweiten Kapitels sukzessive um die Social-
Engineering-Methoden erweitert, die im Rahmen dieser Bachelorarbeit
behandelt werden.
Quelle: Eigene Darstellung
Abb. 2.1.5 Social Engineering Kategorien
Nachfolgend werden die Kategorien definiert und an einem anschaulichen
Beispiel verdeutlicht.
Human Based Social Engineering (HBS)
Die direkte und zwischenmenschliche Kommunikation mit dem Opfer
bezeichnet man als Human Based Social Engineering.
Sehr häufig gibt sich der Angreifer z.B. als Manager, Chef, System-
administrator, Mitarbeiter einer anderen Abteilung oder IT-Reparaturdienst
aus, um an die gewünschten Informationen zu gelangen. Die notwendige
Authentizität erreicht der Angreifer durch geschickte Kombination öffentlicher
Informationen.
Dies
beschreibt
die
erste
Phase
im
Angriffszyklus.
[SEARCHSECURITYCHANNEL 2007, Seite 3].
Beispiel für einen Angriff via HBS:
Alice arbeitet in einem größeren Chemie-Konzern und geht an ihr
klingelndes Telefon. Es meldet sich Bob: ,,Guten Tag, Bob mein Name,
Firma ENTERPRISE. Die Zentrale hat mich zu Ihnen durchgestellt.
Spreche ich mit Alice, der IT-Leiterin?". Alice: ,,Ja, das ist korrekt. Was
kann ich für Sie tun?". Bob: ,,Nun, ich bin mit Ihrer Kundenbetreuung
Social Engineering
17
beauftragt und da in letzter Zeit Probleme mit Produkt X aufgetreten
sind, soll ich Sie von Patch Y informieren.". Alice ist erstaunt und
erwidert: ,,Produkt X? Das setzen wir doch gar nicht ein. Wir verwenden
doch RST Version 3.5 auf OS 4.4?". Bob entschuldigt sich für das
Missverständnis und beendet freundlich das Gespräch mit Alice.
Anhand dieses Beispiels wird schnell deutlich, dass Bob unter Verwendung
einer falschen Identität an folgende vertrauliche Informationen gelangen
konnte:
·
Name der IT-Leitung: Alice
·
Eingesetztes Produkt und Version: RST 3.5
·
Eingesetztes Betriebssystem und Version: OS 4.4
Mit ein wenig Geschick könnte Bob auch noch an weitere Informationen, wie
z.B. die Servertypen, gelangen. Mit diesen Informationen und unter
Verwendung in der IT üblicher Fachbegriffe kann Bob einen Mitarbeiter des
Chemie-Konzerns dazu überreden, vertrauliche Informationen preiszugeben,
indem er sich einer fremden Identität bedient.
Computer Based Social Engineering (CBS)
Die Kommunikation mit dem Opfer über technische Kanäle bezeichnet man als
Computer Based Social Engineering.
Unter Verwendung von Internetdiensten wie u.a. E-Mail, Webseiten, Popups
oder anderer technischer Methoden wird versucht, dem Opfer eine
vertrauenswürdige Quelle zu suggerieren. Das Opfer wird dazu verleitet,
vertrauliche Informationen wie z.B. Passwort, Mitarbeiterkennung, Personal-
nummer preiszugeben oder eine Malware
7
herunterzuladen.
Die durch gefälschte E-Mails oder Webseiten von Kreditinstituten bekannt
gewordene
Phishing-Methode
fällt
z.B.
unter
diese
Kategorie.
[SEARCHSECURITYCHANNEL 2007].
Beispiel für einen Angriff via CBS:
Bob versendet massenhaft E-Mails, die die Empfänger dazu auffordern
Accountdaten bei einem Internetangebot zu verifizieren, da sonst der
Account gelöscht werden würde. Auch Alice befindet sich unter den
zahlreichen Empfängern. Durch Klick auf den in der E-Mail enthaltenen
Link gelangt Alice auf ein authentisch wirkendes Formular, in welches
vertrauliche Informationen (Username, Passwort) eingetragen werden
können. Da Alice von der Echtheit der E-Mail überzeugt ist und sie gerne
7
Als Malware bezeichnet man Computerprogramme, welche vom Benutzer unerwünschte und
ggf. schädliche Funktionen ausführen.
Social Engineering
18
ihren Account behalten möchte, gibt sie ihren Usernamen und ihr
Passwort in das Formular ein und klickt auf Abschicken.
Es zeigt sich, dass Bob an Alices vertrauliche Informationen gelangen konnte,
indem er eine offiziell wirkende E-Mail an unzählige Empfänger verschickt hat.
Die in das Formular eingetragenen Daten wurden ihm automatisch per E-Mail
zugeschickt. Im Gegensatz zum Human Based Social Engineering hat er Alice
nicht persönlich angesprochen.
Reverse Social Engineering (RS)
Die Verursachung oder Kenntnisnahme eines Problems, um das Opfer dazu zu
verleiten, von sich aus Kontakt mit dem Angreifer aufzunehmen, bezeichnet
man als Reverse Social Engineering.
Ziel ist es, die Hilflosigkeit des Opfers auszunutzen, das an einer schnellen
Lösung des Problems interessiert ist. Überstürzt vertraut das Opfer dem
hilfsbereiten Angreifer und wird dazu verleitet einer ANI oder ANH zuzu-
stimmen. [MITNICK 2002, Seite 81].
Beispiel für einen Angriff via RS:
Alice arbeitet als Bürokraft in einer Firma, die Waschmittel herstellt. Bob
ruft bei Alice an und gibt sich als Netzwerktechniker aus. Zur
Sicherstellung der hohen Servicequalität fragt Bob, nach ein paar
Höflichkeiten, ganz selbstverständlich nach der Portnummer des
Rechners, um ihn in die Serviceliste mit aufzunehmen. Alice möchte
keine Probleme verursachen und gibt die Portnummer bekannt. Sie
lautet 6-47. Bob informiert Alice, dass er bei Netzwerkproblemen der
perfekte Ansprechpartner wäre und gibt seine Handnummer bekannt.
Eine Woche später ruft Bob im Netzwerkzentrum der Firma an und bittet
den Port 6-47 auf Alices Rechner zu deaktivieren, da angeblich versucht
wird ein Kabelproblem zu klären. Der Kollege aus der IT-Abteilung ist
erst misstrauisch, wird aber nach einigen Minuten von Bob überzeugt,
seiner ANH nachzukommen. Der IT-Mitarbeiter sagt, dass die
Deaktivierung des Ports in einigen Minuten erledigt sein sollte. Schon
30 Minuten später ruft Alice bei Bob an und meldet, dass der
Netzwerkzugang nicht mehr funktionieren würde. Bob bittet Alice einen
Moment zu warten und lässt, über das Netzwerkzentrum, den Port
wieder freigeben. Alice ist hocherfreut und befolgt nun Anweisungen von
Bob die verhindern sollen, dass ein solches Problem in der Zukunft noch
einmal auftritt. Alice installiert dafür ein Diagnoseprogramm von Bob auf
ihrem Rechner.
Das Beispiel verdeutlicht wie Social Engineering auch rückwärts funktionieren
kann. Bob verursachte erst ein Problem auf Alices Rechner und tritt später als
Social Engineering
19
scheinbar sympathischer und hilfsbereiter Mitarbeiter auf. So konnte er Alice
dazu verleiten, Malware auf ihrem Rechner zu installieren.
Psychologische Aspekte
20
2.2 Psychologische Aspekte
Die soziale Manipulation wird durch Sozialwissenschaftler schon seit etwa
50 Jahren eingehend untersucht. [MITNICK 2002, Seite 284-294].
Im Rahmen dieser sozialen Manipulation nutzen Social Engineers menschliche
Verhaltensweisen sehr bewusst, häufiger noch unbewusst, aus und stützen
ihre Angriffe auf psychologische Erfolgsfaktoren. [TAYLOR 2000].
Es stellt sich die Frage, ob ein Mitarbeiter erfolgreich über Social Engineering
angegriffen werden kann, obwohl er regelmäßige Sensibilisierungsmaßnahmen
und Trainings durchlaufen hat.
Die Untersuchung dieser Fragestellung wird an den folgenden drei psycho-
logischen Aspekten [KITZMANN 2004] durchgeführt:
·
Erfolgsfaktoren sozialer Manipulation
·
Kognitive Voreingenommenheit
·
Soziopsychologische Compliance
Der Zusammenhang ist in der der unten stehenden Grafik abgebildet.
Quelle: Eigene Darstellung
Abb. 2.2.1 Psychologische Aspekte des Social Engineerings
Es gibt weitere psychologische Verfahren über die Menschen manipuliert
werden können. Schwerpunkt dieses Kapitels ist keine vollständige Auflistung
aller Verfahren, sondern ein Einblick in die psychologischen Aspekte des
Social Engineerings. [SCHAUMANN 2006].
2.2.1 Erfolgsfaktoren sozialer Manipulation
Die
Erfolgsfaktoren
sozialer
Manipulation
beschreiben
grundlegende
Tendenzen der menschlichen Natur, die beim Versuch eine Rolle spielen, die
Mitarbeit bei einer ANI oder ANH zu erlangen. [CIALDINI 2005].
Psychologische Aspekte
21
Insgesamt werden sieben Erfolgsfaktoren [MITNICK 2002, Seite 283-298]
genannt:
·
Konsequenz
·
Revanchieren
·
Mangel
·
Autorität
·
Soziale Bestätigung
·
Zuneigung
·
Neugier
Es folgt die Definition und ein anschauliches Beispiel zu jedem Erfolgsfaktor.
Konsequenz
Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn sie sich für
eine Sache verpflichtet oder eingesetzt haben. Wenn ein Mitarbeiter etwas
versprochen hat, wird er nicht unzuverlässig oder unwillig erscheinen wollen,
indem er plötzlich sein Wort bricht. Vielmehr wird er versuchen, stets
konsequent zu seinen Versprechen und Aussagen zu stehen.
Beispiel für einen Angriff via Konsequenz:
Bob nimmt Kontakt zu Alice auf. Alice ist erst sehr kurz im Unternehmen
und mit den internen Abläufen noch nicht ganz vertraut. Bob: ,,Hallo
Alice, ich bin Bob und für die Sicherheitsrichtlinien des Unternehmens
verantwortlich!". Alice: ,,Ahh, okay...!". Bob: ,,Sie wissen, dass Sie sich
an die Sicherheitsrichtlinien und Prozeduren unseres Unternehmens
halten müssen, da dies eine Bedingung für die Nutzung der IT-Systeme
ist?". Alice: ,,Hmm, ja natürlich!". Bob: ,,Gut!". Bob bespricht einige
Minuten lang interne Prozeduren und erklärt Alice einige Abläufe. Bob:
,,Ich hoffe, dass ich Ihnen die Sicherheitsrichtlinien anschaulich erklären
konnte. Eine Frage noch: Welches Passwort haben Sie vergeben? Es
muss ein Mindestmaß an Sicherheit erfüllen.". Alice: ,,12345A". Bob
empfiehlt Alice die Wahl eines neuen Passworts und beendet das
Gespräch freundlich.
Alice war zur Mitarbeit bereit, da sie aufgrund ihrer vorherigen Zustimmung,
die Firmenrichtlinien zu befolgen, eine Aussage getroffen hatte, von der sie
sich schwer zurückziehen konnte. Schließlich nimmt Alice an, dass Bob nur
ihre Bereitschaft zur Mitarbeit prüft.
Revanchieren
Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn ihnen
schon etwas Wertvolles gegeben oder versprochen worden ist. Dies kann ein
Ratschlag, etwas Materielles oder eine Hilfestellung sein. Diese starke Tendenz
Psychologische Aspekte
22
zum Ausgleich existiert sogar dann, wenn das Opfer, das die Aufmerksamkeit
erhalten hat, gar nicht danach gefragt hat. [EGO 2002].
Beispiel für einen Angriff via Revanchieren:
Alice erhält einen Anruf von Bob, der sich selbst als einen Mitarbeiter
der IT-Abteilung vorstellt. Bob erklärt, dass sich einige Firmencomputer
mit einem neuen Virus infiziert haben, der alle Daten auf dem Computer
vernichtet und noch nicht von der Antiviren-Software erkannt wird. Er
bietet Alice an, sie durch einige Schritte zu leiten, die der Vorbeugung
von Problemen dienen sollen. Bob nimmt sich viel Zeit und erklärt sehr
geduldig, welche Schritte Alice durchführen soll. Alice ist über die
unerwartete Hilfe hocherfreut. Bob bittet Alice nun, eine Software zu
testen, die gerade kürzlich aktualisiert wurde, um den Mitarbeitern das
Ändern ihrer Passwörter zu erlauben. Alice folgt der Bitte. Die
Anwendung übermittelt im Hintergrund vertrauliche Informationen von
Alice an Bob.
Alice widerstrebt dieser Bitte, nicht nachzukommen, weil Bob ihr gerade
geholfen hat und da sie denkt, nun vor einem Virus geschützt zu sein.
Mangel
Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn sie
annehmen, dass ein angebotenes Objekt Mangelware sei und andere darum
wettstreiten oder es nur für eine kurze Zeit verfügbar ist.
Beispiel für einen Angriff via Mangel:
Bob verschickt zahlreiche E-Mails in seinem Unternehmen mit der
Behauptung, die ersten 500 Mitarbeiter, die sich auf einer neuen
Webseite registrieren lassen, erhalten Freitickets für den neuesten
Kinokassenschlager. Alice findet das interessant und möchte sich auf
der Seite registrieren. Sie wird nach ihrer dienstlichen E-Mail-Adresse
und einem Passwort gefragt. Viele Mitarbeiter wählen aus Gründen der
Bequemlichkeit das gleiche oder ein ähnliches Passwort auf allen
Computersystemen, die sie benutzen. Dies macht sich Bob zunutze und
versucht dann, die dienstlichen und privaten Computersysteme von
Alice mit Hilfe des Benutzernamens und des Passworts zu
kompromittieren, das während des Registrierungsprozesses auf der
Webseite eingegeben worden ist.
Alice hatte es mit der Registrierung besonders eilig, da sie annahm, dass es
nur eine begrenzte Anzahl von Freitickets gibt. Dies führte dazu, dass Alice
mehr über einen möglichen Gewinn nachdachte, als über die Herausgabe Ihrer
vertraulichen Daten.
Psychologische Aspekte
23
Autorität
Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn ihr
Gegenüber eine glaubhafte Identität und Berechtigung zu haben scheint.
Autorität ist eine soziale Positionierung einer Person oder Institution, die dazu
führt, dass andere Personen ihr Denken und Handeln nach ihr richten.
[ARONSON 1994, Seite 60-65]. Social Engineers verwenden den Identitäts-
diebstahl, um sich einer fremden Autorität zu bedienen.
Beispiel für einen Angriff via Autorität:
Bob versucht, sich den Anschein von Autorität zu geben, in dem er
behauptet, er käme von der IT-Abteilung, gehöre zur Geschäftsführung
oder arbeite für einen Geschäftsführer des Unternehmens. Er geht zu
Alice und verlangt die sofortige Herausgabe der letzten Arbeits-
ergebnisse. Alice ist von Bobs Identität überzeugt und vermutet, dass er
die Berechtigung hat, diese Anfrage zu stellen. Sie übergibt vertrauliche
Informationen an Bob.
Die falsche Identität und das zusätzlich dominante Auftreten von Bob haben
Alice dazu verleitet, einer unautorisierten ANI zuzustimmen.
Soziale Bestätigung
Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn behauptet
wird, dass andere Mitarbeiter bereits einer ANH oder ANI zugestimmt haben.
Die Handlungen von Anderen werden als Bestätigung oder Validation
akzeptiert, dass das fragliche Verhalten die richtige und angemessene
Handlung darstellt. [HERKNER 2001, Seite 377ff].
Beispiel für einen Angriff via soziale Bestätigung:
Bob ruft Alice an. Er teilt ihr mit, er führe eine Untersuchung durch und
nennt andere Personen aus der Abteilung mit dem Hinweis, dass diese
bereits mit ihm zusammengearbeitet haben. Alice, im Glauben, dass die
Kooperation durch Andere die Authentizität der Anfrage bestätigt,
stimmt einer Teilnahme zu. Bob stellt dann eine Reihe von Fragen an
das Opfer, unter denen sich dann einige befinden, die ihren
Benutzernamen und das zugehörige Passwort enthüllen.
Alice empfand die ANI als berechtigt, da Bob behauptete, dass andere
Kollegen bereits mit ihm zusammengearbeitet haben.
Zuneigung
Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn ihnen die
anfragende Person angenehm vorkommt oder ähnliche Interessen, Ansichten
Psychologische Aspekte
24
und Verhaltensweise hat. Die Sympathie des Mitarbeiters zum Angreifer trägt
entscheidend zum Erfolg eines Angriffs bei. So beschreibt Mitnick, dass das
Hervorheben von Gemeinsamkeiten die Sympathie im besonderen Maße
fördert. Der Social Engineer wird ebenfalls versuchen, die Verhaltensweisen
des Opfers nachzuahmen, um ihm gleichartig zu erscheinen.
Beispiel für einen Angriff via Zuneigung:
Durch Konversation in der Teeküche erlangt Bob Kenntnisse über ein
Hobby und ein Interesse von Alice und behauptet, sich selbst für dieses
Hobby oder Interesse zu begeistern. Später erfährt er, dass Alice aus
Köln stammt und Bob behauptet, dass er dort dem Hobby von Alice
nachginge. Im Laufe mehrerer Gespräche erfährt Bob einige private
Details, die im Unternehmen dazu verwendet werden können, um mit
Alices Identität aufzutreten und vertrauliche Daten zu generieren.
Die Sympathie und Aufmerksamkeit Bobs imponierten Alice so stark, dass sie
gerne über private Details sprach, ohne zu berücksichtigen, dass Bob diese
privaten Details für andere Zwecke missbrauchen kann.
Neugier
Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn ihre
Neugier
angesprochen
wird.
So
erzeugen
ungewöhnliche
Symbole,
Beschriftungen, Gerüche, Laute oder Situationen ein Verlangen, die Situation
zu untersuchen und verleiten Mitarbeiter zu einer ANH oder ANI, der sie
vorher nicht nachgekommen wären.
Beispiel für einen Angriff via Neugier:
Bob installiert auf mehreren USB-Sticks eine Malware. Diese, mit dem
Firmenlogo präparierten USB-Sticks, verteilt er nun auf dem
Werksgelände an verschiedenen Orten, an denen diese USB-Sticks auch
von den Angestellten gefunden werden, z.B. beim Empfang, in der
Kantine, in einem Besprechungsraum oder auf der Toilette. Alice findet
einen der USB-Sticks und kann es kaum erwarten nachzuschauen, was
darauf gespeichert ist.
Nach dem Einstecken in den Rechner installiert sich die Malware und spioniert
nach vertraulichen Informationen. Da sich auf dem USB-Stick das Firmenlogo
befand, hatte Alice keinen Verdacht und konnte ihrer Neugier nachgehen,
welche interessanten Daten auf dem USB-Stick gespeichert sind.
Psychologische Aspekte
25
2.2.2 Kognitive Voreingenommenheit
Ein weiterer psychologischer Aspekt des Social Engineerings ist die kognitive
Voreingenommenheit welche vorliegt, wenn sich ein Mitarbeiter, in seinem
Entscheidungsprozess, von seinen Vorurteilen oder Ansichten beeinflussen
lässt. Umgangssprachlich wird diese Eigenschaft auch als bugs in the human
hardware bezeichnet. Eine weniger freie Übersetzung wäre Vorein-
genommenheit, Neigung oder Befangenheit. Eine Ausprägung der kognitiven
Voreingenommenheit ist der Belief Bias, der nachfolgend beschrieben wird.
[SCHAUMANN 2006].
Es existieren noch weitere Ausprägungen, die hier nicht näher betrachtet
werden, da diese zum grundsätzlichen Verständnis der kognitiven Vorein-
genommenheit nicht beitragen. [TAYLOR 2000].
In Studien wurde nachgewiesen, dass Mitarbeiter glaubwürdige Schluss-
folgerungen gegenüber unglaubwürdigen Schlussfolgerungen vorziehen. Wobei
glaubwürdig hier bedeutet, dass die entsprechende Schlussfolgerung nicht
widersprüchlich zum Wissen des Mitarbeiters ist. [OBERMAIER 2004].
Beispiel des Belief Bias:
Alle Manager sind Führungskräfte.
Einige Führungskräfte sind Berechtigte.
Berechtigte sind hier Mitarbeiter, die auf vertrauliche Informationen
zugreifen können. Viele Mitarbeiter neigen zur folgenden glaubwürdigen
Schlussfolgerung:
Einige Manager sind Berechtigte.
Trotzdem handelt es sich um eine falsche Schlussfolgerung.
Aus den beiden obigen Aussagen lässt sich nicht schließen, dass die
Berechtigten, bei denen es sich um Führungskräfte handelt, auch
Manager sind. Außerdem ist es durchaus denkbar, dass es Berechtigte
gibt, die gar keine Führungskräfte sind, und somit auch keine Manager
sein können. Daher kann die Menge der Manager und die Menge der
Berechtigten disjunkt sein.
Alle Manager sind Führungskräfte.
Einige Führungskräfte sind keine Manager.
Der Aufbau dieser Aussagen entspricht dem der obigen Aussagen,
lediglich das Wort Berechtigte wurde durch keine Manager ersetzt. Ein
Psychologische Aspekte
26
zu der im obigen Fall häufig aufgestellten falschen Schlussfolgerung
analoger Schluss wäre hier:
Einige Manager sind keine Manager
Diese Behauptung wird jedoch von wesentlich weniger Mitarbeitern
aufgestellt, als die analoge Behauptung im obigen Fall. Was damit zu
erklären ist, dass die Behauptung ,,Einige Manager sind keine Manager"
von vielen Mitarbeiter als äußerst unglaubwürdig eingeschätzt wird.
Mitarbeiter neigen dazu, eine falsche Schlussfolgerung eher zu akzeptieren,
wenn sie gutgläubig klingt. Ein Angriff via Social Engineering nutzt häufig
dieses menschliche Verhalten aus. So präsentiert der Angreifer dem Opfer
scheinbar glaubwürdige Sachverhalte um, über das so gewonnene Vertrauen,
an vertrauliche Informationen zu gelangen. [OBERMAIER 2004].
2.2.3 Soziopsychologische Compliance
Der letzte hier betrachtete psychologische Aspekt des Social Engineerings ist
die soziopsychologische Compliance. Dies beschreibt das Verhalten eines
Mitarbeiters, der unter sozialem Einfluss des Angreifers steht. Das Verhalten
richtet sich vorrangig danach, eine Belohnung zu erhalten oder einer
Bestrafung zu entgehen. [ARONSON 1994, Seite 53ff]. Ziel des Angreifers ist
es, das Verhalten des Opfers zum eigenen Nutzen zu beeinflussen.
Es werden fünf Techniken unterschieden:
·
Door in the face
·
Foot in the door
·
Low ball
·
Pique
·
That's not all
Door in the face
Englisch: Mit der Tür ins Haus fallen.
Der Angreifer stellt eine große Bitte, die vermutlich abgelehnt wird. Die
folgende kleinere Bitte wird wahrscheinlich gewährt.
Details
- Seiten
- Erscheinungsform
- Originalausgabe
- Jahr
- 2008
- ISBN (eBook)
- 9783836634151
- DOI
- 10.3239/9783836634151
- Dateigröße
- 1.4 MB
- Sprache
- Deutsch
- Institution / Hochschule
- Fachhochschule Bonn-Rhein-Sieg – Informatik, Wirtschaftsinformatik
- Erscheinungsdatum
- 2009 (August)
- Note
- 1,3
- Schlagworte
- social engineering informationssicherheit risikofaktor security policy
