Social Engineering – Hacking leichtgemacht für Nicht-Informatiker

In vielen Firmen herrscht die Meinung vor, dass eine solide Firewall und ein guter Virenschutz sämtlichen Gefahren des Internets Einhalt gebieten können. Leider ist das nur die halbe Wahrheit, denn die beste Software nützt nichts, wenn der „menschliche Faktor“ sie außer Kraft setzt. Das geht leichter als viele vermuten und bringt teilweise mehr Informationen in falsche Hände, wie die so gefürchteten Viren und Trojaner.

Social Engineering oder wie funktioniert der Datenklau auf psychologischer Basis?

Des Rätsels Lösung sind menschliche Taktiken, die heute unter dem Begriff „Social Engineering“ zusammengefasst werden. Ursprünglich hatten diese noch gar nichts mit Computern zu tun. So lautete die frühere deutsche Übersetzung dieser Bezeichnung denn auch lapidar „angewandte Sozialwissenschaften“. Das klingt ja noch richtig nett, doch wenn man weiter zu diesem Thema recherchiert, erfährt man sehr schnell, dass Social Engineering heute eher etwas mit sozialer Manipulation zum Zwecke der Datenbeschaffung zu tun hat als mit angenehmen Dingen zum Wohle der Menschheit.

Im Datenschutz bezeichnet man als „Social Engineering“ all jene Vorgehensweisen, die menschliche Eigenarten ausnutzen, um sich unerlaubt Daten zu beschaffen. Besonders gemein an dieser Methode ist die Tatsache, dass sie ausschließlich durch das Ausnutzen sowohl menschlicher Schwächen als auch menschlicher Stärken funktioniert. Denn: Mit ein wenig psychologischem Gespür findet man meist sehr rasch heraus, wo sich bei den passenden Opfern Ansatzpunkte ergeben.

So sind zum Beispiel Hilfsbereitschaft und die Fähigkeit zu schnellen Problemlösungen Eigenschaften, die bei den Mitarbeitern eines Teams gerne gesehen werden. Geraten Angestellte mit diesen Softskills jedoch an geschickte Manipulateure, kann dies für eine Firma sehr gefährlich werden.

Die (Nach-) Wirkungen sind dabei vielfältig: Mithilfe von Social Engineering können Interessierte bequem jede Menge Interna über Ihre Firma erfahren, also beispielsweise Passwörter knacken, geheime Betriebs-Kennzahlen kopieren, Informationen über neueste Forschungsergebnisse oder Produkte erhalten, sich über die Kunden der Firma und anstehende Neu-Geschäfte und deren Vertragsmodalitäten informieren und und und. All dies trotz bester Schutz-Software und sogar ganz ohne Informatik-Kenntnisse.

Wo setzt Social Engineering an?

Dreh- und Angelpunkt sind die Menschen, die in einer Firma beschäftigt sind. Hier können geschickte Manipulateure gekonnt anknüpfen und ihnen die erforderlichen Daten entlocken. Denn unglaublich, aber wahr: Alles, was Sie für geschicktes Social Engineering brauchen, ist ein wenig Schauspieltalent, etwas Zeit, ein gutes Gespür für die Schwächen und Stärken Ihrer Mitmenschen sowie einen Internet- und Telefon-Anschluss.

Eine Anleitung zum Social Engineering könnte so aussehen:

Ausgangspunkt: Sie sind auf dem Gebiet der Industriespionage tätig und sollen mehr über die Firma X erfahren, den Hauptkonkurrenten Ihres Auftraggebers.

Schritt 1: Kennenlernphase

Es ist nicht besonders schwierig, die beliebtesten Aufenthaltsorte der Angestellten der Firma X für ihre Mittagspause ausfindig zu machen. Diese Cafés oder Supermärkte machen Sie auch zu Ihren Aufenthaltsorten, heften sich diskret an Ihre Opfer und hören ihnen ein wenig zu. Vielleicht können Sie sie sogar in ein nettes Gespräch verwickeln.

Schritt 2: Informationsbeschaffung über mögliche Opfer

Schnell kennen Sie dann die Namen der Betreffenden, ihrer Vorgesetzten und Kollegen. Außerdem wissen Sie recht gut, wer mit wem Streit hat, welche Vorgaben innerhalb der Firma Unmut bei den Beschäftigten hervorrufen usw. usw. Solche Dinge werden ja sehr gerne in der Mittagspause diskutiert. Diese Daten werden von Ihnen sorgfältig notiert.

Eine andere (und noch bequemere) Variante ist die Datensammlung über das Internet. Viele Firmen geben auf ihrer Homepage auch die Namen und Telefonnummern ihrer Beschäftigten sowie ihre Kunden preis. Dagegen ist an sich nichts einzuwenden, doch für geübte Manipulateure sind solche Angaben eine Quelle nützlicher Informationen. Schließlich verraten sie genau, wer wofür zuständig ist, welche Hierarchien bestehen, auf wessen Meinung (Kunden, Medien usw.) die Firma Wert legt und vieles mehr.

Im Internet finden Sie noch weitere detaillierte Auskünfte über Ihre Opfer in den gängigen sozialen Netzwerken. Wie viele Leute bestücken wohl ihre Facebook-Profile mit Fotos, Informationen über Hobbys, Schulen, Sportvereine, Arbeitgeber, Wohnort et cetera? Und welcher begeisterte Hobby-Fussballer würde nun die „Freundschaftsanfrage“ des vermeintlichen Marketing-Chefs eines Sportartikelhändlers abweisen? Schließlich locken ja ein mögliches Sponsoring sowie Gratis-Trikots für den Verein. Den Account des Sportartikelhändlers können Sie als „Social Engineer“ ja bequem fälschen, ebenso den des schmucken Jünglings, über den sie die Azubine des Chefs bei Facebook anchatten usw usw.

Ist die Freundschaftsanfrage durch die Betreffenden bestätigt, können Sie sich bequem über das jeweilige Netzwerk weiter über deren Freunde und Interessen informieren. Wunderbar geeignet ist natürlich auch die Recherche über Suchmaschinen, die selbst über Social Media-Muffel jede Menge Informationen preisgibt.

All diese Informationen liefern Ihnen Material für den nächsten Schritt.

Schritt 3: Zugang zu vertraulichen Firmendaten verschaffen

Durch die Verdichtung Ihrer Datensammlung haben Sie ja jede Menge Informationen über die verschiedenen Mitarbeiter zur Hand, die Sie nun gezielt einsetzen können.

Aufgrund Ihrer Recherche wissen Sie zudem, welche psychologische List Sie einsetzen müssen, um das Vertrauen Ihres Opfers zu gewinnen, bzw. dessen Ängste zu schüren, um an die gewünschten Informationen zu gelangen.

Nun frisch ans Werk und zum Telefonhörer gegriffen.

Dank sozialer Netzwerke wissen Sie ja nun, dass beispielsweise der Chef unserer Azubine ein wahres Ekelpaket ist und heute bei einem Vorstandsmeeting in einer anderen Stadt weilt. Das hat sie nämlich für interessierte Leser alles bei Facebook gepostet. Es ist ein Leichtes, sich am Telefon gegenüber der jungen Dame als autoritäre Vorstandssekretärin der Firmenzentrale auszugeben, die im Auftrag des Chefs ein vergessenes Passwort erfrägt. (Wahlweise können natürlich auch vorgeben, der Unterabteilungsleiter der Konzernzentrale zu sein.)

Schließlich soll die Präsentation des Vorgesetzten ein Erfolg werden und der gute Mann hat angeblich keinen Zugang zu wichtigen Unternehmenszahlen, braucht sie aber innerhalb der nächsten fünf Minuten, weil dann sein Vortrag beginnt – so in etwa könnte die Geschichte lauten, die Sie dem Mädchen auftischen. Natürlich rufen Sie in der Mittagspause der anderen Kollegin an, sodass die arme Azubine keine Gelegenheit hat, die Meinung einer anderen Mitarbeiterin einzuholen.

Nur sehr mutige junge Menschen werden sich einer solchen Bitte verwehren oder auf Zeitverzögerung drängen. Schließlich haben Sie ja (nun kommt Ihr Schauspieltalent zum Tragen) durch entsprechend autoritäres Auftreten demonstriert, was der jungen Dame im Falle einer Verweigerung drohen wird. Das Ergebnis: Flugs haben Sie sich das Passwort verschafft und können in Windeseile sämtliche gewünschten Informationen kopieren, bevor Ihr Trick auffliegt.

Wie kann man Social Engineering vorbeugen?

Viele Vorgesetze glauben, solchen Situationen durch das Aufstellen von strengen Verhaltensregeln vorbeugen zu können. So gibt es in jeder größeren Firma Schutzkonzepte, die beispielsweise Regeln für das Rücksetzen von Passwörtern, das Tragen von Unternehmensausweisen, Auskünfte gegenüber externen, das Verwahren vertraulicher Daten und ähnlichem vorsehen.

All dies sind gute Maßnahmen, doch haben Ihre Angestellten eine Ahnung, wie psychologisch geschickt Social Engineering funktioniert? Was helfen die ausgeklügeltsten Sicherheitsregeln, wenn sie ohne viel Aufwand ausgehebelt werden können?

Ein typisches Beispiel für das Außerkraft-Setzen von Sicherheitsvorgaben hat kürzlich ein Bekannter von mir erlebt. Um einen besonders aufdringlichen Vertreter von Tiefkühlkost von seiner Haustüre abzuwimmeln, hatte er sich zur Unterbreitung telefonischer Angebote bereit erklärt. Natürlich gab er dem energischen Hausierer eine falsche Telefonnummer und einen falschen Vornamen, doch leider den Namen des „richtigen“ Arbeitgebers. Nachnamen und Privat-Anschrift hatte der Vertriebs-Mitarbeiter bereits notiert, doch als Mitarbeiter eines Großkonzerns wähnte sich der Bekannte in Sicherheit vor lästiger Telefon-Akquise. Schließlich befindet sich die Konzern-Zentrale ja in einer ganz anderen Stadt und dort würde sich niemand lange durchfragen, so glaubte er.

Einige Tage später kam der Bekannte dann zufällig hinzu, als seine Kollegin lebhaft mit einem Anrufer plauderte und ihm erzählte, dass Herr X nicht Y, sondern Z mit Vornamen hieße und er – ja tatsächlich – in der XYZ-Straße wohne und die richtige Telefonnummer 1234… laute. Die Reaktion des Bekannten kann man sich vorstellen…

Die Anruferin arbeitete tatsächlich für den Tiefkühl-Vertrieb und hatte die übermäßige Hilfsbereitschaft der Kollegin gerne in Anspruch genommen. Doch was, wenn jemand anderes angerufen hätte und andere, vertrauliche Daten über die Firma und ihre Mitarbeiter erfragt hätte? Ein Schelm, der Böses dabei denkt.

Der Großkonzern, für den der Bekannte arbeitet, legt übrigens großen Wert auf Datenschutz und hat zahlreiche Verhaltensregeln aufgestellt, die unter anderen die Weitergabe persönlicher Daten an Dritte regelt. Dennoch war sich die Kollegin meines Bekannten keiner Schuld bewußt, sie habe ja bloß der netten Dame am Telefon helfen wollen….

Wichtig für Sie als Unternehmen ist nicht nur das Aufstellen von Sicherheitsregeln, sondern die kontinuierliche Information der Beschäftigten über mögliche Datensammler und deren Taktiken. Ihre Mitarbeiter sollten am besten „live“ erleben, wie leicht ihre Gutgläubigkeit böse ausgenutzt werden kann.

Am besten funktioniert Social Engineering übrigens, wenn Zeitdruck vorgegeben oder anderweitig Stress für die Befragten erzeugt wird. Beispielsweise durch autoritäres und drohendes Auftreten vorgeblicher Kunden oder Vorgesetzter. Als Firma sollten Sie deshalb unbedingt die Vorgehensweise in Sonderfällen regeln. Schließlich nutzen Datenmanipulateure gerade solche Szenarien für ihre Zwecke aus.

Dabei sollten Sie auch das Verhalten von Vorgesetzten klar definieren. Was passiert z.B. in Ihrer Firma, wenn ein angeblich wichtiger Kunde, der Herrn X und Frau Y aus Ihrer Führungsetage zu kennen vorgibt, innerhalb von zehn Minuten Details aus Ihrem internen Controllingbericht wissen will? Wie reagieren Sie als Vorgesetzte, wenn Ihre Mitarbeiter daraufhin einem tatsächlichen Kunden Daten aufgrund von Sicherheitsauflagen verwehrt haben und dieser nun ungehalten ist? Es ist wichtig, dass Sie dann auch 100%ig hinter Ihren Leuten stehen, denn sonst bereiten Sie künftigen reellen Manipulateuren den Weg!

Wo wir schon bei vorbildlichen Vorgesetzten sind: Wenn Sie als Führungskraft glauben, dass Social Engineering nur Ihre Mitarbeiter betrifft, träumen Sie ruhig weiter. Denn jetzt mal Hand aufs Herz: Wie reagieren Sie als Chef, wenn Sie eine Anfrage einer angeblichen Journalistin erhalten, die Sie ganz persönlich als Vorbild für geschickte Unternehmensführung interviewen möchte? Solche Anfragen sind sehr schmeichelhaft und nicht wenige Führungskräfte plaudern (bei geschickter Gesprächsführung) gerne allerlei Informationen über ihre Erfolge und natürlich über ihre Firma aus. Sie sehen: Vor Social Engineering ist niemand gefeit!

Übrigens können die Datensammler auch ganz andere, diskrete Wege beschreiten, wenn sie ein wenig Informatik-Kenntnisse haben. Auch diese Vorgehensweise fällt unter die Rubrik „Social Engineering“, denn auch sie basiert auf einer menschlichen Schwäche: Der Neugier.

Sicher hatten Sie auch schon personalisierte Mails in Ihrem E-Mail-Postfach mit einem Betreff, der in etwas so lautete „Lieber Herr X, sparen Sie Geld durch….“ Klickt man diese Mail an und öffnet ein Attachment oder einen weiterführenden Link, hat man sich schnell die dort hinterlegte Schadsoftware eingehandelt. Auch hier wird eine menschliche Schwäche, der Geiz, ausgenutzt. Mittlerweile gibt es jedoch so viele dieser Mails, dass zu bezweifeln ist, ob sie noch das gewünschte Ausmaß an Schäden anrichten.

Hier ein weiteres elegantes Beispiel für Social Engineering ohne direkten persönlichen Kontakt:

Ein Test mithilfe eines morgens auf einem Firmenparkplatz “ verlorenen“ und mit einer Schad-Software bestückten USB-Sticks hat ergeben, dass die allermeisten Beschäftigten nichts besseres vorhatten, als den Stick unmittelbar bei ihrer Ankunft im Büro an ihren Firmen-PC anzustecken. Schließlich wollten sie ja wissen, was darauf gespeichert war. Was dann passierte, kann man sich vorstellen… Auch hier wurde eine menschliche Eigenschaft, die Neugier, geschickt ausgenutzt.

Sie sehen: Die Wege des Social Engineering zum Zwecke der Industriespionage und –Sabotage sind vielfältig. Kevin Mitnick, ein bekannter Hacker aus den USA, der (nach Verbüßung einer Haftstrafe wegen ebendieser Tätigkeit) heute als Sicherheitsexperte arbeitet, erzählt in einem Interview über die Möglichkeiten der sozialen Manipulation: „Unsere Erfolgsrate beim Social Engineering liegt bei glatten 100 Prozent.“ (Quelle: www. computerwoche.de)

Dies soll nun kein Aufruf sein, höfliches Verhalten und Hilfsbereitschaft aus dem Verhaltensrepertoire Ihrer Mitarbeiter zu verbannen. Doch der beste Schutz ist ein gewisses Maß an Misstrauen und vor allem eine gründliche Information der Beschäftigten.

Ein Kollege von mir bringt das menschliche Dilemma beim Datenschutz sehr schön auf den Punkt: „Ihr wichtigster Virenschutz sitzt ca. 50cm von Ihrem Monitor entfernt – das sind Sie nämlich selbst!“

In diesem Sinne: Achten Sie immer schön auf Ihre eigenen Updates!

Workshop-Termine zum Thema auf Anfrage.

Barbara Gruber-Stahl

Weiterführende Links zum Thema:

• Bundesamt für Sicherheit in der Informationstechnik: „Social Engineering“
• Focus-Online: „Social Engineering – Hackerangriff auf menschliche Schwächen“
• IHK Ulm: „Gefahr durch Social Engineering“
• Computerwoche: „Hacker Kevin Mitnick packt aus“
• Express.de: „Die fiesen Tricks der Internetbetrüger“