Anzeige
Anzeige
News

Social Engineering: Wenn die Gefahr im Anzug kommt

„Hallo! Ich bin neu hier, wie komme ich nochmal ins Wifi?“ So schnell kann es gehen und man ist Social Engineering zum Opfer gefallen – ohne es zu wissen. Wir zeigen euch wie ihr euch davor schützen könnt.

Von Mario Janschitz
5 Min.
Artikel merken
Anzeige
Anzeige

Die Gefahr des Social Engineering kommt oft im Anzug. (Foto: © pressmaster - Fotolia.com)

Wenn man als Webworker an „Sicherheitslücken“ denkt, dann fallen einem spontan komplexe Computersysteme und Netzwerke ein. Dass dem nicht so ist, zeigt uns Social Engineering. Hier werden Menschen oder Kollegen so manipuliert, dass sie ohne es zu wissen, scheinbar unwichtige Daten preisgeben – allerdings können viele unwichtige Daten, die in einen Kontext gebracht werden, zu einer wichtigen Information führen. Und: Dagegen hilft nur Aufklärung.

Was ist Social Engineering?

Anzeige
Anzeige

Hacker sind in der allgemeinen Wahrnehmung Computergenies, die in dunklen Kellern – oft mit Sturmhaube – vor ihren Notebooks sitzen. Ihre Gesichter werden von den grünen Lettern auf ihren schwarzen Bildschirmen erhellt. Wie wild „hacken“ sie vor sich hin, umringt von Chips-Verpackungen und Pizza-Schachteln, die obligatorische „I-love-FTP“-Kaffeetasse auf einem USB-Tassenwärmer runden diese Vorstellung ab. Aber dem ist natürlich nicht so.

hacker

Social Engineering: Hacker sehen nur in den Medien so aus. (Montage: Brian Jackson – Fotolia.com)

Eine Kette ist nur so stark wie ihr schwächstes Glied – und gerade bei extrem abgesicherten Unternehmen ist dieses Glied der Mitarbeiter selbst. Beim Social Engineering werden bewusst menschliche Eigenschaften wie Gutgläubigkeit, Höflichkeit oder Hilfsbereitschaft ausgenutzt, um zum Beispiel Kollegen in einer vermeintlichen Notsituation unkompliziert aus dem Schlamassel zu helfen.

Anzeige
Anzeige

Social Engineering: Bloß nicht zum V-Mann werden

Nun könnte der CTO einfach anordnen, dass niemand sein Passwort ausplaudert, auch nicht in „Notsituationen“. Doch damit ist es noch lange nicht getan. Das Problem: Dem Social-Engineering-Opfer ist oft nicht bewusst, wie weitreichend die Herausgabe, selbst von unvollständigen, kleine Informationsbrocken sein können. Und: Als Person ist einem nicht sofort klar, dass man manipuliert wird. Wenn also ein Unbekannter nach einem persönlichen Passwort fragt, wird kaum ein Mitarbeiter das Passwort ausplaudern, oder?

Anzeige
Anzeige

Ganz anders stellt sich die Situation aber dar, wenn der Hacker bereits über Informationen verfügt. Zum Beispiel aus dem Organigramm der Unternehmensstruktur von der betrieblichen Website, Informationen über eine kürzliche Feier aus dem Corporate-Blog und die Information über ein großes Meeting aus dem Facebook-Stream eines anderen Kollegen. So kann ein Angreifer auf die gemeinsame Party und auf den Kollegen, mit dem zwar schon alles abgesprochen wurde – der sich aber leider gerade in einem Meeting befindet – verwiesen werden. Rund macht dieses Szenario dann noch das Organigramm, das eine Androhung – den Vorgesetzen „belästigen“ zu müssen – erst ermöglicht.

Der Hacker möchte die selbe Information, aber die Ausgangsituation ist aus Sicht des Mitarbeiters eine gänzlich andere: der Mitarbeiter rückt die Informationen daher, aus Angst vor möglichen Konsequenzen, vielleicht heraus. Und der Hacker ist seinem größeren Ziel wieder ein Stückchen näher. Doch was war der Unterschied? Das Vortäuschen einer persönlichen Verbindung um Vertrauen zu schaffen.

Anzeige
Anzeige

Aber die Gefahr lauert nicht nur im Büro und am Telefon. Auch auf Messen (und meistens ohne Sturmhauben) kann die Konkurrenz Informationen in Erfahrung bringen, die sonst nicht ans Tageslicht gekommen wären. Oder was ist eigentlich mit externen Mitarbeitern oder Handwerkern, die nur gelegentlich im Unternehmen auftauchen? Hast du schon mal einen verdächtigen Handwerker gesehen? Ich nicht – weil wir zu viel Vertrauen voraussetzen: „Der Handwerker muss den Computer bestimmt wegen einer Reparatur abholen“, denken wir uns. Der Hacker hat allerdings nicht mehr Aufwand, als sich als Handwerker zu verkleiden und einen günstigen Moment abzuwarten – dank sozialer Medien und dem Internet ist das so einfach wie noch nie.

Social Engineering: Ein Bewusstsein schaffen

Mitarbeiter müssen in regelmäßigen Abständen über Probleme und Risiken aufgeklärt werden. Am besten geht sowas mit Live-Hacking-Sessions oder Workshops in denen praxisnahe Szenarien durchgespielt werden. Ganz wichtig: Der Informationsmanager oder Sicherheitsbeauftragte sollte in diesen Workshops Handlungsempfehlungen aussprechen, damit die Kollegen im Ernstfall und in einem  Überraschungsmoment nicht „gelähmt“ beziehungsweise handlungsunfähig sind.

Besseres Prozessmanagement

Manchmal ist nicht genau definiert, wer für welche Fragen verantwortlich ist. Als Webworker möchte man ja auch nicht immer Kollegen belästigen. Aber genau das ist der Fehler. Wenn im Unternehmen genau festgelegt ist, wer zu welchen Fragen Antworten geben darf, dann seid ihr auf dem richtigen Weg. Das führt uns gleich zum nächsten Punkt.

Anzeige
Anzeige

Sicherheitsstufen definieren

Verschiedene Informationen sind unterschiedliche wichtig. Warum diese Informationen dann auch nicht unterschiedlich behandeln? Fragen zu Telefonnummern können einer niedrigeren Sicherheitsstufe angehören als die Finanzpläne. Natürlich, das wird in der Praxis vielleicht auch so umgesetzt, aber eben nicht bewusst – und durch Manipulation können sich Hacker genau so Informationen erschleichen, die aus der Perspektive des Mitarbeiters unwichtig sind, aber in einem größeren Kontext eine größere Auswirkung haben.

Außerdem geben verschiedene Sicherheitsstufen den einzelnen Mitarbeitern auch Sicherheit. „Es tut mir leid, du hast nicht die erforderliche Sicherheitsstufe“ ist einfacher gesagt als in einer Stresssituation einen manipulativen und erfahrenen Hacker abzuwimmeln. Für die Mitarbeiter muss allerdings genau festgelegt werden, welche Informationen in welcher Sicherheitsstufe liegen, und welche Informationen auf gar keinen Fall herauszugeben sind. Eine klassische „Need-to-know“-Strategie kann hier helfen. Dabei muss es einen genauen Grund und eine Problemspezifikation geben, warum eine abzufragende Information benötigt wird, egal ob andere Sicherheitsanforderungen erfüllt wurden oder nicht. Damit verhindert man auch, dass jemand durch ein gesamtes Verzeichnis stöbert, obwohl konkret zum Beispiel nur eine Akte benötigt wird.

Fazit: Sagt doch einfach mal „Nein“

Gerade in einer Welt, in der Sicherheitssysteme und -techniken immer besser werden, stellt sich Social Engineering als gute Alternative zu klassischen Hacking-Methoden dar, daher gilt es, eine gewisse „Awareness“, also ein Bewusstsein für sensible Informationen zu schaffen.

Anzeige
Anzeige

… dieses Vertrages und auch nach seiner Beendigung über alle Betriebs- und Geschäftsgeheimnisse des Arbeitgebers sowie seiner Geschäftspartner Stillschweigen gegenüber Dritten zu bewahren …

Denn auch eine Klausel im Arbeitsvertrag zum Thema „Betriebsgeheimnisse“ ist nicht wirklich zielführend, denn vielen Mitarbeitern ist ja überhaupt nicht bewusst, welche Information ein Betriebsgeheimnis darstellt und welche nicht. Und bei großen Konzernen kann ein entstandender Schaden von einem Mitarbeiter alleine auch nicht getragen werden.

Aber davon abgesehen: Es kann um mehr als „nur“ Geld gehen, zum Beispiel um die Marktführerschaft oder Patente die ein USP sichern. Anstatt also beängstigende Absätze in Verträge zu packen, sollten Unternehmen auf Aufklärung und Workshops setzen, die sind auch günstiger als IT-Hochsicherheitssysteme.

Wie weit Social Engineering gehen kann, sieht man nicht zuletzt am Beispiel von Kevin Mitnicks. Er war einer der ersten Social Hacker und erlangte Mitte der neunziger Jahre den zweifelhaften Ruhm als „meistgesuchter Hacker“. Ähnlich ist auch die Geschichte des Betrügers Frank Abagnale. In „Catch me if you can“ wurde sein Manipulationsgeschick verfilmt – und genau so müssen wir uns auch Social Hacker in Zukunft vorstellen.

Anzeige
Anzeige

… Social Engineering kostet nichts und überwindet alle technologischen Barrieren …– Kevin Mitnick

Andererseits können Webworker diese Attacken durch ein einfaches „Nein“ abwehren. Nichts desto trotz: Social Hacker sind keine uncharismatischen Computerfreaks mit Hautproblemen, die sich in dunkle Kammern sperren. Und genau das macht sie gefährlich – mit oder ohne Sturmhaube.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare (6)

Community-Richtlinien

peter

Nix neues. Danke für den sinnfreien Beitrag.

Bitcoiner

Wer sich über Social Engineering informieren will sollte die Fachforen lesen und keine t3n Artikel.

Gerrit

Nichts neues, aber eine super Zusammenfassung. Gerade wenn man z.B. Ghost in the wires gelesen hat, denkt man im Alltag anders über einige Situationen.

„Ich habe mir ein UPS-Kostüm ausgeliehen und habe einer Firma kostenlos einen Drucker mit einer Treiber-CD ausgeliefert, welche einen Trojaner mitinstallierte.“

Simple, aber das würde wohl bei vielen Firmen funktionieren. ;)

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige