Wer ist Kevin Mitnick? Oder: Wie schütze ich mich vor betrügerischen Kontaktaufnahmen?
„Guten Tag, hier spricht Hans Müller, Systemadministrator von Microsoft. Ich verwalte die Windows-Server Ihres Unternehmens. Wir führen gerade ein wichtiges Update durch und benötigen sofort Ihre Nutzerdaten. Sonst müssen Sie mit einem kompletten Systemabsturz rechnen.“
Hätten Sie Ihre Daten herausgegeben? Auch wenn Ihre Antwort „Nein“ lautet, hat das Thema Social Engineering doch höchste Wichtigkeit. Besonders, weil die Betrügerinnen und Betrüger immer geschickter agieren.
Der berühmte Social Engineer Kevin Mitnick erschlich sich beispielsweise in den 1980er- und 1990er-Jahren per Telefon Zugänge zu Telefongesellschaften in den USA. Mit diesen Informationen hackte er erfolgreich die Netzwerke des US-Verteidigungsministeriums. Dabei erzeugte er den Eindruck eines legitimen Mitarbeiters. Das Wissen dazu eignete sich Mitnick im Selbststudium an. Und er kombinierte geschickt Informationen – die er zuvor aus dem Müll gefischt hatte! Ihm wird dieses Zitat zugeschrieben: „Fünf vermeintlich harmlose Informationen ergeben kombiniert eine wertvolle Information, die sich nutzen lässt.“
Was ist Social Engineering überhaupt?
Social Engineering bezeichnet das zielgerichtete soziale Manipulieren und das zwischenmenschliche Beeinflussen durch Betrügerinnen oder Betrüger. Sie wollen bei ihren Opfern – unter Vortäuschen eines falschen Kontextes – bestimmte Verhaltensweisen hervorrufen. So erhalten sie unberechtigten Zugang zu teils sensiblen Informationen. Teilweise beschaffen sich die Angreifenden im Voraus gezielt Informationen über potenzielle Opfer, um ihre Geschichte glaubhaft zu machen.
Social Engineering nutzt die Regeln von gesellschaftlich anerkanntem Zusammenleben aus, etwa die natürliche Hilfsbereitschaft, die Menschen zeigen, wenn sich andere in (vermeintlichen) Notlagen befinden. Oder die Betrügerinnen und Betrüger versuchen sich als Führungskraft auszugeben und dadurch Druck zu erzeugen. Sie bewegen Menschen dadurch zu einem Verhalten, das sie sonst nicht an den Tag legen würden. Einfache Formen des Social Engineerings erfolgen beispielsweise durch Kontaktaufnahme per E-Mail oder Telefon. Unentdeckt können sie massive Schäden verursachen.
Kombinatorik und Dreistigkeit
Bei komplexeren Formen des Social Engineerings überwinden die Einbrechenden physische Sicherheitsbarrieren. Dabei nutzen sie die Arglosigkeit von Mitarbeiterinnen und Mitarbeitern einer Organisation aus: Die Glaubwürdigkeit von Kevin Mitnick, bedingt durch sein Fachwissen und sein Charisma, verschaffte ihm Zugang in die Serverräume von Firmen und Organisationen. Dadurch konnte er vor Ort in aller Ruhe Manipulationen vornehmen, um sich eine Hintertür zu den dort betriebenen Systemen einzubauen.
Eine weitere Variante des Social-Engineering-Angriffs ist das gezielte Verteilen von vermeintlich verloren gegangenen USB-Sticks in der Nähe von Firmen-Standorten oder das Versenden von Phishingmails. Über einen schadhaften Anhang, etwa getarnt als Bewerbungsmail, gelangen die Eindringlinge so beispielsweise an Zugangsdaten.
Soziale Medien als Einstiegstor
Angreiferinnen und Angreifer nutzen zur Vorbereitung eines Angriffs (teil-)automatisierte Tools aus offenen Quellen wie Sozialen Netzwerken (zum Beispiel Facebook, LinkedIn, XING) oder dem Webauftritt einer Firma. So schröpfen sie Informationen über die Inhalte und Gepflogenheiten eines Unternehmens und werten anschließend aus, was sich davon als Einstieg für einen Social-Engineering-Angriff eignet.
Social Engineering-Techniken können, wie die EMOTET-Angriffswelle zeigt, auch technisch umgesetzt werden: Der Trojaner liest nach erfolgreicher Infektion das Adressbuch des Mail-Clients aus. Er nutzt vergangene Kommunikation und verteilt sich dann selbst an weitere Empfängerinnen und Empfänger. Durch die kopierte Kommunikation erweckt er den Anschein von Legitimität und bewegt die empfangende Person dazu, einen schadhaften Anhang zu öffnen.
Wie erkenne ich einen Social-Engineering-Angriff?
Beispiele für Anzeichen von Social Engineering-Angriffen auf Ihre Person können sein:
- Ihr Gegenüber gibt sich als Mitarbeiterin oder Mitarbeiter Ihrer oder einer anderen Institution aus und verlangt von Ihnen unter einem Vorwand Ihre Zugangsdaten oder sonstige Informationen (zum Beispiel Kontaktdaten Ihrer Kolleginnen und Kollegen, Informationen über die eingesetzte Software und deren Version).
- Sie werden über Soziale Netzwerke von unbekannten Dritten kontaktiert, unter dem Vorwand, man habe gemeinsame Arbeitskolleginnen und / oder -kollegen oder fange demnächst auch bei Ihrem Arbeitgeber an. Deshalb möchte sich die- oder derjenige (zunächst) über alltägliche Dinge austauschen oder bewegt Sie im Laufe der Kommunikation dazu, einem Link zu folgen.
- Sie erhalten von einer / einem (vermeintlich bekannten) Absenderin oder Absender eine E-Mail. Hierin stehen zwar Ihnen bekannte Inhalte, die jedoch im Gesamtkontext nicht logisch erscheinen, und Sie werden aufgefordert, einen Anhang zu öffnen oder einen Link anzuklicken.
- Personen halten Ihnen in öffentlichen Bereichen die Tür auf, folgen Ihnen und bitten Sie bei dem Übergang in den Sicherheitsbereich Ihres Arbeitgebers, Sie „mit reinzunehmen“, da man heute leider die Zugangskarte vergessen oder verloren habe.
Wie kann ich Social-Engineering-Angriffe abwehren
- Hinterfragen Sie Anfragen von Dritten, die Sie nicht persönlich kennen.
- Überprüfen Sie zunächst innerlich die Plausibilität der Ihnen entgegengebrachten Aussagen und den Kontext, in dem Sie sich gerade befinden. Stellen Sie fest, dass Ihnen bestimmte Aussagen oder die Anwesenheit von Personen nicht plausibel erscheinen, richten Sie direkte Rückfragen an Ihr Gegenüber.
- Sie haben ein schlechtes Gefühl bei der Sache, wenn Sie zum Beispiel plötzlich unter Druck gesetzt und zum Herausgeben von Informationen aufgefordert werden. Bedanken Sie sich in diesem Falle höflich für den Kommunikationsaustausch. Teilen Sie mit, dass Sie das Anliegen prüfen werden und dass Sie zunächst die Kommunikation beenden.
Wie geraten Daten nicht in falsche Hände? Wie schütze ich Organisation und Prozesse? In seinen Beiträgen sensibilisiert unser Informationssicherheits-beauftragter Steffen Rösemann Mitarbeitende und Öffentlichkeit.