Einschlägige Fachzeitschriften und IT-Fachkreise streiten sich gerne um die Frage: welches Betriebssystem ist das (un)sicherste? Doch ob Windows, Apple oder Linux, die Frage wird dann zur Nebensache, wenn der Faktor Mensch in Aktion tritt. Vor allem, wenn es um „Social Hacking“ geht, eine fiese Methode, um sicherheitsrelevante Informationen auszukundschaften. Denn diese nutzt die Verarbeitungsmechanismen des Gehirns, also des „menschlichen Betriebssystems“ aus. Und darüber sind wir so leicht zu manipulieren.
Das Gehirn ist keine Maschine, aber ähnlich leicht manipulierbar.
Wir wollen der Diskussion, die abseits von Fakten gerne mal eine fast theologische Dimension einnimmt, keinen weiteren Nährboden geben. Schon gar nicht wollen wir Descartes Idee von der maschinengleichen Funktion des Menschen wieder aufleben lassen. Aber zwischen einem Computer und seinem Betriebssystem einerseits und einem menschlichen Gehirn und seinem grundlegenden Regelwerk andererseits gibt es große Ähnlichkeiten. Denn wir wissen längst, dass das menschliche Gehirn ebenso angreifbar und manipulierbar ist, wie ein PC oder andere IT. Vor allem, wenn unser Gegenüber ebenfalls ein Mensch ist, der die richtigen Knöpfe zu drücken weiss. Und so funktioniert Social Hacking.
Auswirkungen des Faktor „Mensch“ auf die IT-Sicherheit – ein Fallbeispiel
Gerade in letzter Zeit tauchen häufig neben den „alt bekannten“ Angriffs-Szenarien andere Methoden auf, denen wir als Anbieter von Managed Hosting Lösungen nicht mit Hard- und Software-basierten Firewalls begegnen können, weil sie nur oberflächlich etwas mit IT im engsten Sinne zu tun haben. Wir berichten hier von einem aktuellen Fall, der ganz genau so passiert ist. Wir haben lediglich die Personen-, Firmen- und Organisations-Namen anonymisiert.
Ein vermeintlich harmloser Anruf
In der letzten Woche, vormittags ca. um 10:30 Uhr erhielten wir einen Anruf, im Display des Telefons wurde eine Nummer aus dem Raum Essen angezeigt. Es meldete sich ein undeutlich sprechender Mann, den wir hier „F“ nennen. „A“ ist unser Mitarbeiter, der das Gespräch entgegen genommen hatte.
F: „Es geht um Ihren Kunden Herrn „X“, wir sollen für den ein neues Notebook und einen Mail-Account einrichten und zu dem brauchen wir die Zugangsdaten.“
A: „Wir geben am Telefon an Unbekannte keinerlei Auskünfte über unsere Kunden.“
F: „Das kann ich gut nachvollziehen. Aber wir müssen dies Notebook noch heute vormittag fertigstellen, der Geschäftsführer des Bundesverbandes YYY will es nachher mitnehmen, wenn er sich mit Herrn „X“ trifft. Verwenden Sie einen Exchange-Server oder verwenden Sie das IMAP-Protokoll?“
A: „Wir werden trotzdem weder bestätigen, dass Herr „X“ unser Kunde ist, noch würden wir ohne Bestätigung Informationen über einen unserer Kunden an Dritte geben. Bitte senden Sie Ihre Anfrage per Mail an uns oder veranlassen Sie Herrn „X“, sich an uns zu wenden, falls er unser Kunde ist.“
Damit war das Gespräch beendet. Der Anrufer wurde dabei nicht unfreundlich oder versuchte, Druck aufzubauen. Lediglich, dass es schnell gehen müsse, könnte man als Druck bezeichnen. Ein Mail erhielten wir nicht und Herr „X“ setzte sich auch nicht mit uns in Verbindung.
Der zweite Versuch
Wenige Minuten nach diesem ersten Gespräch erhielten wir einen weiteren Anruf, ebenfalls aus dem Raum Essen. Der Anrufer stellte sich als Geschäftsführer des Bundesverbandes YYY vor. Er berichtete von dem gescheiterten Versuch eines von seinem Verband beauftragten IT-Dienstleisters, bei uns Informationen über einen eventuellen Kunden zu erhalten. Auch er erwähnte, dass es einen gewissen Zeitdruck gäbe und bat um Hilfe. Es würde nur mehr eine bestimmte Benennung benötigt. Da diese abgefragte Information für Fachleute öffentlich zugänglich ist, verwiesen wir einfach auf eben diese Tatsache, beantworteten die Frage aber nicht. Damit gab sich der Anrufer dann zufrieden bzw. es erfolgte kein weiterer Anruf. Der Social Hacking Versuch war gescheitert.
Was passiert hier gerade?
Tragen wir die Fakten zusammen und werfen einen genaueren Blick darauf.
- Jemand versucht, herauszufinden, ob eine bestimmte Firma von uns betreut wird.
- Derselbe versucht, Zugangsdaten zu einem Mail-Account zu erhalten. Und scheitert.
- Dann wird ein in der Hierarchie vermeintlich deutlich höher stehender Dritter auf uns angesetzt.
Natürlich scheitert bei uns auch dieser Versuch. Das liegt allerdings daran, dass in unserem Unternehmen sich alle strikt an eine Devise halten: Wir geben grundsätzlich überhaupt keine Informationen über unsere Kunden heraus, nicht einmal die, dass sie Kunde bei uns sind. Diskretion und vertragliche Sorgfaltspflicht im Sinne unserer Kunden sind Bestandteil der Geschäftsphilosophie.
Der hier geschilderte Angriff wird auch als „Phishing“ bzw. genauer als CEO-Trick bezeichnet. Dabei versucht ein vorgeblicher Berechtigter oder Weisungsbefugter entweder per Mail oder per Telefon Informationen zu erhalten oder ein bestimmtes Verhalten auszulösen.
Die Geschichten, in den ein Anrufer sich als Geschäftsführer ausgibt und einen Angestellten in der Buchhaltung auffordert, „ganz schnell“ eine Überweisung zu initiieren, um ein Geschäft nicht zu gefährden, sind weder eine Fiktion noch ein Einzelfall.
Social Hacking – so funktioniert’s
Es gibt verschiedene Varianten des Social Hackung. Zu ihnen zählen:
- Phishing
Hierbei werden wichtige Informationen abgegriffen, mit denen dann kriminelle Handlungen ermöglicht werden. - Spear Phishing
Das ist das gezielte Vorgehen gegen eine Person, über die der Angreifer sich bereits informiert hat. - Quid quo pro
Hierbei wird mit einer Gegenleistung geködert („Sie haben ein Sicherheitsproblem, ich kann es sofort lösen, wenn Sie mir Ihr Passwort geben“). - CEO-Trick
Siehe oben - Honey Pot
Wird meist mit sexuell attraktiven Ködern versucht (heftiges Flirten, versenden von Fotos) und mit einer Erpressung fortgesetzt. - Baiting
Hier wird ein Köder angeboten, der sich als vergiftet erweist (Download einer Videodatei einer Prominenten, liegengelassener USB-Stick, Anhang mit dem Namen „so-kam-ich-zu-meiner-ersten-million.docx“).
Alle zielen auf weit verbreitete Bugs im Betriebssystem des Gegners. Zu diesen Bugs zählen:
- Blinde „Hörigkeit“ gegenüber der „Obrigkeit“ (der darf mir Anweisungen erteilen)
- Naivität im täglichen Leben (habe nichts zu verbergen)
- reflexartiges Klicken mit der Maus
- … den Rest können Sie sich denken!
Wie kann den beschriebenen Gefährdungen erfolgreich begegnet werden?
Die erste Antwort ist natürlich: Gehirn einschalten und aktiv einsetzen! Reflexe zwar sind in echten Gefahrensituationen oft lebensrettend, aber in der IT sind sie die eigentliche Gefahr, vor allem in Sicherheitsfragen. Erst mal innehalten, wenigstens kurz nachdenken und dann handeln – wie in unserem Social Hacking Beispiel oder gar nichts unternehmen – verhindert in der Regel, dass ein (noch) größerer Schaden eintritt.