Social Hacking – der Mensch als Schwachstelle in der IT-Sicherheit

Social Hacking - Achtung, Schwachstelle Mensch

Einschlägige Fachzeitschriften und  IT-Fachkreise streiten sich gerne um die Frage: welches Betriebssystem ist das (un)sicherste? Doch ob Windows, Apple oder Linux, die Frage wird dann zur Nebensache, wenn der Faktor Mensch in Aktion tritt. Vor allem, wenn es um „Social Hacking“ geht, eine fiese Methode, um sicherheitsrelevante Informationen auszukundschaften.  Denn diese nutzt die Verarbeitungsmechanismen des Gehirns, also des „menschlichen Betriebssystems“ aus. Und darüber sind wir so leicht zu manipulieren.

Das Gehirn ist keine Maschine, aber ähnlich leicht manipulierbar.

Wir wollen der Diskussion, die abseits von Fakten gerne mal eine fast theologische Dimension einnimmt, keinen weiteren Nährboden geben. Schon gar nicht wollen wir Descartes Idee von der maschinengleichen Funktion des Menschen wieder aufleben lassen. Aber zwischen einem Computer und seinem Betriebssystem einerseits und einem menschlichen Gehirn und seinem grundlegenden Regelwerk andererseits gibt es große Ähnlichkeiten. Denn wir wissen längst,  dass das menschliche Gehirn ebenso angreifbar und manipulierbar ist, wie ein PC oder andere IT. Vor allem, wenn unser Gegenüber ebenfalls ein Mensch ist, der die richtigen Knöpfe zu drücken weiss. Und so funktioniert Social Hacking.

Auswirkungen des Faktor „Mensch“ auf die IT-Sicherheit – ein Fallbeispiel

Gerade in letzter Zeit tauchen häufig neben den „alt bekannten“ Angriffs-Szenarien andere Methoden auf, denen wir als Anbieter von Managed Hosting Lösungen nicht mit Hard- und Software-basierten Firewalls begegnen können, weil sie nur oberflächlich etwas mit IT im engsten Sinne zu tun haben. Wir berichten hier von einem aktuellen Fall, der ganz genau so passiert ist. Wir haben lediglich die Personen-, Firmen- und Organisations-Namen anonymisiert.

Ein vermeintlich harmloser Anruf

In der letzten Woche, vormittags ca. um 10:30 Uhr erhielten wir einen Anruf,  im Display des Telefons wurde eine Nummer aus dem Raum Essen angezeigt. Es meldete sich ein undeutlich sprechender Mann, den wir hier „F“ nennen. „A“ ist unser Mitarbeiter, der das Gespräch entgegen genommen hatte.

F: „Es geht um Ihren Kunden Herrn „X“, wir sollen für den ein neues Notebook und einen Mail-Account einrichten und zu dem brauchen wir die Zugangsdaten.“

A: „Wir geben am Telefon an Unbekannte keinerlei Auskünfte über unsere Kunden.“

F: „Das kann ich gut nachvollziehen. Aber wir müssen dies Notebook noch heute vormittag fertigstellen, der Geschäftsführer des Bundesverbandes YYY will es nachher mitnehmen, wenn er sich mit Herrn „X“ trifft. Verwenden Sie einen Exchange-Server oder verwenden Sie das IMAP-Protokoll?“

A: „Wir werden trotzdem weder bestätigen, dass Herr „X“ unser Kunde ist, noch würden wir ohne Bestätigung Informationen über einen unserer Kunden an Dritte geben. Bitte senden Sie Ihre Anfrage per Mail an uns oder veranlassen Sie Herrn „X“, sich an uns zu wenden, falls er unser Kunde ist.“

Damit war das Gespräch beendet. Der Anrufer wurde dabei nicht unfreundlich oder versuchte, Druck aufzubauen. Lediglich, dass es schnell gehen müsse, könnte man als Druck bezeichnen. Ein Mail erhielten wir nicht und Herr „X“ setzte sich auch nicht mit uns in Verbindung.

Der zweite Versuch

Wenige Minuten nach diesem ersten Gespräch erhielten wir einen weiteren Anruf, ebenfalls aus dem Raum Essen. Der Anrufer stellte sich als Geschäftsführer des Bundesverbandes YYY vor. Er berichtete von dem gescheiterten Versuch eines von seinem Verband beauftragten IT-Dienstleisters, bei uns Informationen über einen eventuellen Kunden zu erhalten. Auch er erwähnte, dass es einen gewissen Zeitdruck gäbe und bat um Hilfe. Es würde nur mehr eine bestimmte Benennung benötigt. Da diese abgefragte Information für Fachleute öffentlich zugänglich ist, verwiesen wir einfach auf eben diese Tatsache, beantworteten die Frage aber nicht. Damit gab sich der Anrufer dann zufrieden bzw. es erfolgte kein weiterer Anruf. Der Social Hacking Versuch war gescheitert.

Was passiert hier gerade?

Tragen wir die Fakten zusammen und werfen einen genaueren Blick darauf.

  1. Jemand versucht, herauszufinden, ob eine bestimmte Firma von uns betreut wird.
  2. Derselbe versucht, Zugangsdaten zu einem Mail-Account zu erhalten. Und scheitert.
  3. Dann wird ein in der Hierarchie vermeintlich deutlich höher stehender Dritter auf uns angesetzt.

Natürlich scheitert bei uns auch dieser Versuch. Das liegt allerdings daran, dass in unserem Unternehmen sich alle strikt an eine Devise halten: Wir geben grundsätzlich überhaupt keine Informationen über unsere Kunden heraus, nicht einmal die, dass sie Kunde bei uns sind. Diskretion und vertragliche Sorgfaltspflicht im Sinne unserer Kunden sind Bestandteil der Geschäftsphilosophie.

Der hier geschilderte Angriff wird auch als „Phishing“ bzw. genauer als CEO-Trick bezeichnet. Dabei versucht ein vorgeblicher Berechtigter oder Weisungsbefugter entweder per Mail oder per Telefon Informationen zu erhalten oder ein bestimmtes Verhalten auszulösen.

Die Geschichten, in den ein Anrufer sich als Geschäftsführer ausgibt und einen Angestellten in der Buchhaltung auffordert, „ganz schnell“ eine Überweisung zu initiieren, um ein Geschäft nicht zu gefährden, sind weder eine Fiktion noch ein Einzelfall.

Social Hacking – so funktioniert’s

Es gibt verschiedene Varianten des Social Hackung. Zu ihnen zählen:

  1. Phishing
    Hierbei werden wichtige Informationen abgegriffen, mit denen dann kriminelle Handlungen ermöglicht werden.
  2. Spear Phishing
    Das ist das gezielte Vorgehen gegen eine Person, über die der Angreifer sich bereits informiert hat.
  3. Quid quo pro
    Hierbei wird mit einer Gegenleistung geködert („Sie haben ein Sicherheitsproblem, ich kann es sofort lösen, wenn Sie mir Ihr Passwort geben“).
  4. CEO-Trick
    Siehe oben
  5. Honey Pot
    Wird meist mit sexuell attraktiven Ködern versucht (heftiges Flirten, versenden von Fotos) und mit einer Erpressung fortgesetzt.
  6. Baiting
    Hier wird ein Köder angeboten, der sich als vergiftet erweist (Download einer Videodatei einer Prominenten, liegengelassener USB-Stick, Anhang mit dem Namen „so-kam-ich-zu-meiner-ersten-million.docx“).

Alle zielen auf weit verbreitete Bugs im Betriebssystem des Gegners. Zu diesen Bugs zählen:

  1. Blinde „Hörigkeit“ gegenüber der „Obrigkeit“ (der darf mir Anweisungen erteilen)
  2. Naivität im täglichen Leben (habe nichts zu verbergen)
  3. reflexartiges Klicken mit der Maus
  4. … den Rest können Sie sich denken!

Wie kann den beschriebenen Gefährdungen erfolgreich begegnet werden?

Die erste Antwort ist natürlich: Gehirn einschalten und aktiv einsetzen! Reflexe zwar sind in echten Gefahrensituationen oft lebensrettend, aber in der IT sind sie die eigentliche Gefahr, vor allem in Sicherheitsfragen. Erst mal innehalten, wenigstens kurz nachdenken und dann handeln – wie in unserem Social Hacking Beispiel oder gar nichts unternehmen – verhindert in der Regel, dass ein (noch) größerer Schaden eintritt.

Die zweite Antwort lautet: Aus- und Weiterbildung. Wenn Sie und Ihre Mitarbeiter die Zusammenhänge kennen, haben Sie bereits die Hälfte des Weges erreicht. Wenn dann noch Regelwerke das Handeln begleiten, sind Sie schon fast am Ziel. Danach müssen Sie nur noch konsequent bleiben.

Zu diesen Handlungsanweisungen können unter anderem gehören:

  1. Insbesondere bei Telefonaten und E-Mails muss der „Gegenüber“ (Kunde, Mitarbeiter, Geschäftspartner) als „bekannt“ und „berechtigt“, also „identifiziert“ und „authentifiziert“ gelten, bevor überhaupt darüber nachgedacht wird, Informationen herauszugeben.
  2. Per E-Mail erhaltene Dateianhänge werden nur geöffnet, wenn der Absender wirklich bekannt und verifiziert ist. Dazu wiederum gehört das Wissen, wie diese Authentizität festgestellt wird.
  3. Insbesondere Dateianhänge, die aus MS Office Anwendungen wie Word oder Excel kommen, dürfen weder versendet noch geöffnet werden, wenn sie aktive Elemente enthalten können. Diese erkennen Sie an Dateiendung wie z. B. „docx“, „xlsx“. Was das bedeutet und welche Dateien noch vorkommen können, sollte Ihr IT-Dienstleister wissen und Ihnen mit Konzepten weiterhelfen können.
  4. Bei finanziellen Transaktionen gilt immer das Vier-Augen-Prinzip. Niemals Adhoc reagieren und schon gar nicht ohne buchhalterisch korrekten Beleg.
  5. Auch die in den „technischen und organisatorischen Maßnahmen“ festgelegten Regeln, die gemäß DSGVO Bestandteil Ihrer Datenverarbeitungs-Dokumentation sein müssen, sollten entsprechende Handlungsanweisungen enthalten.

Fazit

Sie sehen, dass bereits diese kurze und garantiert nicht vollständige Liste mehr als nur technische Aufgaben und Maßnahmen enthält, um gegen Social Hacking gewappnet zu sein. Vielmehr sind logisches, professionelles und angepasstes Verhalten gefragt. Und das können Sie trainieren.