Social Hacking – der Mensch als Schwachstelle in der IT-Sicherheit

Social Hacking - Achtung, Schwachstelle Mensch

Einschlägige Fachzeitschriften und  IT-Fachkreise streiten sich gerne um die Frage: welches Betriebssystem ist das (un)sicherste? Doch ob Windows, Apple oder Linux, die Frage wird dann zur Nebensache, wenn der Faktor Mensch in Aktion tritt. Vor allem, wenn es um „Social Hacking“ geht, eine fiese Methode, um sicherheitsrelevante Informationen auszukundschaften.  Denn diese nutzt die Verarbeitungsmechanismen des Gehirns, also des „menschlichen Betriebssystems“ aus. Und darüber sind wir so leicht zu manipulieren.

Das Gehirn ist keine Maschine, aber ähnlich leicht manipulierbar.

Wir wollen der Diskussion, die abseits von Fakten gerne mal eine fast theologische Dimension einnimmt, keinen weiteren Nährboden geben. Schon gar nicht wollen wir Descartes Idee von der maschinengleichen Funktion des Menschen wieder aufleben lassen. Aber zwischen einem Computer und seinem Betriebssystem einerseits und einem menschlichen Gehirn und seinem grundlegenden Regelwerk andererseits gibt es große Ähnlichkeiten. Denn wir wissen längst,  dass das menschliche Gehirn ebenso angreifbar und manipulierbar ist, wie ein PC oder andere IT. Vor allem, wenn unser Gegenüber ebenfalls ein Mensch ist, der die richtigen Knöpfe zu drücken weiss. Und so funktioniert Social Hacking.

Auswirkungen des Faktor „Mensch“ auf die IT-Sicherheit – ein Fallbeispiel

Gerade in letzter Zeit tauchen häufig neben den „alt bekannten“ Angriffs-Szenarien andere Methoden auf, denen wir als Anbieter von Managed Hosting Lösungen nicht mit Hard- und Software-basierten Firewalls begegnen können, weil sie nur oberflächlich etwas mit IT im engsten Sinne zu tun haben. Wir berichten hier von einem aktuellen Fall, der ganz genau so passiert ist. Wir haben lediglich die Personen-, Firmen- und Organisations-Namen anonymisiert.

Ein vermeintlich harmloser Anruf

In der letzten Woche, vormittags ca. um 10:30 Uhr erhielten wir einen Anruf,  im Display des Telefons wurde eine Nummer aus dem Raum Essen angezeigt. Es meldete sich ein undeutlich sprechender Mann, den wir hier „F“ nennen. „A“ ist unser Mitarbeiter, der das Gespräch entgegen genommen hatte.

F: „Es geht um Ihren Kunden Herrn „X“, wir sollen für den ein neues Notebook und einen Mail-Account einrichten und zu dem brauchen wir die Zugangsdaten.“

A: „Wir geben am Telefon an Unbekannte keinerlei Auskünfte über unsere Kunden.“

F: „Das kann ich gut nachvollziehen. Aber wir müssen dies Notebook noch heute vormittag fertigstellen, der Geschäftsführer des Bundesverbandes YYY will es nachher mitnehmen, wenn er sich mit Herrn „X“ trifft. Verwenden Sie einen Exchange-Server oder verwenden Sie das IMAP-Protokoll?“

A: „Wir werden trotzdem weder bestätigen, dass Herr „X“ unser Kunde ist, noch würden wir ohne Bestätigung Informationen über einen unserer Kunden an Dritte geben. Bitte senden Sie Ihre Anfrage per Mail an uns oder veranlassen Sie Herrn „X“, sich an uns zu wenden, falls er unser Kunde ist.“

Damit war das Gespräch beendet. Der Anrufer wurde dabei nicht unfreundlich oder versuchte, Druck aufzubauen. Lediglich, dass es schnell gehen müsse, könnte man als Druck bezeichnen. Ein Mail erhielten wir nicht und Herr „X“ setzte sich auch nicht mit uns in Verbindung.

Der zweite Versuch

Wenige Minuten nach diesem ersten Gespräch erhielten wir einen weiteren Anruf, ebenfalls aus dem Raum Essen. Der Anrufer stellte sich als Geschäftsführer des Bundesverbandes YYY vor. Er berichtete von dem gescheiterten Versuch eines von seinem Verband beauftragten IT-Dienstleisters, bei uns Informationen über einen eventuellen Kunden zu erhalten. Auch er erwähnte, dass es einen gewissen Zeitdruck gäbe und bat um Hilfe. Es würde nur mehr eine bestimmte Benennung benötigt. Da diese abgefragte Information für Fachleute öffentlich zugänglich ist, verwiesen wir einfach auf eben diese Tatsache, beantworteten die Frage aber nicht. Damit gab sich der Anrufer dann zufrieden bzw. es erfolgte kein weiterer Anruf. Der Social Hacking Versuch war gescheitert.

Was passiert hier gerade?

Tragen wir die Fakten zusammen und werfen einen genaueren Blick darauf.

  1. Jemand versucht, herauszufinden, ob eine bestimmte Firma von uns betreut wird.
  2. Derselbe versucht, Zugangsdaten zu einem Mail-Account zu erhalten. Und scheitert.
  3. Dann wird ein in der Hierarchie vermeintlich deutlich höher stehender Dritter auf uns angesetzt.

Natürlich scheitert bei uns auch dieser Versuch. Das liegt allerdings daran, dass in unserem Unternehmen sich alle strikt an eine Devise halten: Wir geben grundsätzlich überhaupt keine Informationen über unsere Kunden heraus, nicht einmal die, dass sie Kunde bei uns sind. Diskretion und vertragliche Sorgfaltspflicht im Sinne unserer Kunden sind Bestandteil der Geschäftsphilosophie.