Social Hacking – der Mensch als Schwachstelle in der IT-Sicherheit

Der hier geschilderte Angriff wird auch als „Phishing“ bzw. genauer als CEO-Trick bezeichnet. Dabei versucht ein vorgeblicher Berechtigter oder Weisungsbefugter entweder per Mail oder per Telefon Informationen zu erhalten oder ein bestimmtes Verhalten auszulösen.

Die Geschichten, in den ein Anrufer sich als Geschäftsführer ausgibt und einen Angestellten in der Buchhaltung auffordert, „ganz schnell“ eine Überweisung zu initiieren, um ein Geschäft nicht zu gefährden, sind weder eine Fiktion noch ein Einzelfall.

Social Hacking – so funktioniert’s

Es gibt verschiedene Varianten des Social Hackung. Zu ihnen zählen:

  1. Phishing
    Hierbei werden wichtige Informationen abgegriffen, mit denen dann kriminelle Handlungen ermöglicht werden.
  2. Spear Phishing
    Das ist das gezielte Vorgehen gegen eine Person, über die der Angreifer sich bereits informiert hat.
  3. Quid quo pro
    Hierbei wird mit einer Gegenleistung geködert („Sie haben ein Sicherheitsproblem, ich kann es sofort lösen, wenn Sie mir Ihr Passwort geben“).
  4. CEO-Trick
    Siehe oben
  5. Honey Pot
    Wird meist mit sexuell attraktiven Ködern versucht (heftiges Flirten, versenden von Fotos) und mit einer Erpressung fortgesetzt.
  6. Baiting
    Hier wird ein Köder angeboten, der sich als vergiftet erweist (Download einer Videodatei einer Prominenten, liegengelassener USB-Stick, Anhang mit dem Namen „so-kam-ich-zu-meiner-ersten-million.docx“).

Alle zielen auf weit verbreitete Bugs im Betriebssystem des Gegners. Zu diesen Bugs zählen:

  1. Blinde „Hörigkeit“ gegenüber der „Obrigkeit“ (der darf mir Anweisungen erteilen)
  2. Naivität im täglichen Leben (habe nichts zu verbergen)
  3. reflexartiges Klicken mit der Maus
  4. … den Rest können Sie sich denken!

Wie kann den beschriebenen Gefährdungen erfolgreich begegnet werden?

Die erste Antwort ist natürlich: Gehirn einschalten und aktiv einsetzen! Reflexe zwar sind in echten Gefahrensituationen oft lebensrettend, aber in der IT sind sie die eigentliche Gefahr, vor allem in Sicherheitsfragen. Erst mal innehalten, wenigstens kurz nachdenken und dann handeln – wie in unserem Social Hacking Beispiel oder gar nichts unternehmen – verhindert in der Regel, dass ein (noch) größerer Schaden eintritt.

Die zweite Antwort lautet: Aus- und Weiterbildung. Wenn Sie und Ihre Mitarbeiter die Zusammenhänge kennen, haben Sie bereits die Hälfte des Weges erreicht. Wenn dann noch Regelwerke das Handeln begleiten, sind Sie schon fast am Ziel. Danach müssen Sie nur noch konsequent bleiben.