Um Hacker-Angriffen erfolgreich zu begegnen, investieren Unternehmen viel Geld in den Schutz der eigenen IT-Infrastruktur. Soft- und Hardware-Lösungen sowie regelmäßige Penetrationstests sollen die Hürde für Angreifer so hoch wie nur irgend möglich legen. Doch bereits seit den 70er Jahren gibt es auch jene Hacker, die sich nicht auf technische Angriffe beschränken, sondern die Mitarbeiter ins Visier nehmen: Social bzw. Human Hacker. Gegen deren Angriffe helfen keine Firewalls, sondern nur wachsame Mitarbeiter im eigenen Unternehmen, die die psychologischen Tricks erkennen und ins Leere laufen lassen.
Dass es gar nicht so leicht ist, Social Engineering – häufig auch als Social oder Human Hacking bezeichnet – zu erkennen und abzuwehren, liegt in der Natur der Sache selbst: Das Vorgehen eines Social Engineers ist meist sehr subtil und manipulativ. Geführte Unterhaltungen wirken eher angenehm und witzig als bedrohlich und verdächtig.
Die Idee dahinter ist klar: Fühlen sich Menschen wohl, reden sie mehr. Reden Menschen mehr, verraten sie mehr – scheinbar unwichtige – Details. Diese Details sind es, auf die es der Hacker abgesehen hat.
Für sich genommen, ist jede einzelne Information zwar nicht mehr und nicht weniger als ein unbedeutendes Puzzleteil, doch im Kontext eines kompletten, mehrstufigen Angriffs liefert jedes noch so kleine Detail ein klareres Bild des anvisierten Unternehmens und seiner Arbeitsabläufe.
Bevor im zweiten Teil die verschiedenen Facetten beleuchtet werden, die mittlerweile unter dem Begriff Social Engineering zusammengefasst werden, wollen wir einen kurzen Blick zurück in das letzte Jahrhundert werfen und folgende Fragen beantworten: Wer waren die ersten Social Hacker und worin bestand ihre Motivation? Inwiefern haben sich ihre Ziele verändert? Und vor allem: Wer sollte sich vor ihren psychologischen Tricks besonders hüten?
Die 80er Jahre: Vom Phreaking zum Social Engineering
Die manipulativen Methoden der Social Engineers sind zwar seit jeher fester Bestandteil zwischenmenschlicher Beziehungen und Verhandlungen, doch erst das Informationszeitalter und moderne Technik machten es der breiten Masse möglich, sich dieser Mittel unkompliziert und gewinnbringend zu bedienen.
Viele sehen daher den Ursprung des heutigen Social Hackings eng mit dem Aufkommen des Phreakings in den USA der 60er Jahre verbunden. Phreaking ist ein Kunstwort aus phone und freak und dient als Oberbegriff für eine ganze Reihe verschiedener Techniken, um Telefonnetze zu manipulieren und anschließend etwa kostenlose Gespräche zu führen.
Aus dieser kreativen Subkultur der Phreaks entsprangen dann auch die ersten Social Engineers, für die kostenlose internationale Telefonate keine Hürde mehr darstellten. Sie gingen einen Schritt weiter und nutzten die Arglosigkeit vieler Administratoren der neu entstehenden IT-Unternehmen aus, um Zugang zu deren Netzwerken und leistungsstarken Supercomputern zu erlangen.
Der wohl berühmteste Social Engineer dieser Jahrzehnte ist der US-Amerikaner Kevin Mitnick, der in seinem Buch Die Kunst der Täuschung seine eigenen Erfahrungen an diversen Beispielszenarien verdeutlicht. Seine Flucht vor dem FBI ist Stoff für gleich zwei Filme geworden: Das Hollywood-Werk Takedown und die frei verfügbare Dokumentation Freedom Downtime.
Das Ziel: Auf wen und was es Social Hacker abgesehen haben
Als E-Mails noch einzeln abgerechnet wurden und Internet-Verbindungen Luxusgut waren, nahmen Social Hacker bevorzugt große Telefongesellschaften und Universitäten ins Visier. Erklärtes Ziel war es, einem Mitarbeiter mit fadenscheinigen Geschichten Zugangsdaten zu entlocken, um Zugriff auf schnelle Datenleitungen und schier unbegrenzte Rechenkapazität zu erhalten.
Heutzutage haben es Social Hacker freilich nicht mehr auf schnelle Web-Verbindungen abgesehen, sondern auf all jene Informationen, mit denen sich auf dem Schwarzmarkt Geld verdienen lässt. Zu den am stärksten gefragten "Waren" zählen Kreditkartendaten und gekaperte Accounts für diverse Online-Dienste, aber auch firmeneigene Patente und Forschungsergebnisse finden Käufer.
Um an solche Informationen zu gelangen, wird ein Social Engineer oftmals den Kontakt zu jenen Mitarbeitern suchen, für die der Anruf eines Kunden, Kollegen oder Vorgesetzten eine alltägliche Situation ist und keinen Verdacht erregt – in vielen Fällen ist das der First-Level-Support eines Unternehmens.
Die Support-Mitarbeiter sind es gewohnt, Fragen zu beantworten, und verfügen gleichzeitig über genügend Befugnisse, um einem Social-Engineering-Angriff den Weg zu ebnen – sei es durch die Herausgabe interner Rufnummern und E-Mail-Adressen oder die Preisgabe von Details, die sich für weitere Angriffe verwenden lassen, wie etwa die im Unternehmen eingesetzte Schutz-Software.
Das soll aber keinesfalls als Entwarnung für andere Abteilungen verstanden werden: Ein Social Engineer könnte ebenso gut zuerst mit dem Nachtwächter reden oder direkt mit dem Geschäftsführer Kontakt aufnehmen. Wahrscheinlich ist das zwar nicht, möglich aber schon.
Fazit und Ausblick
Seit der Zeit von Kevin Mitnicks Flucht vor dem FBI hat sich der IT-Markt rasant weiterentwickelt. Was früher das Ziel eines Social Engineers war, ist heute sein Werkzeug: schnelle und günstige Datenleitungen, über die man Unternehmen jederzeit und von überall angreifen kann. Und dank blühender Schwarzmärkte bietet Social Hacking heutzutage weit mehr als nur eine intellektuelle Herausforderung für technikbegeisterte Phreaks. Die erbeuteten Daten lassen sich gewinnbringend über Internet-Foren verkaufen und tauschen.
Aber es besteht kein Grund zur Panik: Die Tricks der Angreifer mögen perfide sein, doch sie fallen zumeist in das eine oder andere Schema und lassen sich von wachsamen Angestellten entlarven. Der Frage, welche Schemata das im Einzelnen sind und wie man diesen entgegenwirken kann, widmen wir uns im zweiten Teil.
Weiterführende Informationen
Haben Sie Fragen zum Thema IT-Sicherheit? Möchten Sie Risiken minimieren und Sicherheitslücken in Ihrem Unternehmen identifizieren und stopfen? Die erfahrenen IT-Experten von //SEIBERT/MEDIA/SYSTEMS beraten Sie gerne - bitte sprechen Sie uns unverbindlich an. Ausführliche Informationen finden Sie auch auf unserer speziellen Seite zum Thema Internet-Security-Beratung.
Password Manager Pro: Verschlüsselte und sichere Speicherung und Übertragung von Passwörtern
Warum Unternehmen Penetrationstests durchführen sollten (und eigentlich auch müssen)
Der Gefährdungskatalog des BSI zum Thema Social Engineering
Social-Engineering.org: Englischsprachiges Portal rund um Human Hacking
Mitwirkende an Konzeption und Umsetzung: Benjamin Kendinibilir, Alexander Seith
Mehr über die Creative-Commons-Lizenz erfahren
