Social Engineering – Angriff auf den Risikofaktor Mensch

Technische Probleme, menschliche Fehlhandlungen und extreme Naturereignisse können die Stabilität des IT-Betriebs in Banken erheblich behindern. Betrachtet man die Praxis, wird schnell deutlich, dass der Faktor Mensch vielfach Störungen verursacht…Autor: Dr. Haiko Timm, Juli 2010

Technische Probleme, menschliche Fehlhandlungen und extreme Naturereignisse können die Stabilität des IT-Betriebs in Banken erheblich behindern. Betrachtet man die Praxis, wird schnell deutlich, dass der Faktor Mensch vielfach Störungen verursacht. Die häufig vorzufindende Sichtweise „Die größte Sicherheitslücke sitzt oft vor der Tastatur“ charakterisiert diesen Sachverhalt sehr treffend.

Desinteresse, selber aktiv Sicherheit mitzutragen, oder die bewusste oder unbewusste Missachtung des vorhandenen Regelwerks können die IT-Sicherheit eines Kreditinstituts ebenso gefährden wie mangelnde Kenntnisse zur Nutzung von Systemen und Anwendungen. Abhilfe können hier sicherlich Schulungen und Workshops zur Förderung kompetenter und sensibler Anwender schaffen (entsprechend den MaRisk 7.1. Ressourcen / Personal Satz 2). Die in Banken übliche IT-Sicherheitsleitlinie erfordert ebenfalls eine entsprechende Ausbildung zur Erfüllung der formulierten Ziele.

Ein Aspekt, der in diesem Zusammenhang eine besondere Bedeutung hat, ist die Behandlung des Themas „Social Engineering“. Gemeint ist eine vielschichtige Angriffstechnik, um sensible Daten zum eigenen Vorteil auszuspähen. Dabei kann es sich um Einzelinformationen zum Abphischen eines Kontos, aber auch um den Diebstahl umfangreicher Datenbestände eines Kreditinstituts zur Stärkung der eigenen Wettbewerbssituation handeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt diese Technik: „Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch Aushorchen zu erlangen. Dabei werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt“. Ein bekanntes Beispiel hierfür ist z.B. die „klassische“ Phishing E-Mail, die häufig mit den Worten: „Der technische Kundendienst der Volks- und Raiffeisenbanken möchte für Sie die Sicherheit des Online-Banking-Service verbessern …“ beginnt. Zweifel über die Notwendigkeit der Bekanntgabe sensibler Daten wie PIN und TAN werden gezielt im Vorfeld beseitigt.

Die Bereitschaft zur Mithilfe wird durch das Vorspielen einer komplizierten Situation ausgelöst, die ohne Aktivitäten des Opfers nicht zu lösen ist. Der Social Engineer greift bei der (ersten) Kommunikation gerne zum Telefon, um unerkannt zu bleiben. Unter Nennung eines falschen Namens, der bewusst gewählt wurde, weil der dem Angerufenen bekannt ist, versucht der Angreifer eine vertraute Situation zu schaffen, anschließend Druck aufzubauen, um dann im richtigen Moment an die gewünschten Daten oder auch technischen Einrichtungen vor Ort (z.B. als Servicetechniker) heranzukommen. Wie einfach es ist, mit einigen wenigen Mouseclicks an persönliche Daten bestimmter Personen heranzukommen, zeigt z.B. der Aufruf von Google, Personensuchmaschinen (z.B. 123people oder yasni) und Social Networks (z.B. Xing, studiVZ oder Facebook). Aber auch die eine oder andere Homepage von Verbundbanken zeigt Mitarbeiter mit ihren Zuständigkeiten und dient damit als solide Basis für den Social Engineer zum Vorspielen einer falschen Identität. Die gezielte Beobachtung von menschlichen Gewohnheiten wie z.B. Dienstbeginn und –schluss, Pausenzeiten, Hobbys, Abwesenheit durch Urlaub oder Teilnahme an Veranstaltungen stellen weitere wertvolle Mosaiksteine für den Angreifer dar, die sein Auftreten immer authentischer werden lassen.

Gut ausgerüstet mit Informationen aus dem jeweiligen Umfeld tritt der Social Engineer an sein Opfer heran. Zunächst findet häufig eine Verwirrung durch die Vorspiegelung einer schwierigen technischen (nicht durchschaubaren) Situation statt. Ebenso werden Namen von Mitarbeitern zur Darstellung eines erfundenen, kritischen Szenarios mit dem Ziel der Einschüchterung missbraucht. Anschließend baut der Angreifer Druck auf, indem er vor allem auf die Dringlichkeit der Mithilfe des Opfers hinweist. Aussagen wie „ohne Sie bin ich aufgeschmissen“, „nur Sie können mir jetzt noch helfen“, „ich brauche jetzt wirklich sehr dringend“ oder „wenn Sie mich hier nicht herein lassen, steht die ganze Technik“ sind dabei an der Tagesordnung. Auf jeden Fall überzeugt der Social Engineer durch ein eloquentes Auftreten und den gezielten Einsatz von „Triggern“ um Zweifel und Misstrauen zu beseitigen. Dass dann an die gewünschten Informationen wie Zugangscodes, Passwörter, vertrauliche Daten leicht heranzukommen ist, überrascht nicht. Der Zugang zu bestimmten sensiblen Räumen, z.B. Serverraum, Standort der Datensicherung, wird gegebenenfalls allein durch eine passende Kleidung (Wartungstechniker mit Servicelogo, seriöser Auftritt als externer Prüfer) begünstigt.

Mitarbeitern müssen entsprechende Techniken und vor allem die erheblichen Konsequenzen erfolgreicher Social Engineering-Versuche vor Augen geführt werden. Fallbeispiele aus der Bankpraxis helfen hier sicher ebenso wie durchgeführte Feldversuche in der Bank. Es ist einerseits wegen der vielfältigen Herangehensweisen und anderseits wegen häufiger technischer Veränderungen klar, dass eine Vorbereitung auf alle denkbaren Fälle nicht geleistet werden kann. Anzustreben ist vielmehr, dass die Arbeitsweise des Social Engineers und seine verwendeten Automatismen zur Manipulation seines Opfers deutlich gemacht werden. Neben der Darstellung von Grundregeln wie Passwörter generell nicht herauszugeben oder Unberechtigten auch in besonderen Situationen keinen Zutritt zu gewähren, ist der Aufbau einer „gesunden kritischen Haltung“ als Zielsetzung zu sehen. Der bekannte Social Engineer Kevin Mitnick empfiehlt den Aufbau einer „human firewall“,

Abschließend ist noch zu erwähnen, dass viele Betrugstechniken, obwohl als solche bekannt, sich über einen langen Zeitraum praktizieren lassen. Beispielsweise wird immer noch über die Durchführung des Enkeltricks berichtet. PC-Anwender lassen sich zur Installation gefälschter Antivirenprogrammen überzeugen, die selber Schadfunktionen enthalten. Aber auch das Thema „Phishing“ hat bereits mehr als fünf „erfolgreiche“ Jahre zu verzeichnen.

Dr. Haiko Timm