Darstellung der Bedrohung durch Social Engineering und Analyse der als Gegenmaßnahme vorhandenen IT-Sicherheitsprozesse am Beispiel eines großen Unternehmens

Bachelorarbeit von René Merten

Einleitung:

Unternehmen, Behörden, sowie auch immer öfter Privatpersonen investieren in teure Anti-Virus-Software, Firewalls, ausgeklügelte biometrische Zutrittssysteme zum internen Netzwerk und aufwändige Verschlüsselungsverfahren. Ist alles installiert und perfekt konfiguriert, wähnt sich der Anwender in Sicherheit. Es wurde an alle erdenklichen Risiken gedacht, um die vertraulichen Informationen zu schützen. Es stellt sich aber die Frage, ob auch der Risikofaktor Mensch in der Planung des informationstechnischen Schutzkonzeptes berücksichtigt wurde.

Möchte ein Angreifer an vertrauliche Informationen gelangen, muss er sich nicht technischer Methoden bedienen, um die Firewall zu überwinden, sondern kann einen Mitarbeiter des Unternehmens direkt nach den vertraulichen Informationen fragen. Diese soziale Manipulation nennt man Social Engineering.

Im Gegensatz zu konventionellen technischen Angriffsmethoden benötigen die Angreifer keine besonderen technischen Kenntnisse. Somit ist die Gruppe der potenziellen Angreifer ungleich größer. Aus wirtschaftlichen Gründen wird die Informationsbeschaffung mittels Social Engineering oftmals einer aufwändigen Hackerattacke vorgezogen.

Doch stellt sich die Frage, warum Social Engineering überhaupt möglich ist. Menschen sind in ihrem Wesen sehr sozial eingestellt und häufig zu schnell bereit, einer fremden Person zu vertrauen, die vorgibt, bei einem Problem helfen zu wollen oder Hilfe benötigt. Das folgende Beispiel soll diese Problematik anschaulich erläutern:

Alice arbeitet im Büro eines großen Konzerns. Das Telefon klingelt. Ein äußerst sympathisch klingender Bob stellt sich Alice als Systemadministrator vor und erzählt ihr, dass es ein Problem im Netzwerk gibt. Um zu verhindern, dass dieses Problem auch auf Alices Computer auftritt, benötigt Bob ganz dringend Alices Benutzernamen und Passwort. Alice erklärt, dass sie ihre vertraulichen Logindaten äußerst ungern nennen möchte, da sie schon so viel Schlechtes gehört habe. Bob erwidert sofort, dass Alice das Passwort doch auf einen neuen Wert ändern könne, nachdem er die Konfiguration abgeschlossen habe. Er würde auch in fünf Minuten fertig sein und kurz zurückrufen, so dass Alice das Passwort ändern könne. Alice klärt sich nun einverstanden und nennt Bob ihre vertraulichen Logindaten. Bob meldet sich sofort mit den Logindaten an, ändert als erstes das Passwort und kopiert in aller Ruhe die vertraulichen Informationen, die er benötigt.

Durch Vorspielung einer falschen Identität und das gezielte Ausnutzen menschlicher Eigenschaften wie Sympathie, Hilfsbereitschaft und Autoritätsgläubigkeit, gelangt Bob an Alices vertrauliche Informationen. Vor dem Anruf hat Bob höchstwahrscheinlich eine Recherche über den Konzern, die Zielperson und die internen Abläufe durchgeführt. Dies erfolgt oft über die Verknüpfung öffentlicher Informationen, wie zum Beispiel der Webseite des Konzerns oder aus Anrufen beim Kundendienst. Es wird deutlich, dass Social-Engineering-Methoden ein effizienter Weg sind, um an die vertraulichen Informationen eines Unternehmens zu gelangen.

Von 2005 bis 2007 wurde ein Anstieg in der Anwendung dieser Social-Engineering-Methoden festgestellt. Nun warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Bericht zur Lage der informationstechnischen Sicherheit in Deutschland, dass diese Methoden immer professioneller werden. Ein weiterer Anstieg wird prognostiziert. Zusätzlich wird, nach einer Umfrage der Zeitschrift für Informationssicherheit kes, bei 49 Prozent der Befragten (Grundgesamtheit 163 Unternehmen) der menschliche Faktor eindeutig als die größte Gefahr für die informationstechnische Sicherheit des eigenen Unternehmens dargestellt.

Dies führt zu dem Schluss, dass Social Engineering einerseits im Rahmen zu-künftiger Angriffe wahrscheinlicher wird und andererseits eine Bedrohung für die Vertraulichkeit der Informationen darstellt.

Im Rahmen dieser Bachelorarbeit wird untersucht, welche Bedrohungen durch Social Engineering für Unternehmen entstehen.

Die Analyse und Bewertung eines Schutzkonzeptes vor Social Engineering bilden den praktischen Teil der Bachelorarbeit. Dies soll für Unternehmen eine Anregung liefern, den menschlichen Faktor in den Sicherheitsrichtlinien adäquat zu berücksichtigen.

Diese Bachelorarbeit soll auch zeigen, dass Social Engineering nicht mit der Implementierung neuer Sicherheitsrichtlinien oder aufwändigen Sensibilisierungsmaßnahmen der Mitarbeiter verhindert werden kann. Es kann das Risiko eines Angriffs verringern, jedoch wird Social Engineering stets eine Bedrohung sein.

Eine Erarbeitung von Handlungsempfehlungen zur Verringerung des eingangs skizzierten Risikos durch Social Engineering ist das Ergebnis und bildet den Abschluss dieser Bachelorarbeit.

Gang der Untersuchung:

Der erste Block beschreibt die theoretischen Grundlagen der Bachelorarbeit und beginnt mit einer Begriffsdefinition und Abgrenzung. Die psychologischen Aspekte werden in einem Exkurs über die Struktur des menschlichen Denken und Handelns erläutert, um die Fragestellung zu untersuchen, warum Social Engineering möglich ist. Es folgt die Vorstellung aktueller Auswertungen und Untersuchungen zu Social Engineering. Eine Beschreibung der Social-Engineering-Methoden und eine Einschätzung, wie hoch das Gefährdungspotential für das Unternehmen ist, bilden den Abschluss.

Im zweiten Block wird ein bestehender IT-Sicherheitsprozess im Unternehmen auf Schwachstellen gegenüber Angriffen der vorgestellten Social-Engineering-Methoden untersucht. Der IT-Sicherheitsprozess dient der Identitätsfeststellung eines Mitarbeiters im Unternehmen und muss vor dem Zurücksetzen des Mitarbeiter-Passworts durchlaufen werden. Zusätzlich wird der IT-Sicherheitsprozess auf Akzeptanz und Implementierung im Unternehmen analysiert. Hier besteht Interesse herauszufinden, ob die Mitarbeiter den IT-Sicherheitsprozess verstehen, wie hoch die Abbruchquote ist und ob es Unterschiede nach Regionen, Ländern oder Kulturkreisen gibt.

Schließlich werden im dritten Block Handlungsempfehlungen abgeleitet, die zur Erhöhung der Festigkeit gegen Social-Engineering-Angriffe beitragen sollen. Ein Ausblick auf einen alternativen IT-Sicherheitsprozess für das sichere Zurücksetzen eines Passwortes soll weitergehende Anregung liefern.

Inhaltsverzeichnis:

1.	EINFÜHRUNG	6
1.1	Problemstellung	6
1.2	Zielsetzung	8
1.3	Rahmenbedingungen	8
1.4	Methodik	9
2.	SOCIAL ENGINEERING	10
2.1	Definition und Abgrenzung	10
2.2	Psychologische Aspekte	19
2.2.1	Erfolgsfaktoren sozialer Manipulation	19
2.2.2	Kognitive Voreingenommenheit	24
2.2.3	Soziopsychologische Compliance	25
2.3	Aktualität und Relevanz	28
2.3.1	Fallbeispiele	28
2.3.2	Aktuelle Untersuchungen	30
2.3.3	Unternehmensspezifische Relevanz	33
2.4	Methoden	35
2.4.1	Phishing	35
2.4.2	Identity Theft	44
2.4.3	Dumpster Diving	47
2.4.4	Road Apple	50
2.4.5	Shoulder Surfing	55
2.4.6	Tailgating	58
2.4.7	Just Asking	61
2.5	Übersicht des Gefährdungspotentials	64
3:	CHALLENGE QUESTION PROCESS	66
3.1	Definition und Abgrenzung	66
3.1.1	Darstellung als eEPK	69
3.1.2	Technische Umgebung	72
3.2	Akzeptanz	74
3.2.1	Resonanz nach Regionen	74
3.2.2	Fehlerquote	81
3.3	Angriffspunkte durch Social Engineering	86
3.3.1	Phishing	87
3.3.2	Identity Theft	88
3.3.3	Dumpster Diving	88
3.3.4	Road Apple	89
3.3.5	Shoulder Surfing	90
3.3.6	Tailgating	90
3.3.7	Just Asking	91
2.4	Erweiterte Übersicht des Gefährdungspotentials	92
4.	ERGEBNISSE	94
4.1	Handlungsempfehlungen	94
4.1.1	Maßnahmen gegen Social Engineering	94
4.1.2	Empfehlungen für den Challenge Question Process	103
4.2	Alternativer IT-Sicherheitsprozess	106
4.3	Fazit	109
	Abbildungsverzeichnis	111
	Tabellenverzeichnis	112
	Abkürzungsverzeichnis	113
	Literaturverzeichnis	114

Textprobe:

Kapitel 2.2.1, Erfolgsfaktoren sozialer Manipulation:

Die Erfolgsfaktoren sozialer Manipulation beschreiben grundlegende Tendenzen der menschlichen Natur, die beim Versuch eine Rolle spielen, die Mitarbeit bei einer ANI oder ANH zu erlangen.

Insgesamt werden sieben Erfolgsfaktoren genannt: Konsequenz, Revanchieren, Mangel, Autorität, Soziale Bestätigung, Zuneigung, Neugier.

Es folgt die Definition und ein anschauliches Beispiel zu jedem Erfolgsfaktor.

Konsequenz:

Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn sie sich für eine Sache verpflichtet oder eingesetzt haben. Wenn ein Mitarbeiter etwas versprochen hat, wird er nicht unzuverlässig oder unwillig erscheinen wollen, indem er plötzlich sein Wort bricht. Vielmehr wird er versuchen, stets konsequent zu seinen Versprechen und Aussagen zu stehen.

Beispiel für einen Angriff via Konsequenz: Bob nimmt Kontakt zu Alice auf. Alice ist erst sehr kurz im Unternehmen und mit den internen Abläufen noch nicht ganz vertraut. Bob: „Hallo Alice, ich bin Bob und für die Sicherheitsrichtlinien des Unternehmens verantwortlich!“. Alice: „Ahh, okay…!“. Bob: „Sie wissen, dass Sie sich an die Sicherheitsrichtlinien und Prozeduren unseres Unternehmens halten müssen, da dies eine Bedingung für die Nutzung der IT-Systeme ist?“. Alice: „Hmm, ja natürlich!“. Bob: „Gut!“. Bob bespricht einige Minuten lang interne Prozeduren und erklärt Alice einige Abläufe. Bob: „Ich hoffe, dass ich Ihnen die Sicherheitsrichtlinien anschaulich erklären konnte. Eine Frage noch: Welches Passwort haben Sie vergeben? Es muss ein Mindestmaß an Sicherheit erfüllen.“. Alice: „12345A“. Bob empfiehlt Alice die Wahl eines neuen Passworts und beendet das Gespräch freundlich.

Alice war zur Mitarbeit bereit, da sie aufgrund ihrer vorherigen Zustimmung, die Firmenrichtlinien zu befolgen, eine Aussage getroffen hatte, von der sie sich schwer zurückziehen konnte. Schließlich nimmt Alice an, dass Bob nur ihre Bereitschaft zur Mitarbeit prüft.

Revanchieren:

Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn ihnen schon etwas Wertvolles gegeben oder versprochen worden ist. Dies kann ein Ratschlag, etwas Materielles oder eine Hilfestellung sein. Diese starke Tendenz zum Ausgleich existiert sogar dann, wenn das Opfer, das die Aufmerksamkeit erhalten hat, gar nicht danach gefragt hat.

Beispiel für einen Angriff via Revanchieren: Alice erhält einen Anruf von Bob, der sich selbst als einen Mitarbeiter der IT-Abteilung vorstellt. Bob erklärt, dass sich einige Firmencomputer mit einem neuen Virus infiziert haben, der alle Daten auf dem Computer vernichtet und noch nicht von der Antiviren-Software erkannt wird. Er bietet Alice an, sie durch einige Schritte zu leiten, die der Vorbeugung von Problemen dienen sollen. Bob nimmt sich viel Zeit und erklärt sehr geduldig, welche Schritte Alice durchführen soll. Alice ist über die unerwartete Hilfe hocherfreut. Bob bittet Alice nun, eine Software zu testen, die gerade kürzlich aktualisiert wurde, um den Mitarbeitern das Ändern ihrer Passwörter zu erlauben. Alice folgt der Bitte. Die Anwendung übermittelt im Hintergrund vertrauliche Informationen von Alice an Bob.

Alice widerstrebt dieser Bitte, nicht nachzukommen, weil Bob ihr gerade geholfen hat und da sie denkt, nun vor einem Virus geschützt zu sein.

Mangel:

Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn sie annehmen, dass ein angebotenes Objekt Mangelware sei und andere darum wettstreiten oder es nur für eine kurze Zeit verfügbar ist.

Beispiel für einen Angriff via Mangel: Bob verschickt zahlreiche E-Mails in seinem Unternehmen mit der Behauptung, die ersten 500 Mitarbeiter, die sich auf einer neuen Webseite registrieren lassen, erhalten Freitickets für den neuesten Kinokassenschlager. Alice findet das interessant und möchte sich auf der Seite registrieren. Sie wird nach ihrer dienstlichen E-Mail-Adresse und einem Passwort gefragt. Viele Mitarbeiter wählen aus Gründen der Bequemlichkeit das gleiche oder ein ähnliches Passwort auf allen Computersystemen, die sie benutzen. Dies macht sich Bob zunutze und versucht dann, die dienstlichen und privaten Computersysteme von Alice mit Hilfe des Benutzernamens und des Passworts zu kompromittieren, das während des Registrierungsprozesses auf der Webseite eingegeben worden ist.

Alice hatte es mit der Registrierung besonders eilig, da sie annahm, dass es nur eine begrenzte Anzahl von Freitickets gibt. Dies führte dazu, dass Alice mehr über einen möglichen Gewinn nachdachte, als über die Herausgabe Ihrer vertraulichen Daten.

Autorität:

Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn ihr Gegenüber eine glaubhafte Identität und Berechtigung zu haben scheint. Autorität ist eine soziale Positionierung einer Person oder Institution, die dazu führt, dass andere Personen ihr Denken und Handeln nach ihr richten. Social Engineers verwenden den Identitätsdiebstahl, um sich einer fremden Autorität zu bedienen.

Beispiel für einen Angriff via Autorität: Bob versucht, sich den Anschein von Autorität zu geben, in dem er behauptet, er käme von der IT-Abteilung, gehöre zur Geschäftsführung oder arbeite für einen Geschäftsführer des Unternehmens. Er geht zu Alice und verlangt die sofortige Herausgabe der letzten Arbeitsergebnisse. Alice ist von Bobs Identität überzeugt und vermutet, dass er die Berechtigung hat, diese Anfrage zu stellen. Sie übergibt vertrauliche Informationen an Bob.

Die falsche Identität und das zusätzlich dominante Auftreten von Bob haben Alice dazu verleitet, einer unautorisierten ANI zuzustimmen.

Soziale Bestätigung:

Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn behauptet wird, dass andere Mitarbeiter bereits einer ANH oder ANI zugestimmt haben. Die Handlungen von Anderen werden als Bestätigung oder Validation akzeptiert, dass das fragliche Verhalten die richtige und angemessene Handlung darstellt.

Beispiel für einen Angriff via soziale Bestätigung: Bob ruft Alice an. Er teilt ihr mit, er führe eine Untersuchung durch und nennt andere Personen aus der Abteilung mit dem Hinweis, dass diese bereits mit ihm zusammengearbeitet haben. Alice, im Glauben, dass die Kooperation durch Andere die Authentizität der Anfrage bestätigt, stimmt einer Teilnahme zu. Bob stellt dann eine Reihe von Fragen an das Opfer, unter denen sich dann einige befinden, die ihren Benutzernamen und das zugehörige Passwort enthüllen.

Alice empfand die ANI als berechtigt, da Bob behauptete, dass andere Kollegen bereits mit ihm zusammengearbeitet haben.

Zuneigung:

Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn ihnen die anfragende Person angenehm vorkommt oder ähnliche Interessen, Ansichten und Verhaltensweise hat. Die Sympathie des Mitarbeiters zum Angreifer trägt entscheidend zum Erfolg eines Angriffs bei. So beschreibt Mitnick, dass das Hervorheben von Gemeinsamkeiten die Sympathie im besonderen Maße fördert. Der Social Engineer wird ebenfalls versuchen, die Verhaltensweisen des Opfers nachzuahmen, um ihm gleichartig zu erscheinen.

Beispiel für einen Angriff via Zuneigung: Durch Konversation in der Teeküche erlangt Bob Kenntnisse über ein Hobby und ein Interesse von Alice und behauptet, sich selbst für dieses Hobby oder Interesse zu begeistern. Später erfährt er, dass Alice aus Köln stammt und Bob behauptet, dass er dort dem Hobby von Alice nachginge. Im Laufe mehrerer Gespräche erfährt Bob einige private Details, die im Unternehmen dazu verwendet werden können, um mit Alices Identität aufzutreten und vertrauliche Daten zu generieren.

Die Sympathie und Aufmerksamkeit Bobs imponierten Alice so stark, dass sie gerne über private Details sprach, ohne zu berücksichtigen, dass Bob diese privaten Details für andere Zwecke missbrauchen kann.

Neugier:

Mitarbeiter neigen zur Zusammenarbeit einer ANH oder ANI, wenn ihre Neugier angesprochen wird. So erzeugen ungewöhnliche Symbole, Beschriftungen, Gerüche, Laute oder Situationen ein Verlangen, die Situation zu untersuchen und verleiten Mitarbeiter zu einer ANH oder ANI, der sie vorher nicht nachgekommen wären.

Beispiel für einen Angriff via Neugier: Bob installiert auf mehreren USB-Sticks eine Malware. Diese, mit dem Firmenlogo präparierten USB-Sticks, verteilt er nun auf dem Werksgelände an verschiedenen Orten, an denen diese USB-Sticks auch von den Angestellten gefunden werden, z.B. beim Empfang, in der Kantine, in einem Besprechungsraum oder auf der Toilette. Alice findet einen der USB-Sticks und kann es kaum erwarten nachzuschauen, was darauf gespeichert ist.

Nach dem Einstecken in den Rechner installiert sich die Malware und spioniert nach vertraulichen Informationen. Da sich auf dem USB-Stick das Firmenlogo befand, hatte Alice keinen Verdacht und konnte ihrer Neugier nachgehen, welche interessanten Daten auf dem USB-Stick gespeichert sind.