Social Engineering

Diplomarbeit von Marcus Lipski

Einleitung:

Social Engineering benutzt Techniken der Beeinflussung und Überredungskunst zur Manipulation oder zur Vortäuschung falscher Tatsachen, über die sich ein Social Engineer eine gefälschte Identität aneignet. Damit kann der Social Engineer andere zu seinem Vorteil ausbeuten, um mit oder ohne Verwendung von technischen Hilfsmitteln an Informationen zu gelangen.

Wenn man in der IT über die Sicherheit spricht, fallen meistens Begriffe wie Firewall, Virenscanner, Demilitarisierte Zone (DMZ), Proxy, Verschlüsselung, Benutzername und Passwort, Token, um nur einige zu nennen. Es ist durchaus richtig, dass all diese Komponenten für die Sicherheit der IT unverzichtbar sind, doch leider wird bis heute eine Schwachstelle nicht genügend beachtet: der Mensch!

Gerade in der IT-Sicherheit ist das Sprichwort ‘Keine Kette ist stärker, als ihr schwächstes Glied’ sehr treffend. Jedes Sicherheitskonzept, egal wie raffiniert und durchdacht es ist, lässt sich in Sekundenschnelle aushebeln, wenn die Mitarbeiter freiwillig Ihre Passwörter oder andere wichtige Informationen preisgeben, sobald man sie danach fragt.

Social Engineering ist eine von vielen Angriffsarten, die zum Ziel haben die Kontrolle über Computersysteme bzw. die darin enthaltenen Informationen zu erlangen. Durch die geschickte Ausnutzung des Menschen ist es dem Angreifer, meist ohne ein technisches Hilfsmittel einzusetzen, möglich, an die gewünschten Informationen zu gelangen.

Um ein Computersystem zu schützen, reicht es nicht aus, nur das Social Engineering zu beachten und entsprechende Maßnahmen einzuleiten. Es muss die IT-Sicherheit in ihrer gesamten Komplexität beachtet werden. Würde man sich lediglich mit der Angriffsart des Social Engineering auseinandersetzen, so könnte man zwar in diesem Bereich jeden Social Engineer abwehren, würde jedoch technische Angriffe ermöglichen und hätte somit ebenfalls die Informationen nicht am verlassen der Firma hindern können. Nur durch die Anwendung von Autorisierungs- und Authentifizierungsverfahren, Kryptographie, Firewalls, Intrusion Detection Systemen (IDS) und anderen Maßnahmen, sind sie noch nicht in der Lage ein Computersystem angemessen zu schützen.

Um einen effektiven Schutz erreichen zu können, ist es ebenfalls notwendig durch organisatorische Maßnahmen (Sicherheitsrichtlinien, Schulungen, Berechtigungskonzepte, u. a. ) die Sicherheit der Daten, Informationen und Computersysteme zu gewährleisten.

Die Verhinderung bzw. Vermeidung von Social Engineering Angriffen gehört, wie bereits geschrieben, in den Bereich der organisatorischen Maßnahmen eines Sicherheitskonzeptes und kann höchstens durch technische Maßnahmen unterstützt werden.

Neben den rein technischen Aspekten, gilt es auch die rechtliche Seite eines Social Engineering Angriffes zu betrachten. So ist nach §91 Abs. 2 Aktiengesetz (AktG) jedes börsennotierte Aktienunternehmen verpflichtet ein Risikofrüherkennungssystem einzurichten. Sollte dieses Früherkennungssystem nicht eingerichtet worden sein und es kommt zu einem Schaden, so sind nach §93 Abs. 2 AktG die Vorstandsmitglieder ‘der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast’.

Nach §9 Bundesdatenschutzgesetz (BDSG) haben alle öffentlichen und nicht öffentlichen Stellen, die personenbezogene Daten verarbeiten, alle technischen und organisatorischen Maßnahmen zu ergreifen, um die Daten im Sinne des BDSG zu schützen.

Sobald in einem Unternehmen die private Nutzung von Mails oder dem Internet gestattet ist, ist das Unternehmen ein Diensteanbieter nach §2 Nr. 1 Telemediengesetz (TMG) [TMG 2007]. Das heißt auch, dass der Diensteanbieter dafür zu sorgen hat, dass nach §13 Abs. 4 Nr. 3 TMG ‘der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann’.

Neben diesen Beispielen gibt es noch weitere Gesetze, die den Unternehmer in die Pflicht nehmen. So zum Beispiel §43 Abs. 2 Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG): ‘Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden’.

Doch nicht nur die Unternehmer bzw. Vorstände können zur Rechenschaft gezogen werden, sondern auch direkt der IT-Verantwortliche kann zivilrechtlich nach §823 Abs. 1 Bürgerliches Gesetzbuch (BGB) belangt werden, wenn der Arbeitgeber ihm Vorsätzlichkeit oder Fahrlässigkeit explizit nachweisen kann (§619a BGB [BGB 1896]). Nach §276 Abs. 2 BGB handelt fahrlässig, ‘wer die im Verkehr erforderliche Sorgfalt außer Acht lässt’.

Durch Social Engineering kann man sehr schnell selbst zum Angeklagten werden, auch wenn man selbst den Angriff nicht durchgeführt hat.

Der materielle bzw. finanzielle Schaden der entsteht ist ebenfalls nicht zu unterschätzen. So kann es von einfachen Arbeitsaufwänden, wie einer Passwortänderung, zum Verlust von Kunden, Projekten, Investoren oder sogar zum Imageverlust kommen. Im schlimmsten Fall, wird das Unternehmen sich davon nicht mehr erholen können und seinen Geschäftsbetrieb aufgeben müssen.

Dieses Dokument richtet sich primär an IT-Administratoren, Sicherheitsmanager bzw. -berater und den Mitgliedern der Geschäftsleitung. Diese sollen, nach der Durchsicht dieses Dokuments, in der Lage sein, die Gefahren eines Social Engineering Angriffes für Ihr Unternehmen einschätzen zu können. Des Weiteren sollen Sie ihre bestehende Sicherheitslösung anpassen oder eine neue Sicherheitslösung, unter Berücksichtigung der Gefahren eines Social Engineering Angriffes, entwickeln können.

Dazu ist es erforderlich, den Leser mit den Möglichkeiten, Mitteln, Formen und Gefahren des Social Engineering vertraut zu machen. Um dieses Ziel zu erreichen, werden die folgenden Fragestellungen erläutert:

-Was ist Social Engineering?

-Warum funktioniert Social Engineering?

-Wie bereitet sich ein Angreifer vor?

-Wie läuft ein Angriff ab?

-Wie kann ich einen Angriff erkennen?

-Wie kann ich einen Angriff abwehren?

-Wie kann ich einem Angriff vorbeugen?

Die Einführung in das Social Engineering sowie die allgemeinen Grundlagen sind für die Einschätzung der Bedrohung und dem daraus folgenden Gefahrenpotenzial für das Unternehmen, erforderlich. Mit diesen Kenntnissen ist es der Geschäftsleitung möglich, den entsprechenden Sicherheitslösungen die notwendige Aufmerksamkeit zu schenken und damit die Sicherheitsberater innerhalb des Unternehmens angemessen zu unterstützen.

Der Schwerpunkt dieser Arbeit liegt auf der Abwehr (Kapitel 6) und der Vermeidung (Kapitel 7) eines Angriffes und soll dem IT-Administrator oder Sicherheitsberater am Ende Vorschläge unterbreiten, worauf er in seinem Unternehmen zu achten hat und welche Maßnahmen zu ergreifen sind, um einen Social Engineering Angriff abwehren zu können. Dies umfasst die Ermittlung von Regeln für eine Sicherheitsleitlinie in Bezug auf das Social Engineering, sowie einer Auflistung der wichtigsten Abwehrmaßnahmen.

Gang der Untersuchung:

Die vorgestellten Ziele in Kapitel 1.2 lassen sich sehr gut in das aus der Softwaremodellierung bekannte V-Modell einordnen. Da es sich beim Social Engineering allerdings nicht um eine Softwareentwicklung handelt, passt ‘das Original’ nicht hundertprozentig und wurde entsprechend angepasst. Das angepasste V-Modell finden Sie in Abbildung 1.

Die Kapitel 2 und 3 geben eine Einführung in das Thema. Es wird erläutert, was Social Engineering ist und wie es funktioniert. Diese beiden Kapitel stellen ein grundlegendes Verständnis des Themas her und sind gleichzeitig die Basis für die Erarbeitung von Maßnahmen für die Vorbeugung. Denn nur wenn man versteht, was Social Engineering ist und warum es funktioniert, können sinnvolle Gegenmaßnahmen ergriffen werden.

Nach einer Einführung in das ‘Was’ und ‘Warum’ folgt die Vorbereitung für das ‘Wie’ in Kapitel 4. Die Vorbereitung schildert, wie sich ein Social Engineer auf einen Angriff vorbereitet und was er hier für Mittel einsetzt. Kennt man erst einmal die Mittel und Wege des Social Engineer, kann man diese leicht aushebeln oder auf Angriffe gezielt reagieren. Dieser Punkt ist also unerlässlich für die Abwehr und Vorbeugung eines Angriffs.

Das ‘Wie’ in Kapitel 5 schildert schließlich, wie ein Social Engineer die gewonnenen Informationen einsetzt und welche Mittel und Wege er dafür benutzt. Es wird ermittelt, wie ein solcher Angriff ablaufen kann, was lohnenswerte Ziele sind und mit welchen Methoden der Social Engineer versucht, seine Opfer zu manipulieren. Es gilt, den Angriff als solchen zu erkennen, zu wissen, was, wie und wo es passiert. Sind diese Informationen ermittelt und erkannt, können effektive Gegenmaßnahmen eingeleitet werden.

Anhand der bis hierher erarbeiteten Informationen werden in Kapitel 6 Maßnahmen zur Abwehr eines Angriffes entwickelt. Die Abwehr des Angriffs setzt voraus, dass ein solcher stattfindet, und dass man in der Lage ist, einen Angriff als solchen zu erkennen. Die Grenze zwischen Abwehr und Vorbeugung ist nicht immer eindeutig zu ziehen, da diese beiden Bereiche eng zusammenarbeiten müssen. Anhand der Abwehr eines Angriffs lässt sich überprüfen, ob die vorhandenen Informationen zur Vorbereitung eines Angriffes korrekt sind. Sollte es hier zu Unstimmigkeiten kommen, so ist eine erneute Überprüfung des Moduls Vorbereitung notwendig, was wiederum Auswirkungen haben kann auf die Art und Weise, wie ein Angriff durchgeführt wird.

Sollte man sein gesamtes Sicherheitskonzept nur darauf ausgelegt haben zu reagieren, so wird es dem Angreifer in einem Augenblick der Unaufmerksamkeit gelingen, die IT-Sicherheit zu gefährden. In Kapitel 7 geht es nicht mehr darum zu reagieren, sondern zu agieren. Die Vorbeugung ist der wichtigste Punkt zur Vermeidung erfolgreicher Social Engineering Angriffe. Innerhalb dieses Kapitels werden nun alle bisher gewonnen Informationen dazu genutzt, Möglichkeiten zur effektiven Vorbeugung von Angriffen zu finden. Dies umfasst die Definition von Regeln für eine Sicherheitsleitlinie, die den Benutzern verbindliche Verhaltensregeln vorgibt, sowie die Auflistung der wichtigsten Abwehrmaßnahmen für den IT-Administrator und Sicherheitsberater.

Inhaltsverzeichnis:

	Abkürzungsverzeichnis	III
	Abbildungsverzeichnis	IV
1.	Einleitung	1
1.1	Projekteinbettung	1
1.2	Zielstellung	3
1.3	Methodik	4
2.	Was ist Social Engineering?	7
3.	Warum funktioniert Social Engineering?	10
4.	Vorbereitung eines Angriffs	13
4.1	Informationsbeschaffung	13
4.2	Arten der Informationsbeschaffung	16
5.	Der Angriff	19
5.1	Der Zyklus des Social Engineering	19
5.2	Die Rollen des Social Engineers	20
5.3	Übliche Methoden des Social Engineer	23
5.3.1	Manipulation und Täuschung von Menschen	23
5.3.2	Nutzung technischer Hilfsmittel	24
5.4	Warnzeichen für einen Angriff	25
5.5	Allgemeine Angriffsziele	25
5.6	Faktoren, die einen Angriff begünstigen	26
5.7	Der Angriff in zehn Schritten	27
6.	Abwehren eines Angriffs	28
6.1	Verifikation und Datenklassifikation	28
6.1.1	Verfahren zur Prüfung der Identitiät	28
6.1.2	Verfahren zur Prüfung des Angestelltenstatus	30
6.1.3	Verfahren zum Feststellen der Informationsberechtigung	31
6.1.4	Kriterien zur Bestimmung von Nicht-Angestellten	31
6.1.5	Datenklassifikation	32
6.2	Rhetorik	34
6.3	Die zentrale Anlaufstelle	34
7.	Einen Angriff verhindern, bzw. die Gefahr reduzieren	36
7.1	Sensibilisierung	36
7.2	Schulungen	37
7.2.1	Schulungsziel	38
7.2.2	Schulungsstruktur	39
7.2.3	Schulungsinhalte	39
7.2.4	Fortlaufende Sensibilisierung	40
7.3	Physikalischer Schutz	41
7.4	Prozessoptimierung (inkl. Notfallprozessen)	42
7.5	Arbeitskomfort vs. Schutz	43
7.6	Audits	43
7.7	Betriebsklima	44
7.8	Sanktionen und Belohnungen	45
7.9	Die Sicherheitsleitlinie	46
7.9.1	Aufbau einer Sicherheitsleitlinie	46
7.9.2	Vorschläge für eine Sicherheitsleitlinie	47
7.10	Zehn Regeln zur Abwehr eines Angriffs	58
8.	Zusammenfassung und Ausblick	59
A	Bearbeitung einer Anfrage nach .	63
A.1	Informationen	64
A.2	Handlungen	65
B	Fallbeispiele	66
B.1	HBSE - Die Geschichte von Janie Acton	66
B.2	RSE & CBSE - Netzwerkausfall	68
C	Literaturverzeichnis	72

Textprobe:

Kapitel 4, Vorbereitung eines Angriffs:

Beim Social Engineering kommt es auf die Gewinnung von Informationen an. Es geht nicht nur um die Zielinformationen die der Social Engineer haben will, sondern auch um die Informationen, die er benötigt um sein Ziel zu erreichen. Je mehr der Social Engineer von seinem „Opfer“ weiß, desto größer sind seine Erfolgschancen.

Es gibt viele unscheinbare Informationen in einem Unternehmen, die den Social Engineer näher an sein Ziel bringen. So reicht meist schon eine einfache Telefonliste, um herauszufinden, wer in welcher Abteilung arbeitet, wie seine Telefonnummer ist und vielleicht sogar, wie seine E-Mail-Adresse lautet.

Hat der Social Engineer erst einmal die notwendigen Informationen, ist es für ihn ein leichtes, sich innerhalb der Firmenstruktur zu bewegen und seine breite Palette an schauspielerischen Talenten auszuspielen.

Die nachfolgenden zwei Kapitel geben einen Überblick darüber, welche Informationen für einen Social Engineer interessant sind und wie er sich diese Informationen beschafft.

Durch die Kenntnisse der Verfahrensweisen und Begehrlichkeiten können Sie dem Social Engineer bereits seine Vorbereitungsphase erschweren, wenn Sie geeignete Maßnahmen ergreifen.

Kapitel 4.1, Informationsbeschaffung:

Um etwas in einem fremden (oder auch bekannten) Unternehmen zu erreichen, sind Informationen das Wichtigste. Je nach Ziel des Angriffs werden mehr oder weniger Informationen benötigt.

Mithilfe von Telefon- und Mitarbeiterlisten ist es dem Social Engineer möglich, die Nummern von Ansprechpartnern zu ermitteln. Da die meisten Telefonlisten auch Informationen wie E-Mail-Adressen, Abteilungszugehörigkeit und vielleicht sogar die Position der jeweiligen Person enthalten, ist durch Kenntnisnahme einer solchen Liste ein hohes Sicherheitsrisiko gegeben. Der Social Engineer findet auf dieser Liste jede Menge potenzieller Opfer, die ihm gewünschte Informationen geben können. Diese Listen liegen meist neben jedem Telefon, auch in Besprechungsräumen, die vom Social Engineer leicht erreicht werden können, wenn er erst einmal im Gebäude ist.

Durch die Kenntnisnahme von Organigrammen oder Hierarchiestrukturen weiß der Social Engineer, wer nur ein einfacher Mitarbeiter und wer Entscheidungsträger ist. Damit sind unnötige Anrufe bei weniger hilfreichen Personen vermeidbar, was das Risiko einer Entdeckung drastisch reduziert.

Auch Raumpläne geben einem Angreifer die Möglichkeit Hierarchien zu ermitteln oder sich mit der technischen Umgebung vertraut zu machen. Somit kann er sich zielsicher und selbstbewusst im Gebäude bewegen und wird vermutlich niemandem weiter auffallen.

Sobald der Social Engineer weiß, mit welchen Dienstleistern und Zulieferern ein Unternehmen zu tun hat, kann er dies als Eintrittskarte für das Firmengelände benutzen oder mithilfe dieser Informationen sogar weitere telefonische Anfragen stellen, die einem Zulieferer, der ja nur seine Arbeit machen will, eher beantwortet werden, als einem unbekannten externen Anrufer. Auch ein Anruf bei einem der Zulieferer oder Dienstleister kann wertvolle Informationen liefern. Dies können Sie leicht verhindern durch die Definition von festen Ansprechpartnern auf beiden Seiten.

Dienst- und Schichtpläne sind ebenfalls hilfreiche Informationsquellen. Wenn z.B. der Social Engineer bereits mit einem Mitarbeiter sprach, der ihm bereitwillig Auskunft gegeben hat, so könnte er anhand der Dienst- und Schichtpläne schnell feststellen, wann dieser Mitarbeiter wieder da ist, um so weitere Informationen zu erhalten. Man kennt sich ja schließlich und hilft sich gerne untereinander. Auch Schichtwechsel, in denen die Aufmerksamkeit nicht ganz so hoch ist, können dem Social Engineer von Nutzen sein.

Der Informationsgehalt von Memos und Briefen dürfte jeden Social Engineer freuen. Der Social Engineer gewinnt dadurch Informationen über die Art und Weise, wie kommuniziert wird. Er hat die Möglichkeit die „Sprache“ der Firma zu lernen. Eine unschätzbare Fähigkeit, um sich als Insider auszugeben. Des Weiteren erfährt der Social Engineer auch genug über interne Vorgehensweisen, um diese für seine Angriffe zu nutzen.

Mithilfe von Netzplänen, Computernamen und Netzwerkadressen lernt der Social Engineer die Struktur der Firma kennen. Durch diese Informationen könnte sich der Social Engineer z.B. auch als Fachmann der IT ausgeben und so unbedarfte Mitarbeiter verunsichern oder auf einer Ebene mit den Fachleuten aus der IT kommunizieren und sie somit glauben lassen, er wäre einer von Ihnen.

Die Kenntnisse zur Funktionsweise von Zugangskontrollsystemen ist hilfreich um auch hier unerlaubten Zugriff, entweder durch direktes aushebeln der Zugangskontrollsysteme oder durch Manipulation der Sicherheitsleute bzw. Verantwortlichen für das Zugangskontrollsystem, zu erlangen.

Wenn ein Social Engineer weiß, wie die Menschen arbeiten, kann er Schwachstellen in den Prozessen ermitteln und diese als Angriffspunkte benutzen. Dazu versucht er an Arbeitsanweisungen und Policies (bzw. Richtlinien) oder auch Prozessbeschreibungen zu kommen. Die Kenntnisse dieser Dokumente sind hilfreich, um Mitarbeiter der Firma glauben zu lassen, man sei einer von Ihnen, denn woher sollte ein Externer davon wissen?!

Entsorgte Datenträger können für einen Social Engineer zum Heiligen Gral der Informationsbeschaffung werden. Je nach den auf dem Datenträger gespeicherten Informationen kann der Social Engineer mit ein wenig Glück bereits alle oben aufgeführten Informationen ohne viel Aufwand erhalten oder vielleicht sogar die Daten in den Händen halten, die er eigentlich sucht. Eine Entdeckung ist fast ausgeschlossen, da der Datenträger nicht mehr vermisst wird. Der Arbeitsaufwand für die Beschaffung dieser Datenträger dürfte auch nicht besonders groß sein.