Social Engineering

aus Wikipedia, der freien Enzyklopädie

Social Engineering [ˈsəʊʃl̩ ˌɛndʒɪˈnɪəɹɪŋ] (engl. eigentlich „angewandte Sozialwissenschaft“, auch „soziale Manipulation“) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Daten oder Dinge zu gelangen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen falsche Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking ['hækɪŋ] (vgl. Hacker).

Inhaltsverzeichnis 1 Geschichte 2 Grundmuster 3 Bekämpfung 4 Bekannte Social Engineers 5 Literatur 6 Weblinks

[Bearbeiten] Geschichte

Eine frühe Form des Social Engineering wurde in den 1980er Jahren mit Phreaking praktiziert. Phreaker riefen unter anderem bei Telefongesellschaften an, gaben sich als Systemadministrator aus und baten um neue Passwörter, mit denen sie schließlich kostenlose Modemverbindungen herstellten.

[Bearbeiten] Grundmuster

Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen gescheiterten Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen. Der Angreifer verwirrt sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, den Vorgesetzten stören zu müssen. Unter Umständen hat der Mitarbeiter sogar tatsächlich technische Hilfe angefordert und erwartet bereits einen derartigen Anruf.

Eine bekannte und unpersönliche Variante des Social Engineering ist das Phishing: Fingierte E-Mails mit vertrauenswürdiger Aufmachung fordern den Empfänger auf, auf einer präparierten Webseite geheime Zugangsdaten wie Passwörter für Online-Banking preis zu geben. Das Grundmuster ist ähnlich dem fingierten Telefonanruf, denn auch hier gibt sich der Social Engineer in der Regel als technischer Mitarbeiter aus, der zur Datenüberprüfung oder -wiederherstellung die Geheiminformation benötigt. Anders als dort verfügt der Angreifer hier über nicht viel mehr als die E-Mail-Adresse des Empfängers, was die Attacke weniger persönlich und damit auch weniger wirkungsvoll macht.

[Bearbeiten] Bekämpfung

Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefert das Opfer selbst, indem es Identität und Berechtigung des Ansprechenden zweifellos sicherstellt, bevor es weitere Handlungen vornimmt. Bereits die Rückfrage nach Name und Telefonnummer des Anrufers oder dem Befinden eines nicht existierenden Kollegen kann schlecht informierte Angreifer enttarnen. Auch scheinbar geringfügige und nutzlose Informationen sollten Unbekannten nicht offen gelegt werden, denn sie könnten in folgenden Kontaktaufnahmen zum Aushorchen anderer missbraucht werden oder zusammen mit vielen anderen für sich genommen nutzlosen Angaben zum Abgrenzen eines größeren Sachverhalts dienen. Wichtig ist eine schnelle Warnung aller potenziellen weiteren Opfer; erste Ansprechpartner sind die Sicherheitsabteilung des Unternehmens, die Kontaktadresse des E-Mail-Providers und Mitmenschen und Institutionen, deren Angaben zur Vorspiegelung falscher Tatsachen missbraucht wurden.

[Bearbeiten] Bekannte Social Engineers

Öffentlich bekannt wurde die Methode vor allem durch den Hacker Kevin Mitnick, der durch seine Einbrüche in fremde Computer eine der meistgesuchten Personen der Vereinigten Staaten war. Mitnick selbst meinte, Social Engineering sei die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlüge rein technische Ansätze in Sachen Geschwindigkeit um Längen.

Der für die Computersicherheit tätige Hacker Archangel zeigte in der Vergangenheit, dass Social Engineering nicht nur bei der Offenlegung von Passwörtern wirksam ist, sondern auch bei der illegalen Beschaffung von Pizzen, Flugtickets und sogar Autos funktioniert.

Weitere bekannte Social Engineers sind der Scheckbetrüger Frank Abagnale, Miguel Peñalver, David "Race" Bannon, der sich als Interpol-Agent ausgab, der Grundstücksbetrüger Peter Foster, der Hochstapler Steven Jay Russell und der Hochstapler Gert Postel, der mit einem weiteren Hochstapler, Reiner Pfeiffer, eine Rolle in der Barschel-Affäre gespielt hat. Auch Shawn Spencer aus der US-Krimiserie Psych bedient sich oft Social Engineering Methoden.

[Bearbeiten] Literatur

• K. Mitnick, W. Simon: Die Kunst der Täuschung: Risikofaktor Mensch. ISBN 3-8266-0999-9, ISBN 3-8266-1569-7 (zweite Auflage)
• K. Mitnick, W. Simon: The Art of Deception: Controlling the Human Element of Security. engl. ISBN 0-471-23712-4
• K. Mitnick, W. Simon: Die Kunst des Einbruchs. ISBN 3-8266-1622-7
• K. Mitnick, W. Simon: The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders and Deceivers. ISBN 0-4717-8266-1
• [Uwe Baumann, Klaus Schimmer, Andreas Fendel] SAP Pocketseminar "Faktor Mensch - Die Kunst des Hackens oder warum Firewalls nichts nützen" Copyright SAP 2005, [1]

[Bearbeiten] Weblinks

• computec.ch freie deutschsprachige Dokumente
• Sicherheitskultur im Unternehmen. Umfangreiche Artikelsammlung zur Informationssicherheit, Sicherheitskultur und Security Awareness E-Book als kostenfreier PDF-Download

• Social Engineering Zusammenfassung freies deutschsprachiges Word Dokument über die Grundlagen von Social Engineering und Gegenmaßnahmen