Social Engineering
08.10.2015
Cyber-Angriffe
1. Teil: „Social Engineering - Der Mensch als Firewall“

Social Engineering - Der Mensch als Firewall

Autor:
Social EngineeringSocial EngineeringSocial Engineering
Fotolia / tashatuvango
Cyber-Angriffe auf Unternehmen erfolgen meist, indem die Mitarbeiter getäuscht werden. Hilfsmittel wie das SEEF-Framework und Awareness-Schulungen verringern das Risiko des Social Hacking.
Social Engineering, also die Täuschung und Manipulation von Mitarbeitern, ist für Internetkriminelle ein erfolgversprechendes Mittel, um illegal an Daten zu gelangen.
  • Schwachstelle Mensch: Nur mit Technik ist Betrügern nicht Einhalt zu gebieten. Mitarbeiter müssen sensibilisiert und geschult werden.Schwachstelle Mensch: Nur mit Technik ist Betrügern nicht Einhalt zu gebieten. Mitarbeiter müssen sensibilisiert und geschult werden.Schwachstelle Mensch: Nur mit Technik ist Betrügern nicht Einhalt zu gebieten. Mitarbeiter müssen sensibilisiert und geschult werden.
     
    Schwachstelle Mensch: Nur mit Technik ist Betrügern nicht Einhalt zu gebieten. Mitarbeiter müssen sensibilisiert und geschult werden.
    Quelle:
    B Studio / Shutterstock.com
Phishing-Attacken etwa sind vor allem deshalb eine so große Gefahr für Unternehmen, weil sie zielgerichtet und personalisiert erfolgen. Sprache und Stil werden immer professioneller imitiert, sodass selbst Experten die Fälschungen auf den ersten Blick kaum erkennen.
Wie stark Social Engineering bereits professionalisiert ist, hat der Wettbewerb Social Engineering Capture the Flag (SECTF) auf der Hacker-Konferenz Defcon 22 vergangenes Jahr in Las Vegas eindrucksvoll gezeigt.

Schwachstelle Mensch

Nur mit Technik ist den Betrügern nicht Einhalt zu gebieten. Der wichtigste Faktor sind die Mitarbeiter. Sie müssen sensibilisiert und geschult werden. Da sich eingeschleuste Schadsoftware innerhalb weniger Minuten verbreitet, müssen sämtliche Mitarbeiter auf dem gleichen (hohen) Wissensstand sein. Jeder einzelne muss quasi zu einer menschlichen Firewall werden.
Eine sehr erfolgreiche Methode, um Mitarbeiter zu sensibilisieren, ist die Security-Awareness-Schulung, bei der mit eigens erstellten Phishing-E-Mails gearbeitet wird. Sobald der Mitarbeiter auf einen Link darin klickt oder ein Attachment öffnet, wird er auf eine Schulungsseite weitergeleitet. Dieser Ansatz bietet auch die Möglichkeit, eine Meldestelle für Phishing-Mails einzurichten, wo findige Mitarbeiter Attacken oder Verdachtsmomente melden können.
Neben klassischen Hacking-Attacken gibt es noch einen ganz simplen Weg, an Informationen zu gelangen. Warum nicht einfach danach fragen? Auch diese Methode des Social Engineerings ist effizient und auch dafür wird die Schwachstelle Mensch genutzt. Angriffe dieser Art beschränken sich nicht auf den persönlichen Kontakt, sondern können auch über Telefon, E-Mail und andere Kommunikationswege erfolgen.
Die Kosten für Social Engineering sind verschwindend gering und man umgeht dabei die komplexesten technologischen Barrieren. Umso wichtiger ist es, das eigentliche Angriffsziel, die Mitarbeiter, entsprechend vorzubereiten. Eine solche Sensibilisierung kann mit einer Awareness-Kampa­gne erreicht werden.
2. Teil: „Das SEEF-Framework gegen Social Hacking“

Das SEEF-Framework gegen Social Hacking

Eine hervorragende Ressource bietet das SEEF (Social Engineering Engagement Framework). In diesem Open-Source-Framework werden die einzelnen Elemente und Methoden von Social Engineering als Disziplin betrachtet und erläutert. Es hilft Unternehmen, Social Engineering besser zu verstehen und entsprechende Assessments zu planen. Das SEEF setzt sich aus Methoden, Instruktionen und Skills zusammen:
    • Social Engineering Engagement Framework: Das SEEF setzt sich aus Methoden, Instruktionen und Skills zusammen.Social Engineering Engagement Framework: Das SEEF setzt sich aus Methoden, Instruktionen und Skills zusammen.Social Engineering Engagement Framework: Das SEEF setzt sich aus Methoden, Instruktionen und Skills zusammen.
       
      Social Engineering Engagement Framework: Das SEEF setzt sich aus Methoden, Instruktionen und Skills zusammen.
    Methoden: Sie beschreiben, wie bestimmte Angriffe ausgeführt werden und liefern so die Grundlage zur Durchführung eines wiederholbaren Assessments, mit dem vergleichbare Resultate erzielt werden können.
     
  • Instruktionen: Zu jeder Methode erklären spezifische In­­s­truktionen, wie diese genau angewendet werden. Die In­struktionen sind länder- und/oder industriespezifisch und werden situationsgerecht angewendet, je nachdem ob beispielsweise eine Attacke in einer Bank oder in einer Bundesverwaltung angenommen wird.
     
  • Skills: Methoden und Instruktionen erwachen nur zum Leben, wenn sie mit Skills gepaart werden. Für eine bestimmte Angriffsweise, zum Beispiel bei Impersonation (imitierte Repräsentation), wird ein Mitarbeiter mit dem nötigen Fachwissen eingesetzt. Solche Skills können zum Beispiel Fachenglisch, IT-Know-how und die Kenntnis über die IT-Organisation des Unternehmens sein.
Bestandteil des Frameworks ist eine Tabelle, die die Schweregrade eines Social-Engineering-Angriffs in zwölf Stufen einteilt.
Tabelle:
Quelle: www.seef.reputelligence.com
Tabelle öffnen
3. Teil: „Social-Engineering-Angriffe im Training simulieren“

Social-Engineering-Angriffe im Training simulieren

Zu Trainingszwecken lassen sich Angriffe im Unternehmen simulieren. Da die Simulation möglichst realistisch sein soll, wird die Durchführung mit zunehmendem Schweregrad aber immer problematischer, auch wenn es sich nur um eine Übung handelt. Die Stufen 1 bis 3 stellen kaum ein Risiko dar und sind problemlos durchführbar, die Stufen 4 bis 6 bergen bereits ein erhöhtes Risiko und benötigen ein Risikomanagement. Die Stufen 7 bis 9 bezeichnen ein hohes Risiko und sollten aus ethischen Gründen (etwa Einsatz von Bestechung) gemieden werden.
  • Hohes Risiko: 19 Prozent der Sicherheitsvorfälle in Unternehmen gehen auf Social Engineering zurück.Hohes Risiko: 19 Prozent der Sicherheitsvorfälle in Unternehmen gehen auf Social Engineering zurück.Hohes Risiko: 19 Prozent der Sicherheitsvorfälle in Unternehmen gehen auf Social Engineering zurück.
     
    Hohes Risiko: 19 Prozent der Sicherheitsvorfälle in Unternehmen gehen auf Social Engineering zurück.
Die Stufen 10 bis 12 kommen schon aus gesetzlichen Gründen (Industriespionage oder Urkundenfälschung) nicht infrage. Es ist empfehlenswert, sich nur in Ausnahmefällen mit Vorhaben ab Stufe 7 zu befassen. Bei der Planung und Ausführung von Social-Engineering-Assessments wird zusammen mit dem Auftraggeber besprochen, welche Intensität gewählt werden soll.
Ein Beispiel: Der Auftrag lautet, die Sicherheit des physikalischen Zutritts zum Datacenter, Board Room oder zu anderen sensiblen Bereichen zu überprüfen. Dazu gibt es verschiedene Möglichkeiten, mit denen das vorgegebene Ziel erreicht werden kann:
  • Möglichkeit 1: Risikobeurteilung rein auf das Papier und die Pläne bezogen (innerhalb Stufe 1 bis 3, grün).
     
  • Möglichkeit 2: Vor-Ort-Einschätzung durch Gespräche, Interviews und Observationen (innerhalb Stufe 1 bis 3, grün).
     
  • Möglichkeit 3: Aktive Versuche, sich Zutritt zu verschaffen (nicht destruktiv). Tailgating – einschleichen mittels eines Mitarbeiters (innerhalb Stufe 4 bis 6, orange).
     
  • Möglichkeit 4: Aktive Versuche, sich Zutritt zu verschaffen (auch destruktiv). Manipulation von Schlössern, generischen Schlüsseln, Fenstereintritt (innerhalb Stufe 4 bis 6, orange).
Die kombinierten Elemente zeigen, wie Social Engineering professionell, international und auf höchster Stufe ausgeführt wird. Das Verständnis darüber, wie fortgeschritten Social Engineering ist, hilft den Sicherheitsverantwortlichen dabei, entsprechende Maßnahmen zu planen und umzusetzen.
4. Teil: „Awareness-Schulungen gegen Social-Engineering“

Awareness-Schulungen gegen Social-Engineering

Eine Awareness-Schulung teilt sich je nach Größe der Organisation in drei Schulungsstufen. Die erste Stufe bilden die Mitarbeiter. Die zweite Stufe umfasst das Management und andere Informations- oder Geheimnisträger wie Chief Information Security Officer oder IT-Sicherheitsbeauftragter. Die dritte Stufe ist die IT-Operation – auch wenn diese ausgelagert ist. Die Awareness-Schulung unterscheidet sich für jede Stufe, damit sie die indi­viduellen Bedürfnisse in der Bekämpfung von Social-Engineering-Attacken optimal abdeckt. Als Grundlage dienen entweder eine Schwachstellenanalyse (SE-Audit) oder definierte Kernelemente im Kontext der Organisation, zum Beispiel
  • 
    • Dominique C. Brack, Chief Information Security Officer und Leiter TCS Security Consulting des Schweizer IT-Dienstleisters SPIE ICSDominique C. Brack, Chief Information Security Officer und Leiter TCS Security Consulting des Schweizer IT-Dienstleisters SPIE ICSDominique C. Brack, Chief Information Security Officer und Leiter TCS Security Consulting des Schweizer IT-Dienstleisters SPIE ICS
       
      Der Autor Dominique C. Brack ist Chief Information Security Officer und Leiter TCS Security Consulting des Schweizer IT-Dienstleisters SPIE ICS.
    Öffentlicher beziehungsweise digitaler Abdruck der Organisation (Digital Footprint)
     
  • Elemente der physikalischen Sicherheit (Hochsicherheits- oder geheime Standorte)
     
  • Gefahr aus dem Inneren (Insider Threat), Personensicherheitsüberprüfungen, Strafregisterauszüge, Leumund, digitale Reputation, Überprüfen von Zeugnissen/Diplomen
     
  • Anfälligkeit für imitierte Telefonanrufe (Vishing), imitierte Repräsentation (Impersonation), gefälschte E-Mails (Phi­shing), E-Mail-Attachments (Malware), Geschenke wie CD oder Memory-Stick (Baiting)
     
  • Entsorgung digitaler und physikalischer Medien (Dumpster Diving)
     
  • Ist ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27002 vorhanden?
     
  • Öffentliche Profile von Key-Stakeholdern der Organisation (Spearfishing, Whaling)
Die Schulung richtet sich nach der Einstufung der Risiken, wobei der Fokus auf den größten Risiken liegt. Social Engineering nutzt hauptsächlich Zeitdruck, Hilfsbereitschaft oder Autorität aus.
Hilfreich ist erfahrungsgemäß die Institutionalisierung klarer Kommunikationsregeln und die Definition einer Eskala­tionsstelle – quasi ein digitaler Alarmknopf. Die Awareness-Schulung vermittelt den Mitarbeitern das richtige Verhalten und die zu kontaktierenden Stellen, falls ein Verdacht oder eine ungewohnte Situation eintritt.
Dasselbe gilt natürlich auch für das Management, das sensibilisiert werden muss und die Mitarbeiter ermuntern soll, sich bei einem Verdacht zu melden. Der Chief Information Security Officer (CISO) oder der IT-Sicherheitsbeauftragte muss die entsprechenden Richtlinien und Weisungen erstellen und Social Engineering als Risiko aufnehmen.

mehr zum Thema

WebGPU

Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte

Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen. >>
Roadmap

Estos bringt neue Services und Produkte

Estos-CEO Alexander Seyferth
Der Software-Hersteller feilt an seinem Partnerprogramm, hat Schlüsselpositionen neu besetzt und kündigt eine ganze Reihe neuer Produkte und Services an. Das ist die Estos-Roadmap bis Ende des Jahres. >>
World Cybercrime Index

Cybercrime konzentriert sich auf sechs Länder

China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend. Sie gehören zu den Top 10 in jeder der fünf untersuchten Kategorien. >>
Mit KI

Enreach Open Air Partner-Event 2024 in Dortmund

Ralf Ebbinghaus, Geschäftsführer von Enreach
Der Hersteller Enreach lädt Partner am 5. Juni an seinen Firmensitz ein, um mit Ihnen über smarte Sprachassistenten, Conversational AI und weitere Kommunikationslösungen zu diskutieren. >>