Sie befinden sich hier:  > Dienstleistungen > Social Engineering

• Referenten für Schulungen
• IT-Sicherheit
• Social Engineering
• Kryptographie
• politische Bildung

Human Based Social Engineering

Das »richtige« Social-Engineering, Human Based Social Engineering genannt, setzt zum Großteil auf soziale Beziehungen als Angriffsvektor.

Zuerst benötigt der Angreifer möglichst viele Informationen über die anzugreifende Organisation. Diese kann er aus freien Informationen, wie bspw. der Webseite oder Werbebroschüren, zusammensammeln und sich so ein Bild machen. Man kann auch den Müll durchwühlen und so an relevante Daten kommen. Außerdem können gewieftere Angreifer über Email oder Telefon Kontakte zu Mitarbeitern herstellen und sich als jemand anderes ausgeben. Als ein Kunde oder Vorgesetzter bspw., der dringend irgendwelche Informationen braucht. Mit diesen kann er dann andere Opfer beeindrucken oder einwickeln. Vorsicht ist daher mit der Freigabe von Informationen geboten, auch solchen, die auf den ersten Blick unverfänglich erscheinen. So mag es für die Mitarbeiter nützlich sein, das alle Mitarbeiter des Rechenzentrums inklusive Telefonnummer, Emailadresse, Aufgabengebiet und Foto auf einer Webseite aufgeführt werden. Wird diese Seite jedoch weltweit freigegeben, kann sich ein Angreifer sehr nützliche Informationen über die Struktur des Rechenzentrums beschaffen. So kann er anderen Mitarbeitern am Telefon bspw. intime Kenntnisse des Betriebs vorgaukeln oder schneller Kontakte knüpfen. Weiß der Angreifer bspw. das ein Mitarbeiter Pferdenarr ist, kann er Termindruck vortäuschen, weil sein eigenes Pferd dringendst zum Tierarzt muss. Das Opfer der Attacke wird als Pferdefreund sofort Sympathie für den Angreifer empfinden und versuchen ihm zu helfen.

Dieses Sympathie-Aufbauen lässt sich auf verschiedenen Wegen durchführen, bspw. mit der Verbrüderung von Opfern, indem man einen gemeinsamen Gegner vorgibt: »Die im Rechenzentrum haben wieder mal den Server abstürzen lassen ...« oder »Das dumme Word hat mal wieder die Datei zerstört ...« führen in der Regel zur Solidarität des Opfers - und damit möglicherweise zur Herausgabe der Daten.

Andere Maschen sind Vorspiegelung von Autorität, was insbesondere in strengen Hierarchien wie Polizei, Armee oder Feuerwehr sehr gut funktioniert. Selbst jemand der nur Grundwehrdienst geleistet hat, kann mit etwas Geschick und Witz als Offizier auftreten und eine Dienststelle auseinandernehmen. Wer das nicht glaubt, sollte einmal die Abenteuer des Gefreiten Asch in 08/15 nachlesen oder den Hauptmann von Köpenick anschauen. Aber auch in normalen Unternehmen gibt es Hierarchien, die sich ausnutzen lassen, so kann sich der Angreifer als wichtiger Kunde oder hoher Verantwortlicher einer anderen Filiale ausgeben. Unter Aufbau einer passenden Drohkulisse - »Wenn wir ihretwegen den Kunden verlieren, dann ...!«, »Es kann ja wohl nicht sein, das Sie Ihren Laden nicht beisammen haben und mir die Akten nicht geben wollen!« oder »Wenn das Dr. Müller-Lüdenscheid bei unserem nächsten Golfturnier erfährt, wird er bestimmt sehr sauer sein!« - kann man hier Mitarbeiter zur Herausgabe von Daten bewegen.

Gerade bei Telefonaten muss der Angreifer über rhetorisches Geschick und Intelligenz verfügen. Man muss das Opfer in ein Gespräch verwickeln und eher nebenher nach den wichtigen Informationen fragen. Es ist außerdem auch von Vorteil, den Kontakt nicht abreißen zu lassen. So kann man als geplagter Pferdefreund aus dem obigen Beispiel ja man nach zwei Wochen wieder beim Opfer anrufen und freudestrahlend von der Genesung des Gauls berichten - dies führt zu einer Festigung der Beziehung.

Gegenmaßnahmen

Es gibt keine technischen Mittel gegen Social-Engineering, da das Angriffsziel nunmal ein Soziales ist.

Gegen soziale Attacken können soziale Maßnahmen helfen. Dies beinhaltet Verträge, Richtlinien, Gebote, Verbote und andere Maßnahmen. So kann man bspw. festlegen das am Telefon niemals das Rechenzentrum nach einem Benutzerpasswort fragen wird und Benutzer daher niemals ihr Passwort herausgeben sollen.

Das wichtigste Instrument im Kampf gegen soziale Angriffe ist Wissen - nur wenn der Mitarbeiterweiß, das es Social-Engineering gibt und das Bösewichte so etwas ausnutzen können, wird er sich Gedanken zum Thema machen. Außerdem ist es wichtig zu wissen, das auch scheinbar harmlose Informationen zu Sicherheitslücken führen können. Schulen Sie alle Mitarbeiter zu diesem Thema. Je höher die Stellung und die Sicherheitsstufe des Mitarbeiters ist, desto intensiver muss die Schulung sein. Und vergessen Sie dabei die Sekretärinnen und Assistenten nicht! Diese verfügen in der Regel über umfangreiches Wissen, werden meist aber von den »Führungskräften« ignoriert.

Grenzen Sie die Anzahl der Geheimnisträger ein. Informationen die ich nicht habe, kann ich nicht weitergeben.

Vernichten Sie Daten sicher, auch offenbar harmlose Datenträger oder Akten können einem Angreifer wertvolle Informationen liefern. Mehr dazu finden Sie in meinem Artikel zum sicheren Datenlöschen.

Etablieren Sie in Ihrer Organisation ein Sicherheitsbewußtsein. Machen Sie Ihren Mitarbeitern klar, das es Angriffe gegen die IT und gegen die Mitarbeiter selbst geben wird. Erläutern Sie die möglichen Angriffswege und -taktiken und bereiten Sie Ihre Mitarbeiter darauf vor. Etablieren Sie entsprechende Meldewege. Sorgen Sie auch dafür, das nicht authentifizierte Anrufer keine Daten oder Informationen am Telefon bekommen. Und sichern Sie Ihre Mitarbeiter gegen die Vorgesetzten ab. Wenn ein Mitarbeiter dafür bestraft wird, am Telefon keine Daten herausgerückt zu haben, brauchen Sie nicht einmal mehr davon träumen, Ihre Organisation abzusichern! Sorgen Sie dafür, das Sicherheitsbewußtsein ein Teil der Firmenkultur wird. Dies funktioniert nicht nur über das Rechenzentrum, sondern muss von jeder Abteilung - inklusive den Vorgesetzten - mitgetragen werden. Viele Manager verstehen die technischen Details oder Hintergründe nicht. Wenn das der Fall ist, argumentieren Sie nicht mit der Technik, sondern mit einer Sprache, die sogar Manager verstehen: € € € Zeigen Sie an einem Beispiel was es das Unternehmen kosten kann, wenn ein Konkurrent an bestimmte Daten kommt. 

Aufbau einer Security-Awareness-Kampagne 

Eine Kampagne besteht in der Regel immer aus verschiedenen Modulen. Diese müssen an die jeweilige Situation und Organisation angepasst werden. Auf dieser Seite möchte ich die Module kurz vorstellen.

Vorbesprechung

Die Vorbesprechung dient dazu, den organisatorischen Rahmen der Kampagne abzustecken. Gemeinsam mit den Verantwortlichen der Organisation legen wir den Zeit- und Interventionsrahmen fest.

Penetration-Testing und Organisationsanalyse

Unter Penetration-Testing versteht man einen Einbruchsversuch in ein Netzwerk. Dabei versucht der Sicherheitsanalyst mit den Mitteln eines Einbrechers in ein Netzwerk einzudringen. Dies dient zum Einen dazu, das Netzwerk und damit auch die Organisationsstruktur aufzuklären. Zum Anderen wird versucht, der technische Stand der Organisation aufzuklären.

Die Organisationsanalyse ist eine systematische und wissenschaftlich fundierte Beschreibung und Erklärung des Verhaltens von Organisationsmitgliedern. Ziel ist es, herauszufinden welche Wechselwirkungen (Ursache/Wirkung) zwischen der Organisation und Mitgliedern bestehen. Dabei konzentriere ich mich nicht auf Organigramme oder eine offizielle Struktur. Jede Organisation verfügt über eine inoffizielle Hierarchie, die in den seltensten Fällen der offiziellen entspricht. Versteht man eine Organisation als Kultur, bekommt Kommunikation eine zentrale Bedeutung. Daher ist es notwendig, die Kommunikationsregeln und -strukturen zu verstehen. ^{tlw. nach}

Qualifikationsanforderungen und Kompetenzprofile

Jedes Mitglied einer Organisation sollte bestimmte Fähigkeiten, Fertigkeiten und Kenntnisse bzw. Kompetenzen besitzen. Durch eine Security-Awareness-Kampagne wird die die Unternehmenskultur und das Kompetenzprofil verändert. Daher ist es notwendig, die neuen bzw. veränderten Anforderungen und Kompetenzen zu identifizieren und passende Personalentwicklungsmaßnahmen durchzuführen.

Intervention, Kompetenzentwicklung und Lerntransfer 

Anhand der Organisationanalyse und der Kompetenzprofile werden verschiedene Weiterbildungsmaßnahmen durchgeführt, in denen die Handlungskompetenzen der Mitarbeiter weiterentwickelt werden. Dies stellt den eigentlichen Kern der Security-Awareness-Kampagne dar und ist für jede Kampagne bzw. Organisation neu zu entwickeln.

Wissensmanagement 

Wissensmanagement ist ein zentraler Bestandteil einer Security-Awareness-Kampagne. Es dient dazu, die Veränderung der Organisationskultur zu tragen Es dient dazu, die Veränderung der Organisationskultur zu tragen. Dazu müssen notwendige Daten und Informationen den Organisationsangehörigen zugänglich gemacht werden. Dazu müssen notwendige Daten und Informationen den Organisationsangehörigen zugänglich gemacht werden. Sollen beispielsweise die Computernutzer sichere Passwörter verwenden, muss ihnen eklärt werden, was denn ein sicheres Passwort überhaupt ist und wie das Passwort im Betriebssystem geändert werden kann.

Dazu gibt es verschiedene Ansätze und Methoden, vom Plakat über Wikis hin zu Podcasts/Videocasts. Jeder Ansatz hat seine Vor- und Nachteile und muss in die entsprechende Situation eingepasst werden. Dazu setze ich verschiedene Werkzeuge und Methoden aus der Pädagogischen Psychologie und dem Wissensmanagement ein.

Weiterhin befasst sich das Wissensmanagement auch damit, neues Wissen zu generieren. Dies ist insbesondere für Sicherheitsverantwortliche notwendig, die so spezielle Bedrohungsszenarien entwickeln können. Daher gehört zur Security-Awareness-Kampagne der Bereich Idea Engineering.

Evaluation

»Evaluation meint: das methodische Erfassen und das begründete Bewerten von Prozessen und Ergebnissen zum besseren Verstehen und Gestalten einer Praxis-Maßnahme im Bildungsbereich durch Wirkungskontrolle, Steuerung und Reflexion. ^Quelle«

Die Evaluation der Personalentwicklungsmaßnahmen dient dazu, ihren Erfolg zu überprüfen. Eine Security-Awareness-Kampagne kann nur dann sinnvoll sein, wenn ihre Ergebnisse überprüft und bewertet werden. Darauf aufbauend, können weitere Problembereiche und entsprechende Gegenmaßnahmen identifiziert werden.

Aufgabe der Evaluation ist es, den erreichten Ist-Zustand in der Organisation mit dem gewünschten Soll-Zustand zu vergleichen. Dazu ist ein Maßstab notwendig, der den Soll-Zustand explizit und genau beschreibt. Der Ist-Zustand wird über eine erneute Organisationsanalyse erhoben und analysiert.

Schulungen für Systemadministratoren und Sicherheitsverantwortliche 

Ziel meiner Beratung ist es nicht nur ein Problem zu lösen, also bspw. eine Security-Awareness-Kampagne umzusetzen. Vielmehr gehört zu der Kampagne auch die Schulung der Sicherheitsverantwortlichen und Systemadministratoren. Diese müssen in der Lage sein, die Kampagne weiterzuführen und die (neue) Sicherheitskultur auszubauen und zu pflegen. Die Kampagne umfasst daher auch eine »Meta-Ebene«, in der pädagogische und psychologische Themen behandelt werden.