Risikofaktor Mensch: Die Kunst des Social Engineering

Die Basis für eine erfolgreich lancierte Wirtschaftsspionage bildet oftmals Social Engineering - das Ausnützen von menschlichen Schwachstellen im Unternehmen. Keiner hat sich damit mehr beschäftigt als der berüchtigte Ex-Hacker Kevin Mitnick.

Die Biographie Kevin Mitnicks^[1] liest sich wie das Drehbuch zu einem Kinofilm. In einem ähnlichen Katz-und-Maus-Spiel mit dem Originaltitel "Catch me if you can^[2]" brillierte Leonardo di Caprio neben vielen hübschen Stewardessen. Erfolgreiches Social Engineering entspricht ganz diesem Filmklischee.

Kevin Mitnick

Die Geschichte des Films beruht auf einer wahren Begebenheit in den sechziger Jahren. Die Hauptfigur Frank Abagnale maskierte sich bereits als 19-Jähriger mit selbstbewusst zur Schau getragenem Ego, etwa als falscher Flugkapitän, ausgestattet mit einem ganzen Waffenarsenal gefälschter Identitäten bis hin zu Kreditkarten. Damit erschlich er sich geschickt das Vertrauen von Fluggesellschaften, Bank- und Hotelangestellten. Jahrelang wurde er erfolglos von den Strafverfolgungsbehörden gejagt, weil er sich geschickt tarnte. Nach Verhaftung und Gefängnisstrafe arbeitete er im späteren bürgerlichen Leben als Fälschungsexperte für Banknoten beim FBI.

Ziemlich ähnlich erging es Mitnick - er bezeichnet seine Biographie als "Catch me if you can" des Cyberspace. Mitte der neunziger Jahre war er der meistgesuchte Computerhacker. Nach einer mehrjährigen Gefängnisstrafe, bei der er sich als ausgewähltes Opfer einer Medienkampagne sowie der rigiden US-amerikanischen Rechtssprechung ansah, brilliert er heute mit Krawatte und Anzug. Der Berater gibt Tipps für probate Schutzmaßnahmen in der IT. Er ist korrekt gekleidet und gefragter Gastredner auf Kongressen.

Bald will er in seiner Autobiographie eine andere Sicht des Katz-und-Maus-Spiels in der IT-Sicherheit darlegen. Zum ersten Mal präsentierte sich Mitnick im Februar anlässlich der IT-Defense^[3] dem deutschen Publikum.

Offenbar sind seine Ratschläge auch hierzulande gefragt. Selten musste ein Referent auf einem Security-Kongress so vielen Autogrammwünschen nachkommen. Ein Grund dafür dürfte sein, dass Mitnick nicht wie einige andere IT-Ikonen aus der Pionierzeit des Hackings von seinem verblassten Stern lebt. Hinzu kommt, dass Social Engineering aktueller denn je ist, obwohl ein Großteil der IT-Professionals das Thema eigentlich in all seinen Spielvarianten zu kennen glaubt.

Bis heute hat Mitnick jedenfalls nichts eingebüßt von seinen kreativen Fertigkeiten. Und er lässt auf der IT-Defense mit einigen simplen Demonstrationen sein altes Können aufblitzen, etwa mit einem Live-Anruf bei der Telefonhotline des Weißen Hauses oder der Citibank. Sein Repertoire ist immer noch vielfältig, etwa mittels Caller-ID-Spoofing oder mit Voice-over-IP-Raffinessen. Er versucht, durch menschliche Verführung an relevante Daten und Informationen zu gelangen.

Nur setzt Mitnick sein Wissen heute nicht mehr als Egoshooter für das eigene Privatvergnügen ein, oder um Anerkennung in der Hacker-Community zu erheischen, sondern praktiziert seine Techniken bloß zur Demonstration. "Social Engineering kostet nichts und überwindet alle technologischen Barrieren, weil es geschickt das Vertrauen und die Neugier der Menschen ausnutzt", definiert der Experte. Mitnick fügt gleich hinzu, dass Social Engineering mit Hilfe von E-Mail oder Telefon viel leichter sei, als irgendeine löchrige Webapplikation anzugreifen oder eine Schwachstelle bei Windows auszunutzen. Die Kunst der Täuschung besteht nach Auffassung von Mitnick entgegen gängigen Klischees nicht in einer linearen Vorgehensweise, sprich nur einem Versuch, ein menschliches Leck im System aufzuspüren. Die wirklich professionellen Akteure spielen wie beim Poolbillard mehrmals über die Bande.

ÜBLICHE MASCHEN Die wichtigsten Tricks beim Social Engineering Passwortanfragen, mit dem Vorwand, dieses müsse preisgegeben, geändert oder neu eingerichtet werden User- oder Admin-Account generieren Preisgabe von Dial-in-Nummern oder Remote-Access-Points Phishing-Attacken mit vielfältigen Varianten Dumpster Diving: Papiermüll im öffentlich zugänglichen Containern kann wichtige Informationen beinhalten

Mitnick spielt einige Szenarien nach, läuft gestikulierend über die Bühne. Er zelebriert geduldig, wie ein gutes Dutzend Anrufe notwendig ist, um ans große Ziel zu gelangen. Es beginnt mit einem harmlosen Anruf beim Helpdesk, nach Auffassung des Experten die größte Schwachstelle, bei dem sich der Angreifer als ein Mitarbeiter "XY" ausgibt. Danach geht es über diverse Stationen von der Fachabteilung weiter bis hin zur eigentlichen Zielscheibe, etwa einem Ingenieur, dessen Entwicklungs- und Produktwissen angezapft werden soll.

Die einmal identifizierten Träger von Know-how gilt es am Ende des Prozesses durch geschickte Täuschungsmanöver zur Preisgabe von Informationen zu verleiten, ausgestattet mit allerlei Vorwissen, um sich auf fachlich vermeintlich gleicher Augenhöhe an das Opfer heranzupirschen. Oftmals diene Social Engineering aber auch nur zur Vorbereitung und Identifikation des "Targets", der Zielscheibe, um danach eine komplexere Attacke auf das IT-System zu starten.

In diesem Fall entfaltet erst die kombinierte Vorgehensweise durch das professionell durchgeführte Hacking ihr volles Potenzial. Derartige Szenarien entspringen keineswegs nur dem Reich der Fantasie. Vor kurzem meldete das Bundesamt für Verfassungsschutz, man habe in letzter Zeit verstärkt chinesische Hackerangriffe festgestellt.

Vor allem Russland und China betrieben laut BfV-Vizepräsident Hans Elmar Remberg in verstärktem Ausmaß aktive Wirtschaftsspionage in Deutschland. "Während die russischen Dienste noch primär mit klassischen Agenten arbeiten, sind die Chinesen nach unseren Erkenntnissen hauptsächlich auf dem elektronischen Sektor aktiv", sagte Remberg gegenüber der Financial Times Deutschland^[5]. Von Industriespionage betroffen sind nach Angaben der Arbeitsgemeinschaft für Sicherheit der Wirtschaft (ASW) mittlerweile Unternehmen aller Branchen, die Hochtechnologie entwickeln oder vertreiben. Dazu kämen kleine und mittlere Firmen, die Spezialprodukte herstellen.

Längst ist das Phänomen der Produktpiraterie deshalb nicht mehr auf gefälschte Luxus- oder Konsumgüter begrenzt. Experten des Verbands Deutscher Maschinen- und Anlagenbau (VDMA) schätzen den jährlichen Umsatzverlust für ein Industrieunternehmen durchschnittlicher Größe auf drei bis fünf Prozent. Rechtliche und organisatorische Maßnahmen zum Schutz der eigenen Marke verpuffen angesichts der Übermacht der Angreifer zum machtlosen Potenzgehabe.

Das größte Risiko kommt oftmals aus der Mitte des Unternehmens selbst – nämlich Tätern, die von innen heraus agieren. Hierzu gibt es keine verlässlichen Zahlen. Zahlreiche Studien, wie eine kürzlich vom Sicherheitsspezialisten McAfee durchgeführte Analyse^[6], zeigen aber, dass europäische Unternehmen die Sicherheit ihrer Geschäftsdaten zunehmend von innen heraus aufs Spiel setzen. Immer häufiger seien Mitarbeiter die Ursache dafür, dass besonders wertvolle und vertrauliche Unternehmensinformationen ungeschützt dem Zugriff durch Unbefugte ausgesetzt sind.

Nach Auffassung von McAfee bleiben Investitionen in Lösungen zum Schutz von Geschäftsdaten vor externen Bedrohungen und Hacker-Attacken deshalb häufig unwirksam, weil eine vollständige Kommunikation der internen Sicherheitsvorgaben nicht gelinge und sich Mitarbeiter allzu sorglos verhielten.

Eigentlich sind all diese Tricks um an vertrauliche Daten zu gelangen schon seit Jahren bekannt. Das weiß auch Mitnick. Warum funktionieren sie immer noch? Der Berater hat darauf eine plausible Antwort: "Gerade bei Spezialisten existiert ein verhängnisvoller Glaube an die Immunität und Unverwundbarkeit gegenüber dem Social Engineering." Berichte zeigen, dass auch gut ausgebildete und wachsame IT-Professionals schon Opfer von Phishing-Attacken auf ihre Online-Banking-Daten geworden sind.

Mitarbeiter sind das größte Kapital, das gezielte Ausnutzen menschlicher Sicherheitslücken - Social Engineering - birgt aber für die "Kronjuwelen" des Unternehmens gleichzeitig das größte unternehmerische Risiko. Patentrezepte dagegen gibt es keine. Unternehmen sind gefordert, die Ursachen zu erkennen und durch geeignete Maßnahmen dagegen zu steuern. Zum einen sind klare Kommunikationsregeln gefragt. Mitnick empfiehlt den Unternehmen, ihren freundlichen Helpdesk-Mitarbeitern auch mal ein klares Nein beziehungsweise eine Absage mit auf den Weg zu geben, wenn eine Anfrage ein auffälliges Verhaltensmuster aufweise oder nicht den internen Richtlinien entspreche. Pauschale Freundlichkeit sei nur dann ein Dienst am Kunden, wenn dieser auch tatsächlich anfrage und nicht ein vermeintlicher Angreifer, der auch noch zuvorkommend bedient werde.

HUMAN FIREWALL Die größten Löcher in der 'menschlichen Firewall' sind… der Glaube an die eigene Unverwundbarkeit. Gerade in Kreisen von Fachexperten oder IT-Professionals ist er immer wieder anzutreffen. die natürliche Tendenz anderen Personen erst einmal blindes Vertrauen entgegen zu bringen. die Wahrnehmung, dass die Befolgung von Sicherheitsrichtlinien reine Zeitverschwendung darstellt. die Veranlagung, den wahren Wert von Informationen zu unterschätzen. der Wunsch, anderen zu helfen. die Tendenz, die Konsequenzen des eigenen Tuns nicht überblicken zu können.

Als die vier wichtigsten Ursachen, die dem Social Engineering von innen heraus den Boden bereiten, gelten schlechtes Betriebsklima, keine Karrierechancen, Lohndumping sowie mangelnde Fort- und Weiterbildungskonzepte. Parallel dazu findet überdurchschnittlicher Einsatz unten von ganz oben nur entsprechend wenig Widerhall und Lob. Und genau an dieser Schnittstelle setzen Plagiatoren mit Hilfe von Social-Engineering-Techniken an.

Der spektakulärste Fall ereignete sich im Februar 2005. Eine chinesische Studentin nahm ihr Praktikum beim französischen Automobilzulieferer Valeo auf. Li-Li W. war auffallend oft mit einem privaten Notebook anzutreffen. Bei einer Wohnungsdurchsuchung stießen die Ermittler auf mehrere Computer mit vertraulichen Daten.

Ähnliche Fälle lassen sich auf den Internetseiten der Landesämter für Verfassungsschutz^[7] nachvollziehen. Erst vor wenigen Wochen berichtete ein Hamburger Unternehmen, wie einige chinesische Praktikanten am Kopierer dabei ertappt wurden, wie sie nach Dienstschluss, quasi im Kerzenschein, Hunderte Seiten betriebsinternes Know-how kopierten. Diese schickten sie auf Firmenkosten säuberlich verpackt an ihr chinesisches Heimatunternehmen.

Den Raubkopierern und Wirtschaftsspionen allein mit den Mitteln der Strafverfolgung zu begegnen, läuft ins Leere. Zumal es auf der anderen Seite an jeglichem Unrechtsbewusstsein fehlt. Auch der moralische Fingerzeig auf China hilft wenig weiter, denn es gibt genug andere Staaten - auch aus den Reihen der High-Tech-Industrieländer -, die es dem Reich der Mitte gleichtun.

Als eine probate Gegenmaßnahme gegen Industrie- und Wirtschaftsspionage empfiehlt Mitnick, an zentralen Stellen anzusetzen, etwa der Verschlüsselung von Daten. Dort sei mindestens das so genannte Vier-Augen-Prinzip^[8] strikt zu beachten, statt profundes Geheimwissen nur auf eine Schulter zu verteilen.

Versagt im Unternehmen die menschliche Firewall gänzlich, sind statt hektischer Betriebsamkeit Lösungen gefragt. Für Sicherheitsexperten zaubert schon die erste Analyse überraschende Erkenntnisse hervor, etwa wenn der Geschäftspartner im Ausland mit automatischen Zugriffsrechten auf sensible Informationsbestände ausgestattet ist. Hat der Vorstand darüber Kenntnis, ob ein Fileserver mit sensiblen Powerpoint- und Excel-Dateien als geheim klassifiziert ist oder nicht? Selbst probate Schutzmaßnahmen bleiben wirkungslos, wenn Angreifer in sensiblen Zonen wie Business-Hotels oder Flughäfen illegalen Zutritt ins Computernetzwerk erhalten oder mobile Endgeräte keinen hinreichenden Schutz bieten.

Attacken aus der Mitte des Unternehmens allein mit einer groß angelegten Blockade der Kommunikationskanäle zu begegnen, greift zu kurz. Es gilt das Schutzniveau pragmatisch festzulegen und kontinuierlich zu verbessern, anstatt alle erdenklichen Horrorszenarien künstlich hochzurechnen oder den Hebel an der falschen Stelle anzusetzen.

Bei der Klassifizierung schützenswerter Bestände sind die jeweiligen Produktverantwortlichen und Fachabteilungen einzubeziehen. Technisch gesehen sollten alle sensiblen Geschäftsprozesse an erprobte Standardmaßnahmen in der IT angepasst sein, wie die eindeutig geregelte Passwortvergabe, die Verschlüsselung sensibler Daten oder transparente Berechtigungskonzepte. Jeder Mitarbeiter sollte nur Zugriff auf die für seine Aufgabe relevanten Daten und Informationen erhalten. Allerdings schützt dies nicht vor "Datenklau" durch autorisierte Personen. Deshalb könnte künftig ein weiterer Baustein zur IT-Sicherheit einen Beitrag zur technischen Absicherung leisten. Analog zur Intrusion Detection beziehungsweise Prevention, die das Netzwerk von außen nach innen absichern, agiert ein automatischer Schutzriegel von innen nach außen.

WAS HILFT? Schutzmaßnahmen gegen Social Engineering sensible Daten klassifizieren sowie Prozeduren, Policies und Prozesse abstimmen die Mitarbeiter konsequent instruieren und weiterbilden das Bewusstsein in praktischen Trainings wie "Social Penetration Testing" erhöhen Varianten des Social Engineerings in akute Maßnahmenpläne integrieren

Mit dieser als Extrusion Prevention Systeme bezeichneten Softwarelösungen lassen sich zum einen Datenströme im Netzwerk kontrollieren, zum anderen auf der Ebene des Anwenders. Entsprechende Programme sollten auf allen PCs und Endgeräten installiert sein.

Ein effizientes, softwarebasiertes IT-Management, als Information Leakage Management bezeichnet, zielt darauf ab, die Mehrzahl der potenziell wichtigen Informationslecks zu stopfen. Bei der hostbasierten Extrusion Prevention regelt ein Softwareagent den Zutritt auf sensible Daten - und erkennt jeden illegalen Zugriff darauf, egal ob per E-Mail oder mit Hilfe eines externen Speichergeräts.

Das Ziel ist aber nicht, das Unternehmen in einen Überwachungsstaat zu verwandeln. Information Leakage Management sollte ausschließlich auf die Absicherung des firmeninternen Know-hows ausgerichtet sein. Die Lösung sollte die Mitarbeiter deshalb weder in ihren produktiven Arbeitsabläufen noch in ihren individuellen Freiräumen am Arbeitsplatz behindern. Aber auch das reicht im Zweifelsfall nicht aus, da jedes System nur so sicher ist wie die schwächste Stelle. Deshalb müsste der Schutz vor Raubkopien und illegalem Re-Engineering^[9] unmittelbar in der Entwicklung und Produktion beginnen.

Eine vielseitige Armada aus der IT, bestehend aus Hologrammen, Mikropartikeln, molekularen Markierungssystemen, produktindividuellen Buchstaben-Zahlen-Kombinationen, Funkchips oder zusätzlichen Hardwarebausteinen, ohne die ein Produkt gar nicht mehr benutzbar wäre, könnte den Produktpiraten die Arbeit künftig erschweren. Dieser technische Plagiatschutz am Beginn des Prozess-Know-hows steckt aber noch in den Kinderschuhen.

URLs in diesem Artikel:
[1] = http://de.wikipedia.org/wiki/Kevin_Mitnick
[2] = http://de.wikipedia.org/wiki/Catch_Me_If_You_Can
[3] = http://www.it-defense.de
[4] = http://www.zdnet.de/galerie/39152171/bildergalerie-kevin-mitnick-social-engineering-risikofaktor-mensch.htm#sid=39152145
[5] = http://www.ftd.de
[6] = http://www.harvard.de/index.php?option=com_content&task=view&id=1068&Itemid=1
[7] = http://www.verfassungsschutz-bw.de/aktuell/start_aktuell.htm
[8] = http://de.wikipedia.org/wiki/Vier-Augen-Prinzip
[9] = http://de.wikipedia.org/wiki/Re-Engineering