Risikofaktor Mensch: Die Kunst des Social Engineering

Mitnick fügt gleich hinzu, dass Social Engineering mit Hilfe von E-Mail oder Telefon viel leichter sei, als irgendeine löchrige Webapplikation anzugreifen oder eine Schwachstelle bei Windows auszunutzen. Die Kunst der Täuschung besteht nach Auffassung von Mitnick entgegen gängigen Klischees nicht in einer linearen Vorgehensweise, sprich nur einem Versuch, ein menschliches Leck im System aufzuspüren. Die wirklich professionellen Akteure spielen wie beim Poolbillard mehrmals über die Bande.

ÜBLICHE MASCHEN Die wichtigsten Tricks beim Social Engineering Passwortanfragen, mit dem Vorwand, dieses müsse preisgegeben, geändert oder neu eingerichtet werden User- oder Admin-Account generieren Preisgabe von Dial-in-Nummern oder Remote-Access-Points Phishing-Attacken mit vielfältigen Varianten Dumpster Diving: Papiermüll im öffentlich zugänglichen Containern kann wichtige Informationen beinhalten

Mitnick spielt einige Szenarien nach, läuft gestikulierend über die Bühne. Er zelebriert geduldig, wie ein gutes Dutzend Anrufe notwendig ist, um ans große Ziel zu gelangen. Es beginnt mit einem harmlosen Anruf beim Helpdesk, nach Auffassung des Experten die größte Schwachstelle, bei dem sich der Angreifer als ein Mitarbeiter „XY“ ausgibt. Danach geht es über diverse Stationen von der Fachabteilung weiter bis hin zur eigentlichen Zielscheibe, etwa einem Ingenieur, dessen Entwicklungs- und Produktwissen angezapft werden soll.

Die einmal identifizierten Träger von Know-how gilt es am Ende des Prozesses durch geschickte Täuschungsmanöver zur Preisgabe von Informationen zu verleiten, ausgestattet mit allerlei Vorwissen, um sich auf fachlich vermeintlich gleicher Augenhöhe an das Opfer heranzupirschen. Oftmals diene Social Engineering aber auch nur zur Vorbereitung und Identifikation des „Targets“, der Zielscheibe, um danach eine komplexere Attacke auf das IT-System zu starten.

In diesem Fall entfaltet erst die kombinierte Vorgehensweise durch das professionell durchgeführte Hacking ihr volles Potenzial. Derartige Szenarien entspringen keineswegs nur dem Reich der Fantasie. Vor kurzem meldete das Bundesamt für Verfassungsschutz, man habe in letzter Zeit verstärkt chinesische Hackerangriffe festgestellt.

Vor allem Russland und China betrieben laut BfV-Vizepräsident Hans Elmar Remberg in verstärktem Ausmaß aktive Wirtschaftsspionage in Deutschland. „Während die russischen Dienste noch primär mit klassischen Agenten arbeiten, sind die Chinesen nach unseren Erkenntnissen hauptsächlich auf dem elektronischen Sektor aktiv“, sagte Remberg gegenüber der Financial Times Deutschland.