Risikofaktor Mensch: Die Kunst des Social Engineering

Die Biographie Kevin Mitnicks liest sich wie das Drehbuch zu einem Kinofilm. In einem ähnlichen Katz-und-Maus-Spiel mit dem Originaltitel „Catch me if you can“ brillierte Leonardo di Caprio neben vielen hübschen Stewardessen. Erfolgreiches Social Engineering entspricht ganz diesem Filmklischee.


Kevin Mitnick

Die Geschichte des Films beruht auf einer wahren Begebenheit in den sechziger Jahren.
Die Hauptfigur Frank Abagnale maskierte sich bereits als 19-Jähriger mit selbstbewusst zur Schau getragenem Ego, etwa als falscher Flugkapitän, ausgestattet mit einem ganzen Waffenarsenal gefälschter Identitäten bis hin zu Kreditkarten. Damit erschlich er sich geschickt das Vertrauen von Fluggesellschaften, Bank- und Hotelangestellten. Jahrelang wurde er erfolglos von den Strafverfolgungsbehörden gejagt, weil er sich geschickt tarnte. Nach Verhaftung und Gefängnisstrafe arbeitete er im späteren bürgerlichen Leben als Fälschungsexperte für Banknoten beim FBI.

Ziemlich ähnlich erging es Mitnick – er bezeichnet seine Biographie als „Catch me if you can“ des Cyberspace. Mitte der neunziger Jahre war er der meistgesuchte Computerhacker. Nach einer mehrjährigen Gefängnisstrafe, bei der er sich als ausgewähltes Opfer einer Medienkampagne sowie der rigiden US-amerikanischen Rechtssprechung ansah, brilliert er heute mit Krawatte und Anzug. Der Berater gibt Tipps für probate Schutzmaßnahmen in der IT. Er ist korrekt gekleidet und gefragter Gastredner auf Kongressen.

Bald will er in seiner Autobiographie eine andere Sicht des Katz-und-Maus-Spiels in der IT-Sicherheit darlegen. Zum ersten Mal präsentierte sich Mitnick im Februar anlässlich der IT-Defense dem deutschen Publikum.

Offenbar sind seine Ratschläge auch hierzulande gefragt. Selten musste ein Referent auf einem Security-Kongress so vielen Autogrammwünschen nachkommen. Ein Grund dafür dürfte sein, dass Mitnick nicht wie einige andere IT-Ikonen aus der Pionierzeit des Hackings von seinem verblassten Stern lebt. Hinzu kommt, dass Social Engineering aktueller denn je ist, obwohl ein Großteil der IT-Professionals das Thema eigentlich in all seinen Spielvarianten zu kennen glaubt.

Bis heute hat Mitnick jedenfalls nichts eingebüßt von seinen kreativen Fertigkeiten. Und er lässt auf der IT-Defense mit einigen simplen Demonstrationen sein altes Können aufblitzen, etwa mit einem Live-Anruf bei der Telefonhotline des Weißen Hauses oder der Citibank. Sein Repertoire ist immer noch vielfältig, etwa mittels Caller-ID-Spoofing oder mit Voice-over-IP-Raffinessen. Er versucht, durch menschliche Verführung an relevante Daten und Informationen zu gelangen.

Nur setzt Mitnick sein Wissen heute nicht mehr als Egoshooter für das eigene Privatvergnügen ein, oder um Anerkennung in der Hacker-Community zu erheischen, sondern praktiziert seine Techniken bloß zur Demonstration. „Social Engineering kostet nichts und überwindet alle technologischen Barrieren, weil es geschickt das Vertrauen und die Neugier der Menschen ausnutzt“, definiert der Experte.

Page: 1 2 3 4 5 6

ZDNet.de Redaktion

Recent Posts

Gefahren im Foxit PDF-Reader

Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.

1 Tag ago

Bitdefender entdeckt Sicherheitslücken in Überwachungskameras

Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.

1 Tag ago

Top-Malware in Deutschland: CloudEye zurück an der Spitze

Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…

1 Tag ago

Podcast: „Die Zero Trust-Architektur ist gekommen, um zu bleiben“

Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…

2 Tagen ago

Google schließt weitere Zero-Day-Lücke in Chrome

Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…

2 Tagen ago

Hacker greifen Zero-Day-Lücke in Windows mit Banking-Trojaner QakBot an

Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…

2 Tagen ago