Keine gläserne Firma

Große Sache, dringend und streng geheim: Der Auftrag der Chefin einer Münchner Großbäckerei verlangte die sofortige Überweisung von 1,9 Millionen Euro nach Hongkong. Buchhalterin und Hausbank kamen der Anweisung eifrig nach, sie überwiesen den Betrag noch am selben Tag – und beide landeten schließlich vor Gericht. Sie waren auf einen Trickbetrug hereingefallen, den CEO- Fraud – es gab überhaupt keinen Auftrag. Die Bank musste einen Teil des Schadens übernehmen, die allzu gutgläubige Buchhalterin war ihren Job los. Der Fall machte Schlagzeilen und zeigt sehr deutlich, wie Social Engineering funktioniert: Die Täter wissen bestens Bescheid über organisatorische Strukturen eines Unternehmens, sie wissen, wer für was zuständig ist, welche Prozesse eingerichtet sind, und sie wissen dann auch konkret, wo der CEO auf Geschäftsreise ist, und vielleicht auch in welchem Hotel er wohnt und wie seine Zimmernummer ist. Und um an solche nützlichen Informationen zu kommen, müssen sie weder Agenten ausschicken, noch Abhöranlagen installieren, sie können sich das alles nach und nach im Web zusammenklauben, bei Facebook, bei Linkedin, bei Xing und natürlich, das ist immer die ergiebigste Quelle, auf den eignen Webseiten des betroffenen Unternehmens.

Social Engineering gehört mittlerweile zu den wichtigsten und damit gefährlichsten Waffen bei Cyber-Angriffen. Gut geschützte Server lassen sich von außen kaum noch kompromittieren; umfangreiche Sicherheitsmaßnahmen und ein gestiegenes Sicherheitsbewusstsein haben Zugriffe ohne jede – bewusste oder unbewusste – Mitwirkung von Mitarbeitern erheblich erschwert. Rein technische Angriffe sind in der Regel deshalb nicht mehr erfolgreich. Umso interessanter ist es daher für Angreifer geworden, die Mitarbeiter in ihre Strategie miteinzubeziehen, ihre Aktivitäten zu missbrauchen, Identitäten zu fälschen und beispielsweise ausgespähte echte Passwörter und Zugangsberechtigungen zu nutzen. Es muss dabei nicht gleich um Millionen-Überweisungen gehen und meist wird auch nicht gleich nach Bank-PINs oder Kontonummern gefragt; dass die IT- Abteilung nicht nach Passwörtern fragt, hat sich herumgesprochen, hoffentlich jedenfalls.

Aber oft reicht es Angreifern schon, den User zu bewegen, einen Link anzuklicken oder einen Dateianhang mit einem vermeintlichen Software-Update zu öffnen, über den dann Schadsoftware geladen wird. Die gläserne Firma ist immer ein Risiko: Je mehr Informationen ein Angreifer über ein Unternehmen hat, desto wahrscheinlicher ist es, dass er seinen Angriff erfolgreich durchführen kann. Interessant sind dabei umfassende soziale Informationen über Mitarbeiter, über ihre Tätigkeit aber auch über ihr privates Leben. Die Social Media verleiten nicht nur Privatpersonen dazu, private Informationen von sich preiszugeben, auch Unternehmen versuchen oft, auf diese Weise ein vertrauenswürdiges, lockeres Bild von sich zu verbreiten. Offenheit und Transparenz sind nun mal positiv besetzte Begriffe. Da verraten dann Mitarbeiter oder auch Führungskräfte gern mal etwas über ihre Familie und ihre Hobbies, und übersehen dabei, dass sie so Angreifern in die Hände spielen: „Ich bin der Uwe und kenne den Max vom Eishockey, kannst du mir mal schnell seine Handynummer durchgeben, weil er seinen Schläger vergessen hat?“ Und manchmal reichen die Informationen auch aus, um ein unternehmens- und mitarbeiterspezifisches Wörterbuch zu erstellen, das dann für gezielte Wörterbuch-Angriffe auf Passwörter verwendet wird. Neben sozialen Informationen interessieren sich Angreifer aber auch für technische Informationen: Welche Systeme sind übers Web erreichbar? Welche Produkte werden eingesetzt? Werden vielleicht verwundbare Anwendungen verwendet? Welche technischen Ansprechpartner sind für welche Aufgaben zuständig? Mit solchen Informationen kann man Mitarbeiter gezielt angehen und ihnen beispielsweise vormachen, es gäbe Probleme mit einer bestimmten Version einer bestimmten Applikation. Je genauer der Angreifer über technische Einzelheiten Bescheid weiß, desto unwahrscheinlicher ist es, dass der Mitarbeiter Verdacht schöpft.

Das Gefährliche ist, dass Informationen verwendet werden, die frei verfügbar sind, es geht um passive Informationsgewinnung und die lässt sich nicht durch Monitoring erkennen: Sie unterscheidet sich nicht von der normalen Abfrage eines Interessenten und in der Masse der Anfragen schwimmt sie einfach mit. Es besteht keine Möglichkeit, verdächtige Abfragen zu identifizieren, weil die Abfragen per se gar nicht verdächtig sind. Umgekehrt gibt es durchaus Tools, die Angreifer beim Scannen von Informationen unterstützen, die gezielt Daten über Mitarbeiter aus den Webauftritten eines Unternehmens, zum Beispiel E-Mail-Adressen, extrahieren, die strukturelle Zusammenhänge ermitteln und gegebenenfalls auch grafisch darstellen – auf eine gewisse Usability legen heute auch Cyber-Kriminelle Wert. Profis in diesem Gewerbe erstellen langfristig spezielle Profile in den Sozialen Netzwerken, die nur den Zweck haben, Informationen über Zielpersonen abzuschöpfen.

Technische Vorkehrungen helfen gegen Social Engineering wenig, weil der Ansatz gerade nicht technischer Natur ist. Von größter Bedeutung ist Security Awareness, also ein Risikobewusstsein für diese Seite der IT- Security. Unternehmen müssen wissen, welche Informationen im Web zugänglich und damit für Social Engineering nutzbar sind. Und sie müssen ihren Status diesbezüglich regelmäßig überprüfen, am besten durch eine neutrale Instanz, die gerade nicht in die betrieblichen Abläufe eingebunden und damit womöglich abgestumpft ist. Das Fatale an Social Engineering: Es wurde auf diese Art der Angriffe in den letzten Jahren immer wieder hingewiesen und Benutzer wurden geschult, keine E-Mail-Anhänge von ungewisser Herkunft zu öffnen, nichts von dubiosen Websites herunterzuladen und Virenscanner immer aktuell zu halten. So wähnen sich die meisten gegenüber Social Engineering gewappnet: „Mir könnte das nie passieren“. Allerdings zeichnen sich professionelle Social-Engineering-Angriffe gerade durch einen hohen Personalisierungsgrad aus – es ist also unwahrscheinlich, dass „das“ noch einmal eintritt: Es wird vielmehr das passieren, womit man garantiert als Letztes rechnet. Es wird also nicht um die Geschäftsreise des CEO und eine Überweisung nach Hongkong gehen. Aber wer weiß, vielleicht gerade doch? Vorsicht bleibt also angebracht.