Der Mensch als Schwachstelle im System

Phishing und Spear Phishing: Wie Hacker mit Social Engineering menschliche Schwächen ausnutzen

Datum
30. September 2016
Autor

Zusammenfassung

Die Hardware ist auf dem neuesten Stand. Sie aktualisieren alle Programme laufend. Ihre Daten und Informationen sind so sicher geschützt wie die amerikanischen Goldreserven in Fort Knox. Wunderbar. Aber haben Sie auch an das schwächste Glied der Kette gedacht?

Technische und menschliche Schwächen

In einem Interview mit der „Computerwoche“ verriet Kevin Mitnick vor zwei Jahren, dass er bei seinen Hacks technische Schwachstellen und den Faktor Mensch ausgenutzt habe. Mitnick, der in den 1990er-Jahren vom FBI zum „meistgesuchten Hacker der Welt“ erklärt worden war, verschaffte sich so Zugang zu sensiblen Unterlagen, Quellcodes und Datenbanken. Die Technik, die er angewandt hatte, nennt sich Social Engineering, was auf Deutsch angewandte Sozialwissenschaft heisst oder, in diesem Fall wohl treffender, soziale Manipulation.

Das Schema funktioniert seit 30 Jahren

Mitnick ging immer gleich vor. Er suchte Schwachstellen in Programmen und entwickelte Malware, die solche Lücken ausnutzte. Dann rief er Mitarbeitende in Firmen oder Verwaltungen an oder schrieb eine E-Mail und forderte sie auf, auf einen Link zu klicken. Nach dem Klick öffnete das Schadprogramm die Hintertüre zum Programm und nistete sich im Computer ein. Von diesem Moment an hatte Mitnick die volle Kontrolle. Das Schema funktioniert heute noch, obwohl (fast) alle davon wissen und die Systeme sicherer geschützt sind als damals.

So baut der Social Engineer Vertrauen auf

Warum vertrauen Menschen jemandem, den sie nicht kennen, und klicken auf einen Link? Ein geschickter Social Engineer spioniert das Umfeld seines Opfers aus, um sich dessen Vertrauen zu erschleichen. Dafür genügen ihm öffentlich verfügbare Quellen, Informationen aus Gesprächen mit anderen Opfern in derselben Firma oder Bürotratsch. Mit diesen Informationen und vielleicht noch etwas Smalltalk über Kollegen in der Firma baut der Social Engineer Vertrauen sowie Sympathie auf und nutzt eine menschliche Schwäche aus: Wir wollen anderen helfen.

Phishing, die unpersönliche Variante

Die bekannteste Social-Engineering-Variante ist Phishing mit Massen-E-Mails ohne persönlichen Aufhänger. Am Anfang waren diese E-Mails wegen ihrer unprofessionellen Gestaltung und der vielen Sprachfehler auf den ersten Blick erkennbar. Heute sehen viele täuschend echt aus. Sie fordern das Opfer auf, auf einen Link zu klicken, um einen Dienst weiterhin nutzen zu können, zum Beispiel e-Banking. Auf der gefälschten Seite gibt das Opfer Benutzernamen sowie Passwort ein – und der Social Engineer hat, was er braucht, um das Konto zu plündern.

Spear Phishing, die gezielte Variante

Weil der Social Engineer beim Phishing nur die E-Mail-Adressen seiner potenziellen Opfer besitzt, ist die Erfolgsrate vergleichsweise gering. Einen Schritt weiter geht das gezielte Spear Phishing. Der Social Engineer beschafft sich beispielsweise Adressenlisten von Vereinen, etwa dem Turnverein. Dann schreibt er alle Mitglieder als lokale Sparkasse an. Die Chance, dass ein Empfänger Kunde der ortsansässigen Sparkasse ist und deshalb auf den Link klickt, ist deutlich höher als beim Phishing mit unpersönlichen und massenhaft versandten E-Mails.

Sensibilisieren, aber bitte mit Mass

Aktuelle Hard- und Software sowie ein Managementsystem für Informationssicherheit (ISMS) schützen Daten umfassend. Oft ist der Mensch die Schwachstelle im System. Meist nicht aus bösem Willen, sondern aus Unwissen. Deshalb ist es so wichtig, alle Mitarbeitenden für das Thema Informationssicherheit zu sensibilisieren. Aber nicht mit erhobenem Zeigefinger: Es gibt Mitarbeitende, die Sicherheitsmassnahmen bewusst aushebeln, weil sie sich bevormundet fühlen. Auch das ist ein menschlicher Faktor. Wie der Reflex, anderen helfen zu wollen.