Social Engineering als Gefahr, gegen die technische Mittel nicht helfen, macht Unternehmen in Zeiten zunehmender Industriespionage wachsende Sorgen. Mit etwas Übung lassen sich die Attacken allerdings mit einer gewissen Sicherheit erkennen.

Über die „Tricks der Social Engineers“ hat LANline schon in einem früheren Artikel berichtet,
der den Wert von Awareness-Kampagnen behandelte [3]. Beim Social Engineering geht es primär um
Verfahren der Industriespionage, bei denen der Angreifer Mitarbeiter einer Organisation dahingehend
beeinflusst, dass sie ihm entweder direkt vertrauliche Daten aushändigen oder unwillentlich und
unwissentlich Informationen wie etwa Kennwörter zukommen lassen, die ihm den Zugriff auf weitere
Ressourcen ermöglichen.

Wie aber kann ein Opfer überhaupt erkennen, dass es einer entsprechenden Attacke ausgesetzt ist?
Die Antwort ist nicht trivial, denn ein Social Engineer bedient sich im Grunde der gleichen
Techniken wie jemand, der sich ganz legitim um Unterstützung oder die Erfüllung von Wünschen
bemüht. Wie im oben zitierten Beitrag schon aufgeführt, nutzen Angreifer vor allem sechs Konstanten
menschlichen Verhaltens für die Beeinflussung fremder Personen schamlos aus [8]:

Reziprozität – man erweist jemandem einen Gefallen oder überreicht ein
Geschenk, nur um später eine Gegenleistung einfordern zu können;

Kommitment und Konsistenz – man appelliert an den geheimen Wunsch der meisten
Menschen, konsequent zu erscheinen, sich treu zu bleiben und einen einmal eingeschlagenen Weg auch
zu Ende zu gehen;

Soziale Bewährtheit – man spiegelt dem Opfer vor, viele andere Personen hätten
in einer bestimmten Situation auf jene Weise reagiert, wie man es auch bei ihm erreichen will;

Sympathie – man macht sich „hübsch“ und dem Opfer ähnlich oder erweckt den
Eindruck, ähnliche Interessen zu haben;

Autorität – man vermittelt den Eindruck, dem Opfer Anweisungen erteilen zu
dürfen und schließlich

Knappheit – man spiegelt Zeitnot oder drohenden Ressourcenmangel vor.

Zunächst einmal muss man diese Techniken und die damit angesprochenen eigenen „Verwundbarkeiten“
natürlich kennen. Dazu verhilft ihren Mitarbeitern eine kleine Awareness-Kampagne im eigenen
Unternehmen. Mit der puren Kenntnis der Tricks ist es aber deshalb nicht getan, weil daraus keine
absolut gültigen und einfachen Abwehrmaßnahmen abzuleiten sind: Sie können sympathischen
Zeitgenossen und Menschen unter Zeitdruck nicht prinzipiell misstrauen, Sie können Geschenke und „
Best Practices“ nicht in jedem Fall ignorieren, müssen Autorität in bestimmten Organisationen hin
und wieder anerkennen und sollten keinesfalls dazu übergehen, nur zur Abwehr möglicher
Social-Engineering-Attacken jeden Tag einen neuen Weg einzuschlagen und permanent ihr Wort zu
brechen. Das Dumme am Social Engineering ist, dass es auf durch und durch bewährte soziale
Verhaltensweisen und Gebräuche setzt, die außer Kraft zu setzen ihrem Unternehmen nicht minder
schadet wie ihnen blindlings zu gehorchen. Nicht jeder Versuch, Einfluss auf eine Person auszuüben,
ist zwangsläufig als negativ zu verstehen!

Die Kriterien, anhand derer sich ein Social Engineer von einem berechtigten Antragsteller
unterscheidet, sind also leider sehr „weich“. Aus Kevin Mitnicks [4], [5] und Robert Cialdinis [8] Arbeiten lassen sich aber ein paar Mechanismen ableiten, mit denen man sich gegen tatsächlich
böswillige Beeinflussungsversuche dennoch wappnen kann:

Achten Sie darauf, ob Sie sich im Gespräch mit Ihrem Gegenüber wohl fühlen.
Ein „komisches Gefühl“ kann ein Indiz sein, dass etwas nicht stimmt. Fragen Sie sich, woher es
kommt, und gehen Sie dazu die oben abgedruckte Liste der geläufigsten Beeinflussungstechniken
durch.

Verlangt Ihr Gegenüber etwas völlig ungewöhnliches, das womöglich anerkannten
Regeln widerspricht? Bitten Sie unter allen Umständen um Bedenkzeit und recherchieren Sie nach.

Teilt eine neue Bekanntschaft Ihre Meinungen und Vorlieben in ungewöhnlichem
Maße? Macht Ihnen jemand ganz plötzlich schöne Augen? Es ist bitter, aber so übertölpelt man Sie
besonders leicht. Verfallen Sie nicht in überzogenes Misstrauen, aber denken Sie daran:
Konfrontiert Sie Ihr Gegenüber in solch einer Situation allzu schnell mit heiklen Forderungen,
passt dies besonders schlecht zu einem Verhältnis, bei dem gegenseitiges Verständnis ganz oben
stehen sollte.

Wenn Ihr Gegenüber Autorität ausstrahlt – hat sie eine solide Basis? Befolgen
Sie Anordnungen von Unbekannten nur mit Vorsicht und ziehen Sie auch Befehle von
Unternehmensangehörigen in Zweifel, die gültigen ethischen Normen oder internen Richtlinien
widersprechen.

Fordert Ihr Gegenüber eine Gegenleistung für einen Gefallen, um den sie selbst
nie gebeten haben? In solchen Fällen dürfen Sie ablehnen. Erscheint Ihnen dies zu brüsk,
entscheiden Sie über die Form Ihrer Gegenleistung selbst.

Entlockt Ihnen Ihr Gegenüber Informationen, ohne selbst etwas über sich
preiszugeben? Wissen Sie wirklich, wer und was er ist? In einem echten Geschäftsgespräch sollte das
Geben und Nehmen persönlicher und geschäftlicher Daten ausgewogen sein.

Erinnert Sie Ihr Gegenüber in mahnendem Ton an frühere Zusagen, Praktiken oder
Meinungsäußerungen? Machen Sie sich klar, dass Konsistenz und Konstanz an sich keinen großen Wert
darstellen. Sie dürfen ihre Perspektiven und Handlungsmaximen ändern, sonst lernen Sie nämlich
nichts dazu.

Als Sicherheitsverantwortlicher im Unternehmen unterstützen Sie Ihre Mitarbeiter bei der Abwehr
von Social-Engineering-Attacken, wenn Sie ein Hilfestellungen für die oben genannten Abwehrtaktiken
institutionalisieren. Der wichtigste Punkt dabei ist Hilfe beim „Neinsagen“. Hat ein Mitarbeiter im
Falle einer Unsicherheit über die Legitimität einer Anfrage eine zuständige Stelle, an die er das
Problem ohne Bedenken eskalieren kann, tut er sich beim Umgang mit Zweifelsfällen leichter.
Außerdem muss sichergestellt sein, dass niemand Sanktionen befürchten muss, wenn er sich im Falle
eines heiklen oder zweifelhaften Wunsches rückversichert – auch dann, wenn deshalb der Vorstand
oder ein noch so guter Kunde einmal eine Viertelstunde auf ein Dokument warten muss.

Es lohnt sich also, die Kommunikationswege in Ihrem Unternehmen gut zu organisieren, denn
schnelle Rückfragemöglichkeiten machen es einem Angreifer schwerer, Zeitdruck aufzubauen. Darüber
hinaus ist es unbedingt notwendig, Mitarbeiter über den Wert und die Vertraulichkeit der
Informationen und Ressourcen aufzuklären, mit denen sie hantieren. Eine streng autoritäre Struktur
schließlich mit vielen willigen Befehlsempfängern, die Anordnungen nicht hinterfragen, hilft
überhaupt nichts – im Gegenteil: Hier haben es Profis besonders leicht, an Informationen zu
gelangen, weil die Vorspiegelung von Befehlsgewalt zu den einfachsten Übungen eines Social
Engineers gehört und bei Organisationen wie Polizei, Militär und Feuerwehr zu den erfolgreichsten
Standardverfahren gehört [5].

Zu den heikelsten Aufgaben im Umgang mit Social Engineering gehört es, keine Atmosphäre des
Misstrauens in der eigenen Organisation aufkommen zu lassen, denn dies würde die Zusammenarbeit im
Betrieb erschweren und verteuern [7]. Die Mitarbeiter müssen lernen, dass ihr Gegner immer
versuchen wird, eine Vertrauensbasis zu fälschen. Vertrauen gibt es in mehreren Varianten: Sie
resultiert aus langfristiger Kenntnis einer Person, aus einer erkennbaren Orientierung an ethisch
einwandfreien Handlungsprinzipen oder einfach daraus, dass man die Handlungen eines Menschen im
Guten oder Bösen voraussagen zu können glaubt. Bei einem Social Engineer wird für alle diese Formen
des Vertrauens selten eine echte Grundlage vorliegen. Er muss eine legitimierende Geschichte
konstruieren, in die sein Gegenüber involviert zu sein scheint, ohne es wirklich zu sein. Wenn also
das Vertrauen zu einer Person bei näherem Hinsehen nur auf der Grundlage von Indizien hergestellt
werden kann, lohnt sich immer ein Gegencheck.

Awareness-Newsletter:

LANline veröffentlicht regelmäßig einen Awareness-Newsletter für Administratoren. Er enthält als Service jeweils einen Tipp, der direkt an die Endanwender im Unternehmen weitergereicht werden kann. Zurzeit läuft eine Social-Engineering-Serie. Sie abonnieren den Newsletter unter www.lanline.de/newsletter, zurückliegende Ausgaben des Newsletters finden Sie im Download-Bereich unter www.lanline.de/downloads.

Artikel in der LANline:

[1] Johannes Wiele: Die Mitarbeiter als Firewall. Wie Sicherheitsbewusstsein entsteht. Ausgabe 7/2005, S. 56-59.

[2] Johannes Wiele: Der „innere Feind“ ist ein Marketing-Tool: Zweifel am Innentäter-Primat. Ausgabe 2/2006, S. 6-7.

[3] Johannes Wiele: Einfluss auf das Anwenderverhalten: Awareness-Maßnahmen steigern die Sicherheit. Ausgabe SH IV/2006, S. 52-53.

[4] Johannes Wiele: Neues zur Kunst der Täuschung. Interview mit Kevin Mitnick in: Softwaremängel setzen der Sicherheit Grenzen. Ausgabe 3/2007, S. 6-8.

Weitere Quellen:

[5] Kevin D. Mitnick und William L. Simon: The Art of Deception. Controlling the Human Element of Security. Indianapolis 2003.

[6] Frank W. Abagnale with Stan Reding: Catch Me If You Can. The True Story of a Real Fake. New York, 2000. Hier lohnt es sich auch, den auf dem Buch beruhenden Film mit Leonardo di Caprio anzusehen – er ist nach Auskunft des realen Vorbilds der Betrügergeschichte recht wirklichkeitsnah gelungen.

[7] Niklas Luhmann: Vertrauen. Ein Mechanismus der Reduktion sozialer Komplexität. Stuttgart, 31989.

[8] Cialdini, Robert B.: Die Psychologie des Überzeugens. Bern, 42006.

520157.jpg