Cyber-Angriffe 15.10.2015, 10:20 Uhr

Social Engineering - Der Mensch als Firewall

Cyber-Angriffe auf Unternehmen erfolgen meist, indem die Mitarbeiter getäuscht werden. Hilfsmittel wie das SEEF-Framework und Awareness-Schulungen verringern das Risiko des Social Hacking.
(Quelle: Fotolia / tashatuvango)
Social Engineering, also die Täuschung und Manipulation von Mitarbeitern, ist für Internetkriminelle ein erfolgversprechendes Mittel, um illegal an Daten zu gelangen.
Phishing-Attacken etwa sind vor allem deshalb eine so grosse Gefahr für Unternehmen, weil sie zielgerichtet und personalisiert erfolgen. Sprache und Stil werden immer professioneller imitiert, sodass selbst Experten die Fälschungen auf den ersten Blick kaum erkennen.
Wie stark Social Engineering bereits professionalisiert ist, hat der Wettbewerb Social Engineering Capture the Flag (SECTF) auf der Hacker-Konferenz Defcon 22 vergangenes Jahr in Las Vegas eindrucksvoll gezeigt.

Schwachstelle Mensch

Nur mit Technik ist den Betrügern nicht Einhalt zu gebieten. Der wichtigste Faktor sind die Mitarbeiter. Sie müssen sensibilisiert und geschult werden. Da sich eingeschleuste Schadsoftware innerhalb weniger Minuten verbreitet, müssen sämtliche Mitarbeiter auf dem gleichen (hohen) Wissensstand sein. Jeder einzelne muss quasi zu einer menschlichen Firewall werden.
Eine sehr erfolgreiche Methode, um Mitarbeiter zu sensibilisieren, ist die Security-Awareness-Schulung, bei der mit eigens erstellten Phishing-E-Mails gearbeitet wird. Sobald der Mitarbeiter auf einen Link darin klickt oder ein Attachment öffnet, wird er auf eine Schulungsseite weitergeleitet. Dieser Ansatz bietet auch die Möglichkeit, eine Meldestelle für Phishing-Mails einzurichten, wo findige Mitarbeiter Attacken oder Verdachtsmomente melden können.
Neben klassischen Hacking-Attacken gibt es noch einen ganz simplen Weg, an Informationen zu gelangen. Warum nicht einfach danach fragen? Auch diese Methode des Social Engineerings ist effizient und auch dafür wird die Schwachstelle Mensch genutzt. Angriffe dieser Art beschränken sich nicht auf den persönlichen Kontakt, sondern können auch über Telefon, E-Mail und andere Kommunikationswege erfolgen.
Die Kosten für Social Engineering sind verschwindend gering und man umgeht dabei die komplexesten technologischen Barrieren. Umso wichtiger ist es, das eigentliche Angriffsziel, die Mitarbeiter, entsprechend vorzubereiten. Eine solche Sensibilisierung kann mit einer Awareness-Kampa­gne erreicht werden.

Das SEEF-Framework gegen Social Hacking

Eine hervorragende Ressource bietet das SEEF (Social Engineering Engagement Framework). In diesem Open-Source-Framework werden die einzelnen Elemente und Methoden von Social Engineering als Disziplin betrachtet und erläutert. Es hilft Unternehmen, Social Engineering besser zu verstehen und entsprechende Assessments zu planen. Das SEEF setzt sich aus Methoden, Instruktionen und Skills zusammen:
  • Social Engineering Engagement Framework: Das SEEF setzt sich aus Methoden, Instruktionen und Skills zusammen.
    Methoden: Sie beschreiben, wie bestimmte Angriffe ausgeführt werden und liefern so die Grundlage zur Durchführung eines wiederholbaren Assessments, mit dem vergleichbare Resultate erzielt werden können.
     
  • Instruktionen: Zu jeder Methode erklären spezifische In­­s­truktionen, wie diese genau angewendet werden. Die In­struktionen sind länder- und/oder industriespezifisch und werden situationsgerecht angewendet, je nachdem ob beispielsweise eine Attacke in einer Bank oder in einer Bundesverwaltung angenommen wird.
     
  • Skills: Methoden und Instruktionen erwachen nur zum Leben, wenn sie mit Skills gepaart werden. Für eine bestimmte Angriffsweise, zum Beispiel bei Impersonation (imitierte Repräsentation), wird ein Mitarbeiter mit dem nötigen Fachwissen eingesetzt. Solche Skills können zum Beispiel Fachenglisch, IT-Know-how und die Kenntnis über die IT-Organisation des Unternehmens sein.
Bestandteil des Frameworks ist eine Tabelle, die die Schweregrade eines Social-Engineering-Angriffs in zwölf Stufen einteilt.

Social-Engineering-Angriffe im Training simulieren

Zu Trainingszwecken lassen sich Angriffe im Unternehmen simulieren. Da die Simulation möglichst realistisch sein soll, wird die Durchführung mit zunehmendem Schweregrad aber immer problematischer, auch wenn es sich nur um eine Übung handelt. Die Stufen 1 bis 3 stellen kaum ein Risiko dar und sind problemlos durchführbar, die Stufen 4 bis 6 bergen bereits ein erhöhtes Risiko und benötigen ein Risikomanagement. Die Stufen 7 bis 9 bezeichnen ein hohes Risiko und sollten aus ethischen Gründen (etwa Einsatz von Bestechung) gemieden werden.
Hohes Risiko: 19 Prozent der Sicherheitsvorfälle in Unternehmen gehen auf Social Engineering zurück.
Die Stufen 10 bis 12 kommen schon aus gesetzlichen Gründen (Industriespionage oder Urkundenfälschung) nicht infrage. Es ist empfehlenswert, sich nur in Ausnahmefällen mit Vorhaben ab Stufe 7 zu befassen. Bei der Planung und Ausführung von Social-Engineering-Assessments wird zusammen mit dem Auftraggeber besprochen, welche Intensität gewählt werden soll.
Ein Beispiel: Der Auftrag lautet, die Sicherheit des physikalischen Zutritts zum Datacenter, Board Room oder zu anderen sensiblen Bereichen zu überprüfen. Dazu gibt es verschiedene Möglichkeiten, mit denen das vorgegebene Ziel erreicht werden kann:
  • Möglichkeit 1: Risikobeurteilung rein auf das Papier und die Pläne bezogen (innerhalb Stufe 1 bis 3, grün).
     
  • Möglichkeit 2: Vor-Ort-Einschätzung durch Gespräche, Interviews und Observationen (innerhalb Stufe 1 bis 3, grün).
     
  • Möglichkeit 3: Aktive Versuche, sich Zutritt zu verschaffen (nicht destruktiv). Tailgating – einschleichen mittels eines Mitarbeiters (innerhalb Stufe 4 bis 6, orange).
     
  • Möglichkeit 4: Aktive Versuche, sich Zutritt zu verschaffen (auch destruktiv). Manipulation von Schlössern, generischen Schlüsseln, Fenstereintritt (innerhalb Stufe 4 bis 6, orange).
Die kombinierten Elemente zeigen, wie Social Engineering professionell, international und auf höchster Stufe ausgeführt wird. Das Verständnis darüber, wie fortgeschritten Social Engineering ist, hilft den Sicherheitsverantwortlichen dabei, entsprechende Massnahmen zu planen und umzusetzen.

Awareness-Schulungen gegen Social-Engineering

Eine Awareness-Schulung teilt sich je nach Grösse der Organisation in drei Schulungsstufen. Die erste Stufe bilden die Mitarbeiter. Die zweite Stufe umfasst das Management und andere Informations- oder Geheimnisträger wie Chief Information Security Officer oder IT-Sicherheitsbeauftragter. Die dritte Stufe ist die IT-Operation – auch wenn diese ausgelagert ist. Die Awareness-Schulung unterscheidet sich für jede Stufe, damit sie die indi­viduellen Bedürfnisse in der Bekämpfung von Social-Engineering-Attacken optimal abdeckt. Als Grundlage dienen entweder eine Schwachstellenanalyse (SE-Audit) oder definierte Kernelemente im Kontext der Organisation, zum Beispiel
  • Öffentlicher beziehungsweise digitaler Abdruck der Organisation (Digital Footprint)
     
  • Elemente der physikalischen Sicherheit (Hochsicherheits- oder geheime Standorte)
     
  • Gefahr aus dem Inneren (Insider Threat), Personensicherheitsüberprüfungen, Strafregisterauszüge, Leumund, digitale Reputation, Überprüfen von Zeugnissen/Diplomen
     
  • Anfälligkeit für imitierte Telefonanrufe (Vishing), imitierte Repräsentation (Impersonation), gefälschte E-Mails (Phi­shing), E-Mail-Attachments (Malware), Geschenke wie CD oder Memory-Stick (Baiting)
     
  • Entsorgung digitaler und physikalischer Medien (Dumpster Diving)
     
  • Ist ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27002 vorhanden?
     
  • Öffentliche Profile von Key-Stakeholdern der Organisation (Spearfishing, Whaling)
Die Schulung richtet sich nach der Einstufung der Risiken, wobei der Fokus auf den grössten Risiken liegt. Social Engineering nutzt hauptsächlich Zeitdruck, Hilfsbereitschaft oder Autorität aus.
Hilfreich ist erfahrungsgemäss die Institutionalisierung klarer Kommunikationsregeln und die Definition einer Eskala­tionsstelle - quasi ein digitaler Alarmknopf. Die Awareness-Schulung vermittelt den Mitarbeitern das richtige Verhalten und die zu kontaktierenden Stellen, falls ein Verdacht oder eine ungewohnte Situation eintritt.
Dasselbe gilt natürlich auch für das Management, das sensibilisiert werden muss und die Mitarbeiter ermuntern soll, sich bei einem Verdacht zu melden. Der Chief Information Security Officer (CISO) oder der IT-Sicherheitsbeauftragte muss die entsprechenden Richtlinien und Weisungen erstellen und Social Engineering als Risiko aufnehmen.




Das könnte Sie auch interessieren