Social Engineering

Social Engineering ist eine gezielte soziale Manipulation von Menschen. Für den Angriff werden elementare menschliche Verhaltensmuster ausgenutzt. Ziel des Angriffs ist das Provozieren einer bestimmten Handlung, z.B. der Zugriff auf sensible Daten oder das Erschleichen von Vermögenswerten. „Social Engineering benutzt Techniken der Beeinflussung und Überredungskunst zur Manipulation oder zur Vortäuschung falscher Tatsachen, über die sich ein Social Engineer eine gefälschte Identität aneignet. Damit kann der Social Engineer andere zu seinem Vorteil ausbeuten, um mit oder ohne Verwendung von technischen Hilfsmitteln an Informationen zu gelangen.“ (Mitnick und Simon 2006)

Abgrenzung

Zur Verortung von Social Engineering werden im Folgenden verschiedene Formen der Informationsbeschaffung dargestellt.

Human Intelligence (HUMINT) umfasst Techniken der Informationsgewinnung durch menschliche Quellen. Social Engineering wird unter HUMINT subsumiert. Weitere Mittel von HUMINT sind z.B. Observation, Anbahnung („Romeo–Methode“ oder „Enkeltrick“ (BKA)), Einschleusung von verdeckten Informanten oder Gesprächsabschöpfung (Bédé 2009).

Open Source Intelligence (OSINT) nutzt frei zugängliche Quellen zur Informationsgewinnung. Dabei werden z.B. Massenmedien, Unternehmenspublikationen, Soziale Netzwerke und Fachpublikationen ausgewertet. Die Techniken von OSINT sind in der Regel legal, haben aber einen fließenden Übergang zum Social Engineering.

Signal Intelligence (SIGINT) umfasst alle Arten der Informationsgewinnung durch elektronische Hilfsmittel, z.B. Abhören von Telekommunikationsmedien, Überwachung von E-Mails oder Satellitenüberwachung (Bédé 2009). SIGINT kommt hauptsächlich in behördlichen Bereichen, wie z.B. bei militärischen und zivilen Nachrichtendiensten, oder der Polizei zum Einsatz.

Etymologie

Social Engineering setzt sich zusammen aus social->Sozial und engineering->Technik. Der daraus entstehende Begriff der Sozialtechnik beschreibt die „Auswertung verhaltenswissenschaftlicher Gesetzmäßigkeiten zur Beherrschung (Beeinflussung) des sozialen Lebens“ (Kirchgeorg 2015).

Erscheinungsformen

Human Based Social Engineering ist die klassische Form des Social Engineerings. Der Täter stellt unter einer Legende (z.B. Autoritäts- oder Vertrauensperson) einen Kontakt zum Opfer her. Diesen Kontakt nutzt der Täter zum Aufbau eines psychischen Beziehungsverhältnisses. Durch gezielte Manipulation animiert der Täter das Opfer zu einer vordefinierten Aktion, z.B. Herausgabe kritischer Informationen oder Übergabe von Bargeld (Hadnagy 2011).

Beim Reverse Social Engineering wird durch den Täter zunächst ein Problem geschaffen oder vorgetäuscht (z.B. hat das Opfer durch gezielte Manipulation keinen Zugriff mehr auf seinen PC). Der Social Engineer tritt anschließend dem Opfer gegenüber als Helfer auf, der bei der Problemlösung unterstützt. Da häufig auch ein gemeinsamer „Feind“ suggeriert wird (z.B. IT Abteilung), gibt das Opfer bereitwillig die gewünschten Informationen zur vermeintlichen Problemlösung. Reverse Social Engineering-Angriffe erfolgen häufig in Kombination mit technischen Angriffen und benötigen eine umfangreiche Vorbereitung und Insiderwissen.

Computer Based Engineering weicht vom klassischen Social Engineering ab. Die Legendierung erfolgt über technische Mittel. E-Mails oder Web-Sides von etablierten Unternehmen oder Institutionen werden gefälscht, um an die gewünschten Informationen zu gelangen. Eine weit verbreitete Variante des Computer Based Social Engineerings ist das Phishing bzw. das gezieltere Spear-Phishing (BSI 2013, 2015).

Vorgehensweise

Ein Social Engineering-Angriff kann beispielhaft in folgende Schritte unterteilt werden:

Vorbereitung

In der ersten Phase versucht der Social Engineer alle verfügbaren Informationen über das Angriffsziel zusammen zu tragen. Hierbei handelt es sich häufig um Open Source Informationen wie Unternehmenswebseiten, Soziale Netzwerke, Mitarbeiterzeitungen oder Chat-Foren. Ziel ist es, einen möglichst guten Einblick in Unternehmensstrukturen und –hierarchien oder persönliche Vorlieben und Schwächen von Einzelpersonen zu erhalten (Glitza 2014). Aus den jeweiligen Kontakten entsteht Insiderwissen, das bei anderen Kontakten eine Legitimation suggeriert.

Kontaktphase

Zu Beginn der Kontaktphase entwickelt der Täter verschiedene Identitäten, die auf das Ziel abgestimmt sind. Es kann mehrere anwendungsbezogene Identitäten für z.B. Telefonkontakt (Phone-Phreaking), Kontakt via E-Mail oder direkten persönlichen Kontakt geben. In der Kontaktphase wird neben den Identitäten auch die Kontaktmethode entwickelt. Neben dem Telefonkontakt nutzen Täter auch die Möglichkeit sich vor Ort Informationen zu beschaffen. „Mitschwimmen“ in einer Gruppe von tatsächlichen Angestellten, um in ein Gebäude zu gelangen, oder das „Einschleusen“ unter der Legende eines Lieferanten oder Paketboten, sind Methoden des Social Engineering. Eine dritte Methode ist das sog. „Dumpster Diving“. Bei ihr sucht der Social Engineer gezielt im Müll von Unternehmen oder Privatpersonen nach wichtigen Informationen (Bédé 2009).

Detailinformationen

Die Kontaktphase hat zum Ziel, die Informationen über das Ziel zu detaillieren. Bei der telefonischen Kontaktaufnahme versucht der Social Engineer durch manipulative Gesprächsführung an Informationen zu gelangen. Die Beschaffung von Informationen vor Ort bietet die Möglichkeit, Gespräche unbemerkt zu belauschen (z.B. Kantine oder Raucherbereich) oder Kontakte zu knüpfen. Unter einer Legende können leere Büros oder Konferenzräume durchsucht werden. Der Social Engineer erhält so sehr schnell Insiderwissen über die Unternehmenssprache, Namen und Positionen von Führungskräften, Örtlichkeiten und deren Bezeichnung, oder bei Privatpersonen Informationen über Kfz, Hauspersonal, Gewohnheiten und Hobbys.

Tatplan und Angriffstechniken

Die in den vorherigen Phasen beschafften Informationen werden vom Social Engineer analysiert, ausgewertet und, ähnlich einem Puzzle, zu einem Gesamtbild zusammengesetzt. Dieses Gesamtbild versetzt ihn in die Lage, das eigentliche Ziel seines Angriffs zu identifizieren. Er kann auf dieser Basis den Weg zum Ziel planen und die entsprechenden Angriffspunkte eingrenzen. Das Insiderwissen ermöglicht es ihm ausgefeilte, auf die Angriffspunkte angepasste Legenden aufzubauen. Die Angriffstechniken des Social Engineerings sind vielschichtig. Die gleichen Techniken werden, mit positiver Intention, bei Schulungen oder Verhandlungstechniken eingesetzt. Basis für diese Techniken sind evolutionär angelegte, psychische Verhaltensweisen. Diese Verhaltensweisen laufen, hervorgerufen durch Auslösemerkmale, in der Regel gleich ab.

• Reziprozität

Reziprozität bezeichnet ein Prinzip der Wechsel- oder Gegenseitigkeit. Für eine erhaltene materielle oder immaterielle Leistung entsteht ein Gefühl der Verpflichtung. In der Gesellschaft ist Reziprozität eine mächtige Regel, die für das Zusammenleben (Hilfeleistung, Verteidigung etc.) sehr wichtig ist. Die Reziprozitätsregel ist in der Lage selbst Antipathie gegenüber einem anderen Menschen zu überlagern (Schumacher 2011). Der Social Engineer nutzt diese Regel, um durch einen Gefallen oder ein Geschenk eine Gegenleistung zu provozieren. Diese Technik kommt häufig beim Reverse Social Engineering zum Einsatz. Der Social Engineer hilft bei einem durch ihn hervorgerufenen Problem und bittet seinerseits um Unterstützung.

• Commitment und Konsistenz

Menschen möchten in ihren Handlungen als konsequent wahrgenommen werden. Konsistentes Verhalten wird selbst dann beibehalten, wenn es gegen die eigenen Interessen verstößt. Eine einmal getroffene Entscheidung oder Verhaltensweise wird in den wenigsten Fällen im späteren Verlauf in Frage gestellt. Der Social Engineer provoziert durch eine Bitte ein einfaches Commitment in Form einer Zusage oder einer Verpflichtung. Darauf aufbauend arbeitet er sich zur eigentlichen Bitte hin. Im Marketing wird dies als „Fuß-in-der-Tür-Taktik“ bezeichnet (Schumacher 2011).

• Soziale Bewährtheit

Das Verhalten der Masse ist für Menschen eine Orientierungshilfe und beeinflusst die Entscheidung des Individuums. Beispiele für das aus diesem Effekt entstehende Verhalten sind bei Unfällen zu beobachten. Die Bereitschaft zu helfen steigt, wenn der erste Helfer in Aktion tritt. An den Finanzmärkten entstehen durch diesen Effekt Panikverkäufe weil Anleger glauben, andere Marktteilnehmer haben bessere Informationen. Der Social Engineer nutzt die soziale Bewährtheit indem er z.B. darauf hinweist, „dass alle anderen in der Abteilung schon diese Prozedur ohne Widerspruch mitgemacht haben“.

• Sympathie

Menschen kooperieren schneller, wenn ihnen das Gegenüber sympathisch ist. Sympathie lässt sich steuern und als Effektverstärker für Social Engineering Angriffe nutzen. Ein wichtiger Aspekt in diesem Zusammenhang ist der sogenannte Halo-Effekt. Er führt dazu, dass eine herausragende Eigenschaft wie Attraktivität, alle anderen Eigenschaften positiv überstrahlt. Sympathie wird auch durch Ähnlichkeit oder Bekanntheit hervorgerufen. Menschen, die ähnliche Herkunft, Hobbies, Kleidung oder Dialekte haben, wirken sympathischer. Die Romeo-Methode bedient sich Flirts, Sympathiebekundungen und Schmeicheleien zur Steigerung der Sympathie, bis hin zur vorgespielten Liebesbeziehung.

• Autorität

Bei dieser Art des Angriffs nutzt der Social Engineer die Tatsache, dass Menschen bereit sind Bedenken beiseite zu schieben, wenn eine Autoritätsperson die Verantwortung übernimmt oder eine Anweisung gibt. Klassische Beispiele sind Friedrich Wilhelm Voigt, der als Hauptmann verkleidet das Rathaus von Köpenick besetzte und die Stadtkasse raubte. Oder Frank Abagnale, der sich als Pilot, Anwalt oder Arzt ausgab um Scheckbetrügereien zu begehen. Autorität kann auf unterschiedliche Weise dem Gegenüber suggeriert werden. Uniformen legalisieren den Autoritätsanspruch aufgrund einer vermeintlichen, offiziellen Position, der gewisse Rechte zugeschrieben werden (Pilot, Polizei, Arzt) (Schumacher 2011). Eine falsche Identität kann die Position innerhalb einer Organisation vortäuschen und damit einen hierarchischen Autoritätsanspruch vermitteln. Schon das demonstrative zur Schau stellen von Luxus, Habitus oder Titeln kann Autorität vermitteln.

Schutzmaßnahmen

Social Engineering nutzt gezielt psychologische Grundsätze zum Angriff aus. Es gibt keine grundlegenden Schutzmaßnahmen gegen Social Engineering. Virenscanner, Firewalls oder Zutrittskontrolle bieten gegen derartige Angriffe keinen Schutz, da der Mensch als manipulierbare Größe das Ziel ist. Die Schutzmaßnahmen müssen sich aus diesem Grund auf die beiden Hauptfaktoren beziehen: Informationen und Informationsträger. Das primäre Ziel ist zu identifizieren, wo wichtige Informationen liegen, wem sie zur Verfügung stehen, welcher Schaden entstehen könnte, wenn sie in falsche Hände geraten und wie sie zur Zeit geschützt werden. Für Unternehmen bieten sich grundlegende Schutzmaßnahmen an (Watson et al. 2014.):

• „Need to know“-Prinzip – Informationen nur an den, der sie tatsächlich benötigt
• Open Source-Informationen prüfen und ggf. restriktiver veröffentlichen
• Richtlinien im Umgang mit Passwörtern, E-Mails und Internetnutzung am Arbeitsplatz
• Richtlinien im Umgang mit mobilen Geräten (Smartphone, Laptop)
• „Clean-Desk“-Prinzip – Unterlagen sind bei Verlassen des Büros unter Verschluss und PC ist gesperrt
• Konsequentes Zugangskontrollsystem – Tragen eines Dienstausweises mit Lichtbild
• „Screening“ von neuen Mitarbeitern, Praktikanten oder Dienstleistern
• Awareness-Maßnahmen für alle Mitarbeiter – Anlassbezogene Awareness-Maßnahmen für Dienstreisen, Messebesuche etc.
• Einrichtung eines „Whistle Blowing-Systems“ zur Meldung und Erkennung von Angriffsversuchen
• Schwachstellenanalyse mit Penetrationstests (Testanrufe oder Auslegen von USB-Sticks)
• Verpflichtung zum Opferschutz, um Dunkelfeld zu minimieren
• Verpflichtung der Führung, dass Mitarbeiter, die auch in zeitkritischen Situationen auf eine richtlinienkonforme Authentifizierung bestehen, z.B. 4-Augen-Prinzip, keine Nachteile erfahren

Security Awareness-Maßnahmen sollen Mitarbeiter in Bezug auf Social Engineering-Techniken, die interne Unternehmensstruktur, die Sinnhaftigkeit von Sicherheits- und Verhaltensrichtlinien und Melde- und Informationswege sensibilisieren. Security Awareness-Maßnahmen sollen Kenntnisse und Fähigkeiten vermitteln, die im Ergebnis zu einem Sicherheitsbewusstsein und entsprechenden Verhaltensänderungen führen (Verfassungsschutz Brandenburg 2015). Darüber hinaus können gefährdeten Personen, auch Kindern und Jugendlichen, einfache Techniken vermittelt werden, die Manipulationen aufdecken oder konterkarieren:

1. Kenntnisse über Regeln, Techniken und mögliche Ziele von Social Engineering
2. Identifikation einer der Regeln bei einem möglichen Angriff
3. Bestätigung des Angriffs durch Identifikation einer Social Engineering-Technik
4. Abweichen von dem vom Angreifer erwarteten Verhaltensmuster

Das Abweichen von einem Verhaltensmuster kann folgendermaßen aussehen (Schumacher 2011):

• Reziprozität: Gefallen oder Geschenke bewerten und darauf achten, was evtl. als Gegenleistung erwartet wird. Im Zweifelsfall den Gefallen oder das Geschenk nicht erwidern
• Commitment und Konsistenz: Wortbrüchig werden oder von dem eingeschlagenen Weg abweichen
• Soziale Bewährtheit: Meistens reicht es aus, wenn man sich bei einem Störgefühl die Frage stellt „Ist es schlimm, wenn ich mich nicht so verhalte wie die Masse?“
• Sympathie: Prüffrage „Würde ich die Bitte auch jemandem erfüllen, den ich unsympathische finde und wie viel weiß ich über mein Gegenüber wirklich?“
• Autorität: Autoritäten in Frage stellen und überprüfen

Kriminologische Relevanz

Die immer stärkere Abhängigkeit der Wirtschaft von Informations- und Know-How-Management lässt die Gefahr durch Social Engineering konstant wachsen. Laut der Studie „Industriespionage 2014“ entstand durch Industriespionage ein Schaden von 4,2 Mrd. €/Jahr. Davon entfallen 22,7% auf Social Engineering. Das entspricht in etwa einem Schaden von 950 Mio. €/Jahr. Unternehmen scheuen sich aufgrund von zu erwartenden Reputationsschäden erfolgreiche Social Engineering-Angriffe zur Anzeige zu bringen. Dementsprechend hoch ist das Dunkelfeld (Corporate Trust 2014). Im Lagebericht 2014 des Bundesamts für Sicherheit in der Informationstechnik rangiert Social Engineering mit steigender Tendenz auf Platz 3 der Bedrohungen für Steuerungskomponenten in Industrie und produzierendem Gewerbe. Social Engineering wird bei gezielten Angriffen als elementarer Bestandteil angesehen (BSI 2014). Der Bundeslagebild 2013 des BKAs erkennt, nach einem deutlichen Rückgang der Vorfälle und Schadenshöhen in 2012, wieder einen Anstieg in 2013 (BKA 2013).

Literatur

• Bédé, Axel (2009): Social Engineering. Ein besonderer Aspekt des IT-Schutzes. 1. Aufl. Stuttgart, Berlin: Steinbeis-Ed (Transfer-Dokumentation-Report : Vertiefungsrichtung).
• Glitza, Klaus-Henning (2014): Observation. Praxisleitfaden für private und behördliche Ermittlungen. 4., überarb. Aufl. Stuttgart, München [u.a.]: Boorberg.
• Hadnagy, Christopher (2011.): Die Kunst des Human Hacking: social engineering. 2. Auflage. Heidelberg: mitp.
• Mitnick, Kevin D.; Simon, William L. (2006): Die Kunst der Täuschung. Risikofaktor Mensch. [Heidelberg]: mitp.
• Watson, Gavin; Mason, Andrew; Ackroyd, Richard (2014.): Social engineering penetration testing. Executing social engineering pen tests, assessments and defense. Waltham, Massachusetts: Syngress.

Weblinks

• BKA (Hg.): Bundeslagebild Cybercrime 2013. Bundeskriminalamt. Online verfügbar unter http://www.bka.de/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrime__node.html?__nnn=true, zuletzt geprüft am 28.02.2015.
• BKA (Hg.): Social Engineering. Häufig gestellte Fragen. Bundeskriminalamt. Online verfügbar unter http://www.bka.de/nn_196106/DE/ThemenABisZ/HaeufigGestellteFragenFAQ/SocialEngineering/socialEngineering__tabelle.html, zuletzt geprüft am 28.02.2015.
• BSI (Hg.) (2013): Social Engineering. Bundesamt für Sicherheit in der Informationstechnik. Online verfügbar unter https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/g/g05/g05042.html, zuletzt aktualisiert am 07.10.2013, zuletzt geprüft am 28.02.2015.
• BSI (Hg.) (2014): Die Lage der IT-Sicherheit in Deutschland 2014. Bundesamt für Sicherheit in der Informationstechnik. Online verfügbar unter https://www.bsi.bund.de/DE/Publikationen/Lageberichte/bsi-lageberichte.html, zuletzt aktualisiert am 28.02.2015, zuletzt geprüft am 28.02.2015.
• BSI (Hg.) (2015): Phishing. Bundesamt für Sicherheit in der Informationstechnik. Online verfügbar unter https://www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/Phishing/phishing_node.html, zuletzt aktualisiert am 28.02.2015, zuletzt geprüft am 28.02.2015.
• Corporate Trust - Business Risk & Crisis Management GmbH (Hg.) (2014): Studie: Industriespionage 2014. Cybergeddon der deutschen Wirtschaft durch NSA & Co.? Online verfügbar unter http://www.corporate-trust.de/pdf/CT-Studie-2014_DE.pdf, zuletzt geprüft am 28.02.2015.
• Kirchgeorg, Manfred: Sozialtechnik. Hg. v. Gabler Wirtschaftslexikon. Online verfügbar unter http://wirtschaftslexikon.gabler.de/Archiv/15082/sozialtechnik-v8.html, zuletzt geprüft am 28.02.2015.
• Schumacher, Stefan: Die psychologischen Grundlagen des Social Engineerings. In: Magdeburger Journal zur Sicherheitsforschung, Bd. 1, S. 1–26. Online verfügbar unter http://www.wissens-werk.de/index.php/mjs/article/view/74/40, zuletzt geprüft am 28.02.2015.
• Verfassungsschutz Brandenburg (Hg.): Social Engineering - Risikofaktor Mensch. Verfassungsschutz Brandenburg. Online verfügbar unter http://www.verfassungsschutz.brandenburg.de/media_fast/4055/Social%20Engineering.pdf, zuletzt geprüft am 28.02.2015.