Social Hacking: Sicherheitslücke Mensch

Virenscanner, Firewall, regelmäßige Sicherheitsupdates: Die meisten Nutzer legen großen Wert auf Sicherheit. Doch oft ist nicht die Software das größte Sicherheitsrisiko, sondern der Anwender. Viele Menschen fallen auf Phishing herein, geben freiwillig ihre Passwörter preis. Geschickte Gauner schaffen es, mit einem Vorwand wichtige Daten am Telefon zu erfragen, und wichtige Rechenzentren sind oft nur halbherzig bewacht, sodass sich fast jeder Zutritt verschaffen kann. Wie wichtig ist die Sicherheitskomponente Mensch?

Inhaltsverzeichnis

1. 1Soziales Hacken
2. 2Massenphänomen Phishing
3. 3Unternehmen im Fadenkreuz
4. 4Sicherheitspuzzle
5. 5Schutzmaßnahmen
6. 6"Gesunde Skepsis"

Das Telefon klingelt, der Azubi der IT-Abteilung hebt ab. An der anderen Leitung: Hektik, Aufregung. "Hier ist Erich Erfunden, der Leiter des Rechenzentrums 'RZ Erfunden', wo eure Server stehen. Wir haben ein ernstes Problem mit den Festplatten und brauchen dringend euer ftp-Passwort um eure Daten zu sichern, sonst gibt es einen massiven Datenverlust!"

Der Lehrling erkennt den Ernst der Lage und gibt das Passwort heraus, von dem er weiß, dass es in der Schublade des Nachbarschreibtisches liegt. Gut gemacht, den Firmenserver vor einer teuren Panne bewahrt? Im Gegenteil, auf einen plumpen Trick hereingefallen.

Sicherheit wird im Netz groß geschrieben. Laut des Lageberichts der IT-Sicherheit 2007 des Bundesamt für Informationssicherheit, nutzen 90 Prozent der Anwender einen Virenscanner, immerhin die Hälfte eine Firewall. Diese verschaffen dem Nutzer ein beruhigendes Gefühl. Meist ist aber der Mensch vor dem Bildschirm selbst das größte Sicherheitsrisiko.

Soziales Hacken

Für kreative Hacker gibt es schier unendlich viele Möglichkeiten. Dabei sind die Methoden in der Praxis meist längst nicht so direkt und durchschaubar wie in unserem Beispiel. Geschickte Schnüffler spionieren ihre Opfer sehr unauffällig aus, sodass diese nicht merken, dass sie gerade mit bösen Absichten umgarnt werden. Diese Methoden sind einfach, aber effektiv. Denn mit ein wenig Hintergrundwissen wie dem Namen einiger Kollegen oder des aktuellen Projektes ist schnell ein vertrauenswürdiger Anschein geschaffen. Der Unbedarfte merkt nicht einmal, dass er gerade Informationen preisgegeben hat.

"Social Hacking" nennt man dieses Prinzip oder auch "Social Engineering". Die Angreifer gehen dabei oft äußerst perfide vor. Sie schaffen ein Vertrauens- oder Respektverhältnis zu ihrem Opfer und nutzen dieses zu ihren Gunsten. Wenn es um eine vermeintlich wichtige Angelegenheit geht oder der Mensch am anderen Ende der Leitung vorgibt, in einer wichtigen Position zu sein, fällt es vielen Menschen schwerer, dieses Anliegen in Frage zu stellen. Dabei geht es längst nicht immer darum, auf direktem Wege eine sensible Information herauszukitzeln. Oft sind es gerade die kleinen Dinge, die in Kombination miteinander zu einem großen Sicherheitsrisiko werden können.

Vereinfacht gesagt: Wenn der Hacker weiß, mit wem er telefoniert, wie dessen Kollegen heißen und woran dieser Angestellte momentan arbeitet, wird dieser kaum skeptisch sein, wenn das Gegenüber beim Gespräch hin und wieder eine Frage zur Arbeit fallen lässt. Ein normales Gespräch, fast wie unter Kollegen.

Massenphänomen Phishing

Die einfachste Art des Social Hackings ist wohl jedem schon einmal begegnet, der eine Emailadresse besitzt. "Phishing" nennt sich das Spielchen, wenn Bank oder ein anderer vermeintlicher Anbieter wie eBay wegen einer technischen Begebenheit Benutzername und Passwort oder Kontonummer, PIN und TAN "verifiziert" haben möchte. Einfache Falle, oft erfolgreich.

Bei anderen Beispielen geben sich die Spammer noch mehr Mühe. Es komme darauf an: "Wie gut ist die Story gemacht?" sagt Matthias Gärtner, Pressesprecher des Bundesamtes für Sicherheit in der Informationstechnik. "Diese Fälle nehmen quantitativ und qualitativ zu", erläutert Gärtner.

Links zum Thema

• Homepage des BSI
• BSI-Lagebericht zur IT-Sicherheit 2007