Datenschutz Verstehen – Was ist Social Engineering?
Kurze Einleitung:
Social Engineering ist in unserer heutigen Zeit eine sehr alltäglich gewordene Vorgehensweise des Erschleichens von sensiblen Informationen. Diese Methode, welche früher als sogenannter “Trickbetrug” bezeichnet wurde, gibt es dabei schon sehr lange. An dem Prinzip hat sich jedoch über die Jahre kaum etwas geändert: Die Unsicherheiten der Menschen werden hierbei ausgenutzt, es wird nach Schwachstellen gesucht und mit dem notwendigen Fingerspitzengefühl gezielte Manipulation betrieben. Dabei findet das Social Engineering nicht zwangsläufig nur online statt, sondern kann auch im Zuge von Telefonaten, wie zum Beispiel mit dem “Enkel Trick”, vollzogen werden. Im folgenden Beitrag werden wir das Vorgehen und die Methoden, sowie die Folgen und die besten Schutzmechanismen vor Social Engineering Angriffen genauer datenschutzrechtlich betrachten.
Social Engineering Definition
Social Engineering, welches auch unter den Synonymen „Human Hacking“ oder „Social Hacking” bekannt ist, bedient sich vor allem einer Reihe von zwischenmenschlichen Beeinflussungen. Bei dieser Betrugsmasche, welche schon seit vielen Jahrzehnten genutzt wird, handelt es sich um ein Verfahren, um sicherheitstechnisch relevante Daten durch das Ausnutzen menschlichen Verhaltens zu gewinnen. Der Grundgedanke, welcher sich hinter dieser beliebten Masche verbirgt, ist die Überlegung, den Menschen als schwaches Glied in der Sicherheitskette zu verwenden, um an sensible Daten und relevante Informationen zu gelangen. Dabei nutzen die Täter menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft, Angst oder Respekt vor Autorität aus und instrumentalisieren so gezielt Personen für ihre Zwecke. Dies kann Grundlage verschiedenster Betrugsmaschen werden und ist in einer enormen Anzahl von Bereichen einsetzbar. So versuchen beispielsweise Hacker das Vertrauen des Opfers zu gewinnen, um dadurch an vertrauliche Informationen zu gelangen, wie z. B. die Freigabe von Kreditkartendaten und Passwörtern. Damit einhergehen eine beinahe unüberschaubare Menge an Datenschutzverstößen, welche insbesondere durch die Offenlegung von personenbezogenen Daten zu verzeichnen sind.
Wie entsteht Social Engineering?
Wie entsteht nun Social Engineering? Die Idee des Social Engineerings stammt ursprünglich aus der Philosophie. Der Begriff wurde 1945 durch den österreichisch-britischen Philosophen Karl Popper erschaffen, welcher damit zunächst soziologische und psychologische Elemente zur Verbesserung gesellschaftlicher Strukturen bezeichnete. Sein Prinzip beruhte im Wesentlichen auf der Annahme, dass ein Mensch, ähnlich wie eine Maschine, verbessert werden kann. Auf Grundlage von Poppers Methode ergänzten Poppers Nachfolger seine Theorie um einige psychologische Taschenspielertricks. Dabei war das Ziel jedoch nicht im illegalen Datenklau verankert, sondern strebte eine Verbesserung der Gesellschaft, sowie das Bewusstsein für die Gesundheit der Menschen an. Die frühste Form des Social Engineerings stammt aus den 1980er Jahren und wird mit dem Begriff des “Phreaking” betitelt. Hierbei handelt es sich um eine Vorstufe des heutigen Hackens und setzt sich aus den Wörter “phone” sowie “freak” zusammen. Im Zuge dessen wurde sich mit den Sicherheitsmechanismen der Telefonie bzw. der Manipulation von Telefonverbindungen auseinandergesetzt und sich auf diesem Wege bereichert.
Vorgehen und Folgen von Social Engineering
Die Vorgehensweise des Social Engineering stellt sich als simple dar: Die Hacker nutzen die menschlichen Eigenschaften wie Hilfsbereitschaft, Vertrauen sowie Respekt oder die Angst vor Autorität aus, um ihre Opfer zu manipulieren. Dabei wird das Opfer dazu verleitet, Sicherheitsfunktionen auszuhebeln, vertrauliche Informationen preiszugeben, Überweisungen zu tätigen oder selber Schadsoftware auf dem privaten oder firmeninternen Endgerät zu installieren. Im Zuge der immer voranschreitenden digitalen Kommunikation ergeben sich so stets neue Möglichkeiten und Wege, um Personen gezielt zu instrumentalisieren und bewusst oder unbewusst Informationen freizugeben. Um das Risiko zu minimieren, sollten alle Beschäftigten eines Unternehmens, insbesondere in Bezug auf das Thema IT-Sicherheit, jährliche Schulungen absolvieren. Bei den Daten, welche die Täter erlangen, kann es sich um alle möglichen Informationen handeln. So können beispielsweise Kontoinformationen, E-Mail-Konten, Passwörter sowie Anmeldeinformationen gestohlen werden.
Die Folgen reichen dabei von kleinen Problemen und teilweisem Datenverlust bis hin zum kompletten Produktionsausfall, Industriespionage, Sabotage oder Imageschäden des betroffenen Unternehmens. Social Engineering Angriffe sind dadurch kennzeichnet, dass der Fokus stets auf der Täuschung über die Identität liegt. So geben sich beispielsweise Cyberkriminelle als Techniker oder Mitarbeiter eines Telekommunikationsunternehmens aus. Dabei wird eine mutmaßliche Dringlichkeit des Anliegens vorgetäuscht, wodurch der Empfänger der entsprechenden E-Mail in eine Situation gebracht wird, in der ein schnelles Handeln ohne eventuelle Rückfragen notwendig erscheint, um dem Auftrag des Vorgesetzten Folge zu leisten. In anderen Konstellationen schlüpfen die Betrüger in die Rolle eines Bekannten, eines vertrauenswürdigen Handwerkers oder täuschen vor, Bankangestellte oder gar die Feuerwehr zu sein. Zur Minimierung des Risikos Opfer von Cyberangriffen zu werden und den größtmöglichen Schutz des Unternehmens sowie der Mitarbeiter zu gewährleisten, empfehlen wir Ihnen den digitalen IT-Sicherheit-Kurs der Mitarbeiterschule.
Social Engineering Methoden
Zu einer der beliebtesten Social Engineering Methoden gehört der sogenannte Cross-Site-Scripting-Angriff, bei welchem der Hacker-Code an eine beliebige Webseite angefügt und ausgeführt wird, sobald ein User die Webseite lädt. Dies kann z.B. an einer URL geschehen oder sogar direkt auf der Seite eingebunden werden. Dabei handelt es sich um Links, die vorgeben, zu Downloads beliebter Filme oder zu einer Software zu führen, jedoch in Wirklichkeit eine böswillige Nutzerlast beinhalten. Als weitere Methode ist das absichtliche Verlieren eines USB-Sticks, welcher extrem schädliche Viren oder Würmer enthält, zu nennen. Diese Viren sind schwer nachzuverfolgen, da sie stets von einem lokalen Computer aus in das Netzwerk gelangen. Im Zuge des “Dumpster Divings” wird im Müll fremder Personen nach verwertbarem Material oder Daten gesucht. Oft schlüpfen die Betrüger auch in die Rolle eines Bekannten, eines vertrauenswürdigen Handwerkers oder täuschen vor, von einer Bank oder gar der Feuerwehr zu sein. Als weitere Methoden des Social Engineering sind Phishing-Mails, das sogenannte “baiting” (ködern), bei welchem eine Person z.B. einen Gewinn in Form eines digitalen kostenlosen Audio-Players, welcher in Wahrheit jeden Computer kompromittiert, gewinnt oder das “pretexting”, welches auf dem Aufbau von Vertrauen und anschließender Freigabe von sensiblen Daten beruht, genannt werden. Auch “tailgating” (Durchschlüpfen) sowie “watering hole”, wobei die Angreifer jene Webseiten identifizieren, welche Angestellte eines Unternehmens häufig besuchen und diese mit Website-Malware infizieren, zählen zu den Methoden des Social Engineering.
Social Engineering bekannte Fälle
Zu den bekanntesten Fällen in Bezug auf Social Engineering Opfer gehört der Sicherheitsanbieter RSA, welcher im März 2011 Ziel eines Angriffs wurde, bei dem sensible Daten im Zusammenhang mit seinem wichtigsten Produkt “SecurID” kompromittiert wurden. Die Lösung wurde zu diesem Zeitpunkt unter anderem von der US-Regierung und einer Reihe von US-Verteidigungsunternehmen genutzt. Auch die Associated Press fiel 2013 einem Social-Engineering-Angriff zum Opfer. Darüber hinaus kam es im Jahr 2013 zu einem Datendiebstahl bei der US-Einzelhandelskette Target. Dabei gelang es den Tätern, 70 000 000 Kundendaten zu stehlen. Zu den bekanntesten Persönlichkeiten in Zusammenhang mit Social Engineering gehört die fiktive Person “Robin Sage”, anhand derer Thomas Ryan von Dezember 2009 bis Januar 2010 auf einschlägigen Social-Media-Plattformen ein Experiment zum Thema Social Engineering durchführte und so zahlreichen Politikern und Industriellen vertrauliche Informationen entlocken konnte. Weiterhin zählt Kevin Mitnick zu einem der bekanntesten Social Engineering Hackern. Dem 1963 in Van Nuys, Kalifornien geborenen Geschäftsführer einer IT-Sicherheitsfirma gelang es mehr als 100 Mal in das Netzwerk des Verteidigungsministeriums der Vereinigten Staaten von Amerika einzudringen. Nach einem 5-jährigen Gefängnisaufenthalt ordneten die Richter anschließend ein 3-jähriges Nutzungsverbot von EDV-Systemen an. Nach seiner Haftentlassung veröffentlichte Mitnick das Werk “The Art of Deception” (Die Kunst der Täuschung).
Schutz vor Social Engineering Angriffe
Was können Sie tun, um Social Engineering nicht selber zum Opfer zu fallen? Automatische Sicherheitsfeatures können vor Attacken schützen, doch als wichtigstes Abwehrinstrument ist der gesunde Menschenverstand mit all seinem Hintergrundwissen zu den neusten Social Engineering Methoden zu nennen. Darüber hinaus können einfache Angewohnheiten wie das Nutzen von sicheren Webseiten (HTTPS and TLS), das Eingeben von URLs per Hand und nicht per Link sowie Schulungen für Mitarbeiter und Privatpersonen zur Schadensverhütung beitragen. Nennenswert ist auch die Nutzung von starken und komplexen Passwörtern sowie ein gesundes Misstrauen gegenüber Unternehmensfremden. Darüber hinaus sollten Sie grundsätzlich nie sensible Informationen am Telefon weitergeben und regelmäßige Sicherheitsupdates durchführen. Scheuen Sie sich nicht nachzufragen, wenn Sie unsicher sind oder Ihnen etwas ungewöhnlich erscheint. Achten Sie z.B. auch auf Rechtschreibfehler und führen Sie regelmäßige Penetrationstests durch, um die Wirksamkeit von Schutzmechanismen zu testen. Im Idealfall führen Unternehmen Management-Systeme für den Datenschutz und die Informationssicherheit ein.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.