Häu­fig wer­de ich im Rah­men von Pene­tra­ti­ons­tests auch nach Social Engi­nee­ring gefragt. Dies ist eine Angriffs­me­tho­de, bei der Per­so­nen dazu ver­lei­tet wer­den unbe­wusst Infor­ma­tio­nen preis­zu­ge­ben oder den Angrei­fer bei sei­nem Vor­ha­ben zu unter­stüt­zen. In der Vor­be­rei­tungs­pha­se wer­den durch die Abfra­ge der Fir­men Web­sei­te und mög­li­cher­wei­se vor­han­de­ner Pro­fi­le auf diver­sen Sozia­len Platt­for­men (z.B. XING, Lin­ke­dIn oder Face­book) ent­spre­chen­de Ziel­per­so­nen defi­niert und mög­lichst vie­le Infor­ma­tio­nen über die­se Per­so­nen ermit­telt (z.B. Funk­ti­on, Zustän­dig­keit, Hob­bies). In der Fol­ge wird ver­sucht die­sen Per­so­nen Infor­ma­tio­nen zu ent­lo­cken, oder die­se zu Hand­lun­gen zu ver­lei­ten, um unbe­fug­ten Zugriff auf Daten oder IT-Anwen­dun­gen zu erhal­ten. Hier ist es auch wich­tig zu erwäh­nen, dass die­se Tests mit dem Betriebs­rat abge­spro­chen wer­den müssen.

Wie funk­tio­niert ein Social Engi­nee­ring Angriff?

Dies kann durch zusen­den von E‑Mails, wel­che auf gefälsch­te Web­sei­ten len­ken oder auch durch direk­ten per­sön­li­chen Kon­takt erreicht wer­den. Mein Team setzt hier auch ger­ne USB-Sticks ein, wel­che per Post an die Ziel­per­so­nen ver­sen­det wer­den. Natür­lich sind dies kei­ne USB-Sticks, son­dern spe­zi­el­les IT-Equip­ment, wel­che für sol­che Tests ent­wi­ckelt wur­den. Es reicht bereits aus, wenn eine Ziel­per­son die­sen Stick ansteckt, um die vol­le Kon­trol­le über den Com­pu­ter zu erhalten.

Sinn­voll oder nicht?

Ich bin jedoch der Ansicht, dass sol­che Tests erst dann durch­ge­führt wer­den soll­ten, wenn es im Unter­neh­men kla­re Ver­hal­tens­re­geln für die Abwehr von Social Engi­nee­ring gibt und die Mit­ar­bei­ter und Mit­ar­bei­te­rin­nen ent­spre­chend sen­si­bi­li­siert, geschult und regel­mä­ßig trai­niert wer­den. Ohne Schu­lung haben die aus­ge­wähl­ten Ziel­per­so­nen kaum eine Chan­ce die­se Angrif­fe zu erken­nen und abzu­weh­ren, tap­pen somit blind in die Falle.

In der Pra­xis hat sich gezeigt, dass wenn Tests unter die­sen Vor­aus­set­zun­gen trotz­dem durch­ge­führt wer­den, sich das Kli­ma zwi­schen den Ver­ant­wort­li­chen für Infor­ma­ti­ons­si­cher­heit und den Mit­ar­bei­ter und Mit­ar­bei­te­rin­nen deut­lich ver­schlech­tert. Die­se füh­len sich in der Regel „rein­ge­legt“ und reagie­ren entsprechend.

Unter­neh­men sind also gut bera­ten vor der Durch­füh­rung von Social Engi­nee­ring Tests zu prü­fen, ob die oben ange­führ­ten Vor­aus­set­zun­gen gege­ben sind. Im Zwei­fel soll­te zuerst Richt­li­ni­en und dar­auf auf­bau­en­de Secu­ri­ty Awa­re­ness Kam­pa­gnen durch­ge­führt werden.

Wei­te­re Infor­ma­tio­nen zum The­ma Social Engi­nee­ring: Man­fred Scholz, manfred.scholz@sec4you.com