Was ist Social Engineering, und wie kann man sich dagegen wehren?

Als ausgebildeter Psychologe habe ich mich auch eine Zeit lang mit psychologischen Aspekten von Computersicherheit befaßt. Ein häufig anzutreffender Irrtum ist der Glaube, daß die meisten Sicherheitsprobleme durch technische Unzulänglichkeiten wie Sicherheitslücken in Software und Hardware entstehen. Die Mehrzahl der Sicherheitsprobleme in der IT entsteht erst durch den Faktor Mensch. Als sogenanntes Social Engineering bezeichnet man den Versuch, durch psychologische Einflußnahme auf Menschen an Informationen heranzukommen, um in IT-Systeme eindringen oder daraus Daten entwenden zu können. Diese psychologische Form des Angriffes auf Computersysteme, auch Social Hacking genannt, stellt sowohl im privaten wie auch im Business-Bereich eines der Hauptprobleme für die IT-Sicherheit dar. Der weltweite Schaden, der allein durch Computerkriminalität entsteht, wird von Europol auf jährlich 750 Milliarden Euro geschätzt. Diese enorme Summe zeigt eindrücklich, daß die Sicherheit von Computeranlagen insbesondere im geschäftlichen Umfeld von existenzieller Bedeutung ist. Dieses Blog verfolgt daher das Ziel, die Themen Social Engineering und Social Hacking vor allem im geschäftlichen Umfeld mehr in den Fokus der Öffentlichkeit zu rücken. Dabei möchte ich sowohl Tips für Privatanwender wie für Firmen geben, wie sich Schäden durch Social-Engineering-Angriffe vermeiden lassen.

Im ersten Artikel möchte ich die meiner Ansicht nach wesentlichsten psychologischen Mechanismen diskutieren, die bei solchen Angriffen zur Geltung kommen, und aufzeigen, wie man sich vor Social Engineering schützen kann. Die Ratschläge sind für Privatanwender anwendbar, gelten aber auch im geschäftlichen Umfeld.

Die sechs Mechanismen

Es sind meines Erachtens vor allem sechs psychologische Mechanismen, derer sich Angreifer im Netz bedienen, um an Daten heranzukommen oder einen Account unter ihre Kontrolle zu bringen:

Neugierde wecken: Neugierde ist eigentlich eine positive menschliche Eigenschaft. Neugierde erleichtert es uns, Neues zu erlernen und neue Erfahrungen zu machen. Aber Neugierde kann uns auch in Gefahr bringen. Das galt schon für den Menschen in der Steinzeit, der sich neugierig einem unbekannten Tier näherte oder eine unbekannte Pflanze aß. Und das gilt auch im Informations- und Kommunikationszeitalter noch. Angreifer, die es auf unsere Daten oder auf die Kontrolle über unsere Computer abgesehen haben, versuchen nicht selten, unsere Neugierde auszunutzen. Viren, Trojaner und andere Schädlinge verbreiten sich oft dadurch, daß Menschen eine E-Mail mit einem Anhang zugesandt bekommen, der scheinbar etwas enthält, was ihre Neugierde weckt und sie dazu bringt, den Anhang zu öffnen. Doch in Wahrheit enthält der Anhang nicht etwa das versprochene Bild, sondern eine Schadsoftware.

Belohnungen in Aussicht stellen: Gewinne, Steuerrückzahlungen oder andere finanzielle Vorteile zu versprechen, ist ein beliebtes psychologisches Mittel, um an Daten wie Bankverbindungen oder Kreditkartendaten zu kommen. Auch Versuche, Opfer zu Zahlungen zu bewegen, um vermeintliche Gewinne, Erbschaften oder ähnliche Entlohnungen auszahlen zu können, sind beliebte Strategien. In diese Kategorie fällt auch Lob, das Opfer zu bestimmten Handlungen oder zur Preisgabe von Daten bewegen soll.

Das Spiel mit der Angst: Sehr häufig versuchen Angreifer auch, ihre Opfer dazu zu bewegen, etwas zu tun, etwa eine Datei zu öffnen, indem sie ihnen Angst machen. Auch dieses Prinzip findet sich meistens bei der Verbreitung von Schadsoftware via E-Mail wieder. Die E-Mail enthält dann beispielsweise die Behauptung, man habe eine Rechnung über mehrere tausend Euro zu zahlen oder sei angezeigt worden. Die angebliche Rechnung oder Strafanzeige, die in Wahrheit der Schädling ist, hängt dann an der E-Mail an.

An das Gewissen oder die Hilfsbereitschaft von Menschen appellieren: Oftmals wird von Angreifern auch an das Gewissen oder die Hilfsbereitschaft ihrer Opfer appelliert. In E-Mails wird dann behauptet, ein Anhang, der in Wahrheit wiederum einen Schädling enthält, enthalte Informationen, wie man Opfern einer humanitären Katastrophe oder auch einzelnen Menschen, die angeblich ein schweres Schicksal haben, helfen könne.

Die Autoritätsgläubigkeit von Usern ausnutzen: Das ist ein wahrer Klassiker des Social Engineering. Ein Angreifer gibt sich dabei in der Regel als Autoritätsperson aus, um an Accountdaten heranzukommen. Meist kommt zum autoritären Auftreten noch das Spiel mit der Angst. Diese Art des Angriffs findet sich nicht selten auch im wirtschaftlichen Umfeld. Aber auch in sozialen Netzwerken hat man häufig damit zu tun. In einer E-Mail gibt sich ein Angreifer dann beispielsweise als „Account Manager“ eines sozialen Netzwerks aus und behauptet, der Account eines Users sei wegen Unregelmäßigkeiten gesperrt worden. Um ihn freizuschalten, müsse man auf einer Webseite seine Zugangsdaten erneut eingeben. Der der Mail beigefügte URL führt dann auf eine sogenannte Phishing-Seite, die natürlich nicht zum fraglichen sozialen Netzwerk gehört. Die Accountdaten landen stattdessen direkt beim Angreifer.

Mangelnde Informiertheit des Opfers: Die Tatsache, daß die Opfer von Social Engineering oftmals nicht ausreichend über Sicherheits-Policies des Betreibers und auch über aktuelle Angriffe informiert sind, hilft dem Angreifer bei allen genannten Angriffen.

Gegenmaßnahmen

Die oben beschriebenen psychologischen Mechanismen sind nur allzu menschlich, und keiner von uns wird behaupten können, niemals Opfer eines solchen Mechanismus geworden zu sein.

Aber ist man ihnen daher schutzlos ausgeliefert? Keinesfalls! Man kann selbst einiges dafür tun, damit diese psychologischen Mechanismen bei Angriffen nicht zur Entfaltung kommen können!

  • Informieren Sie sich, und bleiben Sie auf dem Laufenden: Diese Regel gilt immer und überall. Es hilft beispielsweise, die einschlägigen Medien wie Heise Security zu lesen, die über aktuelle Angriffe und Sicherheitsprobleme bei verschiedenen Anwendungen, Betriebssystemen oder Communities berichten. Auch die Betreiber verschiedener Plattformen geben Ihnen Informationen über solche Angriffe Auf Facebook sind dies beispielsweise die Accounts „Facebook Security“ und „Facebook Safety“. Auf Twitter sollten Sie dem zu Twitter gehörenden Account „Safety“ folgen. Zudem sollten Sie sich zunächst immer über die Vertrauenswürdigkeit einer Anwendung informieren, ehe Sie dieser beispielsweise bei Twitter oder Facebook erlauben, auf Ihren Account zuzugreifen. Dies führt uns direkt zur nächsten Schutzmaßnahme:
  • Zügeln Sie Ihre Neugierde: Auch wenn’s schwerfällt und noch so sehr in den Fingern juckt: Schauen Sie besser dreimal hin, öffnen Sie keine Mail-Anhänge oder installieren Sie keine mobilen oder Facebook-Anwendungen, von denen Sie nicht ganz genau wissen, daß sie vertrauenswürdig sind.
  • Lassen Sie sich nicht von Lob oder in Aussicht gestellten Belohnungen verführen: Niemand schenkt Ihnen einfach so einen Lotteriegewinn, ohne daß Sie an einer Verlosung teilgenommen haben. Das Finanzamt verschickt keine Bescheide über Steuerrückzahlungen per E-Mail und fragt in diesen E-Mails erst recht nicht nach Ihren Bank- oder Kreditkartendaten. Ihnen entgeht kein Geld, wenn Sie solche Mails ignorieren und löschen. Sie können nur viel Geld verlieren, wenn Sie darauf eingehen! Und auch bei Lob von Fremden sollten Sie lieber zweimal nachdenken, ob das wirklich so ernst gemeint ist.
  • Lassen Sie sich keine Angst machen: Wenn Sie eine E-Mail erhalten haben, in der Sie beispielsweise aufgefordert werden, Ihre Accountdaten erneut einzugeben, weil sonst Ihr Account gesperrt würde, sollten Sie ruhig bleiben. Schauen Sie sich die E-Mail genau an und überprüfen Sie vor allem, ob dort angegebene Links wirklich auf die Website des jeweiligen Betreibers führen. Und selbst wenn das der Fall ist, sollten Sie beim Support des Betreibers nachfragen, was das Problem ist, ehe Sie Daten eingeben. Viele Betreiber weisen auch ausdrücklich darauf hin, daß sie solche Benachrichtigungen nicht per E-Mail verschicken.
  • Lassen Sie sich kein schlechtes Gewissen machen: Hilfsbereitschaft ist eine positive Eigenschaft. Aber auch diese kann ausgenutzt werden. Wenn Sie beispielsweise in einem sozialen Netzwerk aufgefordert werden, einer Anwendung Zugriff auf Ihren Account zu geben, um Menschen zu helfen, gilt auch hier: Stellen Sie das Bedürfnis zu helfen zunächst hintenan und informieren Sie sich über die Vertrauenswürdigkeit dieser Anwendung.
  • Seien Sie vermeintlichen Autoritäten gegenüber skeptisch: Wenn sich eine vermeintliche Autorität, beispielsweise ein angeblicher „Account Manager“ bei Ihnen meldet und Sie auffordert, Ihren Account zu reaktivieren, gelten die gleichen Verhaltensregeln wie bei dem Punkt „Lassen Sie sich keine Angst machen“. Fragen Sie beim Betreiber nach, was Sache ist. Lesen Sie auch die Sicherheitshinweise des Betreibers noch einmal durch. Meist wird dort beschrieben, ob solche E-Mails überhaupt verschickt werden.

Wenn Sie diese Regeln befolgen, können Sie als Privatanwender schon die meisten Social-Engineering-Angriffe abwehren. Auch in Firmen ist die Beachtung dieser Grundregeln wichtig. In einem der nächsten Artikel möchte ich beleuchten, welche Maßnahmen in Firmen noch zu treffen sind, um sich erfolgreich gegen Social Engineering wehren zu können.

3 comments on Was ist Social Engineering, und wie kann man sich dagegen wehren?

  • Alles völlig normale Verhaltensweisen wer an IT-Gerät/Platz arbeitet, oder Privat sich in Netzwerken etc. aufhält.
    Ein „PC- oder Internet-Führerschein“ wäre doch 80% der Leute anzuraten, denn schließlich setzt sich auch so niemand ins Auto und versucht mal zu fahren, Ausnahmen ausgeschlossen.
    Allerdings werden selbst dann die meisten doch wieder mails sinnlos öffnen,Anhänge starten, ihren Vornamen als Passwort benutzen und zwar immer und überall weil es ja so bequem ist, sorry den meisten ist einfach nicht zu helfen!

    • Das Problem ist m. E., daß die Konsequenzen des Handelns nicht so deutlich sind oder sogar gar keine drohen. Wenn eine Privatperson mit dem Auto jemanden totfährt oder auch nur schwer verletzt, droht ihr eine Vorstrafe, zumindest aber hohe Schadensersatzforderungen. Wenn eine Privatperson durch ihr Handeln im Netz Schäden anrichtet, ist sie meist nicht mal haftbar zu machen. Wenn sich das ändern würde, würden viele Menschen auch im Netz sicher ihr Verhalten ändern.

  • Im Internet schaltet sich häufig der logische Menschenverstand aus. Würde man auf der Straße Leute fragen, ob sie glauben, dass ihnen ein Unbekannter einfach so 1000 Euro ohne Gegenleistung schenkt, würden das viele verneinen. Im Internet werden solche misteriösen Mails geöffnet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.