Social Engineering - Theorie und Praxis

Social Engineering - Theorie und Praxis

4. Dezember 2011 - von Reto C. Zbinden

«Guten Tag Frau Müller, hier ist Herr Meier von der IT. Wir haben gerade ein grosses Systemproblem und brauchen unbedingt Ihre Hilfe. Wie lautet Ihr Passwort?» Ein plumper, aber umso erfolgreicherer Trick, wenn es darum geht an vertrauliche Informationen mittels Social Engineering zu gelangen.
Artikel erschienen in IT Magazine 2011/12
Um ein Unternehmen über das Internet oder direkt anzugreifen und so vertrauliche Informationen zu erlangen, nutzen Social Engineers die Gutgläubigkeit, Bequemlichkeit, Höflichkeit oder sogar die Begeisterungsfähigkeit der Menschen aus. Aus diesem Grund ist es anspruchsvoll, gegen einen Angriff Schutzmassnahmen zu ergreifen, denn die Opfer merken oft gar nicht, dass sie hintergangen wurden oder sie weigern sich dies überhaupt zuzugeben. Die Motive eines Social Engineers, also einer Person, die versucht unbefugterweise Zugriff auf Computersysteme, Informationen oder andere Objekte zu erlangen, ähneln denen eines Hackers: Sie wollen an Geldmittel, Informationen oder IT-Ressourcen eines Unternehmens gelangen.

Ein Social Engineer versucht Mitarbeitende zur Preisgabe von Informationen zu überreden, die es ihm erlauben, ohne angemessene Autorisierung IT-Systeme oder Systemressourcen zu nutzen oder sich entsprechend unbefugt Informationen zu beschaffen. Ein solches Vorgehen wird üblicherweise als Trickbetrug bezeichnet. Art. 146 StGB Absatz 1 hierzu lautet wie folgt: «Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, jemanden durch Vorspiegelung oder Unterdrückung von Tatsachen arglistig irreführt oder ihn in einem Irrtum arglistig bestärkt und so den Irrenden zu einem Verhalten bestimmt, wodurch dieser sich selbst oder einen andern am Vermögen schädigt…». Geschieht der Social Engineering-Angriff jedoch bezüglich einer Datenverarbeitungsanlage, kommt Art. 147 StGB Absatz 1 zum Tragen: «Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar darnach verdeckt…». Beide Artikel sehen eine Geldstrafe oder eine Freiheitsstrafe von bis zu fünf Jahren vor.
Viele Unternehmen sind ungeachtet ihrer Grösse der Ansicht, dass Social Engineering-Angriffe nur ein Problem für die «Anderen» darstellt, da sich ein Angriff nur dort lohnen würde. Dies mag in der Vergangenheit so gewesen sein. Der Anstieg der Internetkriminalität zeigt jedoch, dass es Angreifer nun auf alle Nutzer von Informatik- und Kommunikationstechnologien abgesehen haben, vom Grosskonzern bis zum Einzelbenutzer. Viele Kriminelle bestehlen Unternehmen direkt, indem sie Finanzmittel und Ressourcen umleiten. Andere verwenden jedoch auch Unternehmen als Mittel zum Zweck für kriminelle Aktionen gegen andere. Auf diese Weise sind sie entsprechend auch für Behörden wesentlich schwerer zu fassen.

Um Mitarbeitende und Unternehmen vor Social Engineering-Angriffen zu schützen, muss man die Angriffsformen und -motive kennen und sich bewusst sein, was Angreifer im eigenen Unternehmen suchen könnten und abschätzen, welche Verluste dies für das Unternehmen bedeuten könnte. Mit diesem Wissen können vorhandene interne Regelungen um präventive Massnahmen und Regeln gegen Social Engineering-Angriffe ergänzt werden. Diese Massnahmen und die notwendigen flankierenden Ausbildungs- und Sensibilisierungsmassnahmen sollen dem Mitarbeitenden helfen, im Fall der Fälle richtig zu reagieren.
 
Seite 1 von 12

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
SPONSOREN & PARTNER