Viren, Würmer und IT-Netzwerke sind nur die halbe Sicherheits-Miete. Echte Profigauner, Spione oder die Konkurrenz setzen auf die »Sicherheitslücke« Mensch – und greifen zu »Social Engineering«. Wo die Gefahren lauern, was man dagegen tun kann.

Ist »Social Engineering« schon wieder so ein IT-Buzzword, das man möglichst schnell wieder vergessen sollte? Nein, von einem neumodischen Hype kann man nicht gerade sprechen. Der gemeuchelte Cäsar hatte seinen Brutus, die geköpfte Maria Stuart ihre Königin Elisabeth, die Giftmischer-Päpste der Renaissance ihre Zuträger und Spione. Das macht Social Engineering so perfide. Als »Kulturtechnik« ist es wahrscheinlich so alt wie die Menschheit selbst. Und hundsgemein dazu. Es nützt gezielt menschliche »Schwachstellen«, die eigentlich Stärken sind. Vertrauen gehört dazu oder auch Hilfsbereitschaft. Aber auch weniger schöne Eigenschaften werden gerne instrumentalisiert. Nigeria-Spammer setzen etwa auf Gier, am besten in Kombination mit Unbedarftheit. Selbst mit dieser plumpen und sattsam bekannten Variante von Social Engineering lässt sich immer noch Geld »verdienen«. Erst letzten Winter erwischte es wieder einmal eine Österreicherin – laut Polizeibericht übrigens eine erfolgreiche Geschäftsfrau –, die ihre Ersparnisse in irgendein Niemandsland überwies, um schnell reich zu werden. Für echte Social-Engineering-Profis ist so etwas Tölpelhaftes und leicht Durchschaubares wie Nigeria-Spam freilich nur Kinderkram. Der berühmte US-Hacker Kevin Mitnick, nach Jahren der Haft geläutert und heute gefragter Sicherheitsexperte, sagte in der Fachzeitschrift Security Focus, dass man ein Vermögen in IT-Technologien und Dienstleistung stecken könne, die aufgemotzte Netzwerkinfrastruktur aber immer noch auf »altmodische Art« angreifbar sei.

Laut Mitnick – als einer der erfolgreichsten Hacker aller Zeiten sollte er es wirklich wissen – sei es wesentlich einfacher und zielführender, auf soziale Mechanismen zu setzen, als hochkomplizierte technische Angriffe zu starten. Um etwa Passwörter auszuspähen, kommt ein Klassiker des IT-bezogenen Social Engineering zum Einsatz. Ist eine lohnende Zielperson erst einmal ausspioniert, meldet sich dort ein »Systemadministrator«, der schnell und unkompliziert eine Störung beheben will, dafür aber das Passwort braucht. Schnell und unkompliziert klingt doch gut, oder? Noch dazu ist so ein Administrator für IT-Laien oft eine Respektsperson, die höchst geheimnisvolle und unverständliche Dinge tut, immer hilfreich ist und schon weiß, was notwendig ist, um die technische Infrastruktur am Laufen zu halten. Spielt der »Administrator« seine Rolle nur überzeugend genug, ist das Passwort schnell verraten – und die teuer erkaufte Netzwerksicherheit schon kompromittiert. Das Kreuz mit Social Engineering ist, dass es in unzähligen Varianten daherkommt.

Unberechenbares Chamäleon
Den »Administrator« kann man getrost durch den Techniker des Internet- oder Telefonproviders ersetzen. Geht es um rein physischen Zugang in ein Unternehmen, haben »Blaumänner« wie Installateure oder Stadtwerkebedienstete fast schon ein Heimspiel. Ein simpler Trick, der nicht nur bei Pensionistinnen, sondern auch bei Portieren funktionieren soll. Will man in ein gesichertes Firmengebäude, geht es aber noch einfacher. »Wer hält einem nachkommenden Kollegen nicht die Türe auf«, sagt Gerhard Göschl, Security-Experte von Microsoft. Notfalls hilft auch ein Schlüssel oder eine Smartcard, die man angeblich gerade verloren hat, um die Kollegen spontan zur »Hilfe« zu bewegen. Für Göschl ist Social Engineering daher am »schwersten zu bekämpfen«. Ein lohnendes Ziel sind auch Helpdesks. Dort trifft man ausschließlich auf Mitarbeiter, die darauf gedrillt sind, zu helfen. Da hört man schnell auch einmal Details über Kontostände oder Internetanschlüsse, wenn man nur ein paar halbwegs verlässliche Basisdaten zu Verfügung hat und sein »Anliegen« nur plausibel genug vermittelt. Das ist für wirklich Hilfesuchende tatsächlich praktisch, aber im Zweifelsfall auch nicht unbedenklich. Interessant sind beispielsweise auch die Aktivitäten von Personal-Recruitern.

Offen sagen will das niemand, aber bei der Suche nach Managementnachwuchs greift man schon einmal zu Mitteln aus der Grauzone. Da werden schon einmal Portiere überwunden oder vorgespielte Kontakte hergestellt, um lohnende Zielpersonen zu detektieren. Eine besonders perfide Technik ist das »Reverse Social Engineering«. Eine aufwendig ausrecherchierte Zielperson wird mit Tricks dazu gebracht, von sich aus aktiv »Hilfe« oder »Rat« zu suchen. Natürlich genau bei den Leuten, die diese Falle gestellt haben. Auch Stolz ist eine Stolperfalle. Techniker etwa, die über ihre bahnbrechenden Entwicklungen eigentlich kein Wort sprechen dürften, plaudern doch ganz gerne, wenn man es nur geschickt genug anpackt. Hier sind Respekt, Lob und Bewunderung der Schlüssel. Aber diese Streicheleinheiten fürs Ego gibt es natürlich nur, wenn man als Geheimnisträger auch etwas preisgibt. Beliebt ist diese Methode angeblich auf Messen, wo noch ein persönliche Faktor dazukommt. Immer noch weitgehend unbeachtet ist der Faktor Mitarbeiterzufriedenheit. »Mitarbeiter, die sich wohl fühlen, werden ihrer Firma in den seltensten Fällen bewusst schaden«, sagt etwa Christian Reiser, Security-Experte der Erste Group Bank. Ist die Stimmung aber etwa wegen Mobbing oder Managementfehlern am Nullpunkt, kann diese Balance schnell kippen. Nicht jeder frustrierte Mitarbeiter wird deswegen gleich zum »Verräter«, aber bewusst oder auch unbewusst ein mehr als lohnendes Ziel für Social Engineering.

Wer sollte was tun?
Wer gegen »Social Engineering« vorbeugen sollte, lässt sich nicht einfach abgrenzen. Zu vielgestaltig sind die Angriffsmöglichkeiten. Wie ein Bäcker seine Semmeln fertigt, interessiert böse Buben kaum, auch wenn es sich um einen Großbäcker mit 3.000 Angestellten handelt. Dagegen kann ein Ingenieursbüro mit zehn Mitarbeitern bereits ein lohnendes Ziel sein, wenn es Know-how, Fertigungsverfahren, Markenimitate oder Manpower abzuschöpfen gilt. Je größer oder spezialisierter ein Unternehmen ist, desto gefährdeter ist es im Regelfall auch. Die wichtigsten Vorbeugungsmaßnahmen:

>> Sicherheitspolicies: Vom Portier über IT-Mannschaft bis hin zum Management muss jedem klar sein, wie man potenzielle Angriffe bereits formal ausschaltet oder wenigstens entschärft. Z.B: strenge Regeln, was auf Webseiten veröffentlicht wird oder wie die tatsächliche Identität von unbekannten Gesprächspartner verifiziert werden muss.

>> Schulung: Und noch einmal Schulung. Policies sind toll, aber, wenn sich mangels Bewusstsein niemand daran hält, auch ziemlich nutzlos. Wirkungsvoller sind sie jedoch, wenn vom Helpdesk bis zum CEO alle Mitarbeiter mögliche Angriffspfade auch persönlich verinnerlicht haben.

>> Multilevel-Politik: Je heikler potenzielle Lecks sind, desto mehr Sicherheitsebenen sollten eingezogen werden. Schon steinzeitliche Festungen waren nach diesem Prinzip aufgebaut: Ein Wehrgraben hilft viel, drei noch viel mehr. Übersetzt auf heutige Verhältnisse: Ein Passwort ist gut, geht es aber um Geheimnisträger und ihren Zugriff auf IT-Strukturen, sollte man zusätzlich auch Maßnahmen wie Chipkarten-Identifikation treffen.

>> Zufriedenheit: Ein Oldie aber ein Goldie. Fühlen sich Ihre Mitarbeiter gemobbt, bevormundet oder übergangen, öffnet das für Social Engineering Tür und Tor.