Häu­fig werde ich im Rah­men von Pen­e­tra­tionstests auch nach Social Engi­neer­ing gefragt. Dies ist eine Angriff­s­meth­ode, bei der Per­so­n­en dazu ver­leit­et wer­den unbe­wusst Infor­ma­tio­nen preiszugeben oder den Angreifer bei seinem Vorhaben zu unter­stützen. In der Vor­bere­itungsphase wer­den durch die Abfrage der Fir­men Web­seite und möglicher­weise vorhan­den­er Pro­file auf diversen Sozialen Plat­tfor­men (z.B. XING, LinkedIn oder Face­book) entsprechende Zielper­so­n­en definiert und möglichst viele Infor­ma­tio­nen über diese Per­so­n­en ermit­telt (z.B. Funk­tion, Zuständigkeit, Hob­bies). In der Folge wird ver­sucht diesen Per­so­n­en Infor­ma­tio­nen zu ent­lock­en, oder diese zu Hand­lun­gen zu ver­leit­en, um unbefugten Zugriff auf Dat­en oder IT-Anwen­dun­gen zu erhal­ten. Hier ist es auch wichtig zu erwäh­nen, dass diese Tests mit dem Betrieb­srat abge­sprochen wer­den müssen.

Wie funktioniert ein Social Engineering Angriff?

Dies kann durch zusenden von E‑Mails, welche auf gefälschte Web­seit­en lenken oder auch durch direk­ten per­sön­lichen Kon­takt erre­icht wer­den. Mein Team set­zt hier auch gerne USB-Sticks ein, welche per Post an die Zielper­so­n­en versendet wer­den. Natür­lich sind dies keine USB-Sticks, son­dern spezielles IT-Equip­ment, welche für solche Tests entwick­elt wur­den. Es reicht bere­its aus, wenn eine Zielper­son diesen Stick ansteckt, um die volle Kon­trolle über den Com­put­er zu erhal­ten.

Sinnvoll oder nicht?

Ich bin jedoch der Ansicht, dass solche Tests erst dann durchge­führt wer­den soll­ten, wenn es im Unternehmen klare Ver­hal­tensregeln für die Abwehr von Social Engi­neer­ing gibt und die Mitar­beit­er und Mitar­bei­t­erin­nen entsprechend sen­si­bil­isiert, geschult und regelmäßig trainiert wer­den. Ohne Schu­lung haben die aus­gewählten Zielper­so­n­en kaum eine Chance diese Angriffe zu erken­nen und abzuwehren, tap­pen somit blind in die Falle.

In der Prax­is hat sich gezeigt, dass wenn Tests unter diesen Voraus­set­zun­gen trotz­dem durchge­führt wer­den, sich das Kli­ma zwis­chen den Ver­ant­wortlichen für Infor­ma­tion­ssicher­heit und den Mitar­beit­er und Mitar­bei­t­erin­nen deut­lich ver­schlechtert. Diese fühlen sich in der Regel „rein­gelegt“ und reagieren entsprechend.

Unternehmen sind also gut berat­en vor der Durch­führung von Social Engi­neer­ing Tests zu prüfen, ob die oben ange­führten Voraus­set­zun­gen gegeben sind. Im Zweifel sollte zuerst Richtlin­ien und darauf auf­bauende Secu­ri­ty Aware­ness Kam­pag­nen durchge­führt wer­den.

Weit­ere Infor­ma­tio­nen zum The­ma Social Engi­neer­ing: Man­fred Scholz, manfred.scholz@sec4you.com