Einleitung

Das Ziel eines Sicherheitskonzeptes ist es proaktive Lösungsansätze zur Reduzierung der Eintrittswahrscheinlichkeit und Schadenshöhe durch Analyse möglicher Angriffs- und Schadenszenarien zu entwickeln, um ein definiertes Schutzniveau zu erreichen. Durch verschiedenste interne und externe Ursachen entstehen Zwischenfälle, also eine Abweichung des Idealzustandes. Solche Zwischenfälle können auch als Prozess definiert und somit einer Schwachstellenanalyse unterzogen werden.  Durch die Analyse des Zwischenfalls werden vorhandene Schwachstellen aufgedeckt und es können Lösungsansätze entwickelt werden, um diese Schwachstellen zu beseitigen. Das Kernelement dieses Textes ist die Schwachstellenanalyse des Zwischenfalls „Social Engineer Angriff“, um vorhandene Schwachstellen, Täter und Opferseits zu entdecken, um daraus proaktive Lösungsansätze abzuleiten. 

 

Aufbau

Zuerst wird der Prozess auf verschiedene Arten dargelegt, um mehrere Sichtweisen auf den Prozess zu ermöglichen. Der Angreifer und die Zielperson werden dabei als gleichgestellte Personengruppen betrachtet, welche gemeinsam den Prozess erleben und gestalten. Im zweiten Schritt wird ein Soll-Zustand definiert und die Prozesselemente auf Fehlerursachen untersucht. Daraus entstehen die Schwachstellen, welche mithilfe der Engpasstheorie genauer beschrieben werden. Es werden dabei sowohl die Schwachstellen der Mitarbeiter als auch die der Angreifer herausgearbeitet, da nur so Lücken gefunden und nachhaltige Gegenmaßnahmen entwickelt werden können.

 

 

Prozessdarlegung / Ist-Zustand

Die Angriffsformen

Zuallererst muss der Social Engineering Prozess definiert und strukturiert werden. Da es sich um verschieden Angriffsformen handelt, müssen zur Ableitung funktionaler und konsistenter Präventivmaßnahmen diese genauer betrachtet werden. Christopher Hadnagy unterteilt in seinem Buch „Social Engineering enttarnt Sicherheitsrisiko Mensch“ Social Engineering Angriffe in 3 Grundformen.

  1. Phishing

Phishing ist die am weitesten verbreitete Form des Social Engineering. Der Begriff leitet sich vom englischen Wort fishing ab, also angeln. Damit ist das Versenden von Massenmails oder auch zielgerichteten E-Mails (Spear-phishing) gemeint, in denen sich bösartige Dateien, Links oder Instruktionen finden. Wenn man diese anklickt, öffnet oder befolgt, entstehen Probleme, wie Datenverlust oder Sicherheitslücken. 

  1. Elizitieren per Telefon

Die zweithäufigste Form von Social Engineering ist das Elizitieren per Telefon. Die „National Security Agency“ der USA definieren Elizitieren als: „Subtile Extraktion von Informationen während einer offenbar normalen und harmlosen Unterhaltung“. Die Angreifer rufen die Zielperson(en) direkt an. Der Angreifer verschleiert seine tatsächliche Telefonnummer, so dass bei dem Opfer eine falsche Nummer angezeigt wird (Spoofing). 

  1. Impersonating / Identitätsbetrug

Identitätsbetrug ist die älteste Form des Social Engineerings. Im Zeitalter als es weder Internet noch Telefone gab, wurden Trickbetrügereien persönlich durchgeführt. Die Angreifer schlüpfen dabei in einen fiktiven Charakter, um so wenig wie möglich von Ihrer eigenen Identität preiszugeben. Zusätzlich werden Hard- und Software wie z. B. USB-Sticks genutzt. Beispiele für Identitätsbetrug gibt es in der Menschheitsgeschichte viele. Victor Lustig der mehrere Male den Eifelturm verkaufte. Wilhelm Voigt welcher 1906 als falscher Hauptmann mit einer Handvoll Soldaten das Köpenicker Rathaus besetzte und den Inhalt der Stadtkasse stahl. Anna Anderson die vorgab die Zarentochter Anastasia zu sein, was sich erst 10 Jahre nach Ihrem Tod als Unwahrheit herausstellte oder der vermeintliche FBI Agent der einen Banküberfall verhinderte und danach das Geld als Beweismittel „konfiszierte“ und die Bankräuber (seine Freunde) „verhaftete“.

 

 

Zieldefinition

Allgemein gefasst ist das Ziel dieser Angriffe und somit auch des Social Engineering Prozesses, eine Person zu einem bestimmten Verhalten zu bewegen. Dazu zählen unter anderen Informationspreisgabe, Tätigen einer Übereignung, Einlass gewähren oder auch Vertrauensaufbau zur Manipulation.

 

 

Die verschieden Prozessphasen

Darstellungsentscheidung

Die Gliederung zum Prozessablauf habe ich den Phasenablauf aus der „Anlage zum Antrag auf Genehmigung eines betrieblichen Auftrags“ entnommen, welche von der Industrie- und Handelskammer Nordschwarzwald zur Verfügung gestellt wird und sich dem Management Regelkreis annähert.

Das abstrakte Schema des Management-Regelkreises zeigt, dass der komplette Prozess zwischen Information und Kommunikation steht. Beides sind elementare Bestandteile des Social Engineering Prozesses und für den Erfolg des Angriffes entscheidend. Auch die Darstellung als Kreislauf ist passend für einen Social Engineering Angriff. Nach Abschluss eines Angriffes wird entweder derselbe Prozess an anderen Zielpersonen angewendet oder bei der Nichterfüllung des Ziels der Prozess überarbeitet und angepasst. Die Unterteilung des Prozesses in mehrere Phasen ermöglicht es dem Angreifer und der Zielperson die erarbeiteten Inhalte der Phasen zu evaluieren und falls notwendig nachzuarbeiten, um Vollständigkeit zu garantieren. Jede einzelne Phase ist dabei wichtig und kann einen sehr unterschiedlichen Zeitumfang in Anspruch nehmen. Die Informationsbeschaffung könnte aus dem Social Engineering Prozess herausgelöst werden. Bei einem Datenflussdiagramm wäre die Informationssammlung die Data Base, die über den Social Engineering Prozess (Planung, Umsetzung, Kontrolle) zum Ziel führt. Es ist jedoch für die erfolgreiche Analyse essenziell, bereits bei der Informationsbeschaffung und nicht erst während der Planungsphase des Angreifers anzusetzen. Dadurch könnten einige Schwachstellen nicht erkannt werden und Möglichkeiten zur Prävention unentdeckt bleiben.

 

Tabellarischer Aufbau

Phase

Phaseninhalt Angreifer

Phaseninhalt Zielperson

Phase 1

Informationen sammeln

 

 

·        Über Einzelperson (natürlich & juristisch)

·        Über erfolgreiche SE-Fälle

·        Über andere Websites

·        Sammeln von Telefonnummern, E-Mail-Adressen

·        Erlernen von Spoofing, Phishing, Pharming, Elizitieren, das Fälschen von Websites, …

·        Betriebswirtschaftliche Gesichtspunkte,

(Aufwand und Nutzen/Ertrag abwägen)

 

·        Erkennen des Angriffs

·        Abrufen des Wissens aus Briefings, Einweisungen, Vorkenntnissen, absolvierten Schulungen zum Thema Anti Social Engineering

·        Analyse des Angreifers um Schwachstellen zu finden

Phase 2

Planung

 

 

·        Technische, organisatorische und personelle Schnittstellen des Angriffsziels klären

·        Strategie entwickeln

·        Schwachstellen Identifizieren (auch eigene)

·        Risiken minimieren

·        Teilaufgaben festlegen und Arbeitsabläufe planen

 

·        Entwickeln einer Abwehrstrategie (Abwimmeln, Nachhaken, Hilfe holen, …)

Phase 3

Umsetzung / Durchführung

·        Anwenden der Kenntnisse aus Phase 1

·        Falls notwendig Anpassen der Strategie

·        Ausführen der geplanten Teilaufgaben

·        Falls notwendig Anpassen der Abwehrstrategie

·        Ausführen der Abwehrmaßnahmen

Phase 4

Kontrolle

·        Reflexion des Prozesses

·        Ziel erreicht?

·        Kann noch mehr gemacht werden?

·        Gibt es Verbesserungsmöglichkeiten und falls ja welche?

·        Reflexion des Prozesses

·        Ist der Angriff Abgewehrt?

·        Hätte man mehr machen können?

·        Habe ich eine Handlung getätigt die sich positiv für den Angreifer auswirkt? (Informationen preisgegeben, Einlass gewährt, ungeprüften E-Mail-Anhang geöffnet, …)

 

 

Analyse 

Zeit-Phasen-Diagramm

Das Zeit-Phasen-Diagramm zeigt eine zeitliche Verschiebung zwischen den Phasen des Angreifers und der Zielperson. Die Zielperson hat das Zeitdefizit. Während der Angreifer Informationen gesammelt und aufbereitet hat, seine Strategie entwickeln und optimieren konnte, ist erst bei dem direkten Zusammentreffen beider Parteien der Angegriffene in der Lage auf die Konfrontation zu reagieren. Aber nur, wenn der Angegriffene die Situation auch als Angriff klassifiziert. Durch das Zeitdefizit und die Methodik des Angreifers wird auf die Zielperson Druck ausgeübt. Kombiniert mit einer künstlichen Dringlichkeit wird eine Überforderung der Situation erzeugt, was in einer unüberlegten spontanen Reaktion der Zielperson resultieren kann.   

 

Darstellung nach BPMN 

Zu sehen sind drei farblich gekennzeichnete Endpunkte. Die Beiden roten sind die Schadenszenarien und das Resultat des erfolgreichen Social Engineer Angriffs. Der Angreifer war erfolgreich und der Angriff wurde durch die Zielperson nicht erkannt. Der grüne Kreis steht für die erfolgreiche Abwehr des Social Engineering Angriffs und ist zugleich das Ziel von Anti Social Engineering Maßnahmen. Die Elemente in den Rechtecken stellen die Phasen des Social Engineering Prozesses dar. Diese Elemente werden von verschiedenen Außenfaktoren direkt beeinflusst. Durch die Analyse der einzelnen Elemente mitsamt ihrer Außenfaktoren können Schwachstellen und mögliche Fehlerquellen identifiziert werden (Fishbone-Diagramm). Beginnen wir mit dem Angreifer Pool (oberes großes Rechteck). In den ersten beiden Phasen des Social Engineering Prozesses ist die Zielperson noch nicht involviert. Erst mit dem Angriff ist die Zielperson mit der Attacke konfrontiert. Je mehr Informationen über die Zielperson gesammelt werden können und je besser der Angriff geplant ist, desto höher ist die Wahrscheinlichkeit, dass der Angriff erfolgreich für den Angreifer ausgeht. Um für eine Erhöhung des Abwehrpotenzials der Zielperson zu sorgen, müssen die ersten beiden Phasen des Angreifers erschwert werden. Bei der Planung des Angriffs hat die Zielperson keinerlei Einflussmöglichkeiten, jedoch bei der Informationsbeschaffung. Ziel ist also den Angreifer den Informationsgewinnungsprozess so schwer wie möglich zu machen. Die Europäische Datenschutzgrundverordnung (DSGVO) regelt das Erfassen, Speichen und Nutzen von personenbezogenen Daten von Mitarbeitern und Kunden. Hinzu kommt eine Klassifizierung von Daten in verschiedene Sicherheitsstufen von 1 bis 6 nach DIN 66399 welche die Maximalgröße der Partikel nach der Aktenvernichtung sowie das Löschen von Daten auf digitalen oder elektronischen Datenträgern regelt. Um an die gewünschten Informationen zu gelangen nutzen die Angreifer deshalb lieber andere Beschaffungsquellen. Dumpster diving, Elizitieren und Deduzieren während Gesprächen sind effiziente Möglichkeiten, um an Informationen zu gelangen, aber es geht noch einfacher. Viele Nutzer von Sozialen Medien geben bereitwillig viele Informationen über sich Preis und erleichtern es Kriminellen, nicht nur „Social Engineerern“, Informationen zu gewinnen. Mit dem Hochladen von aktuellen Fotos und Videos werden dadurch sogar Standort, Anzahl der Begleiter und Informationen zur Identifizierung des Nutzers präsentiert. Das Risikopotenzial ist exorbitant hoch. Durch verzögertes Uploading, Begrenzen der Onlinepräsenz und gezieltes Streuen von Falschinformationen können präventiv Impersonating Angriffe unterbunden werden und die Informationsbeschaffung durch potenzielle Angreifer wird erschwert. Die Informationsbeschaffungsphase fällt bei manchen Social Engineering Angriffen weniger individuell aus. Dadurch rückt die Awareness und der Wissensstand über Social Engineering Angriffe in den Vordergrund.

 

Engpasstheorie

Einige Teilaspekte der verschiedenen Elemente können auch auf Engpassstellen untersucht werden. Kommunikationsdefizite bei Gesprächen per Telefon, wie Sprachbarrieren, Autoritäten oder schlechtes akustisches Verständnis, werden vom Angreifer künstlich erzeugt. Hinzu kommt der menschliche Faktor. Soziale Interaktion liegt in der menschlichen Natur. Heinz Abels erklärt in seinen Theorien zwischenmenschliches Handeln damit, dass die Handelnden die Situation und ihr Handeln wechselseitig interpretieren und sich fortlaufend anzeigen, wie ihr gemeinsames Handeln weitergehen soll. Durch Reziprozität, Soziale Bewährtheit, Sympathie, Autorität, Knappheit, Commitment und Konsistenz, Kenntnisse in Neuropsychologie und Biochemie können Social Engineers gezielt Menschen manipulieren. Die aktuelle Lebenssituation, Kompetenzen, gesellschaftliche Position, sowie der emotionale und seelische Gefühlszustand werden ausgenutzt, um die Zielperson maßgeblich zu beeinflussen und um Vertrauen mit ihr aufzubauen.  Ein weiterer Engpass ist das Zeitdefizit der Zielperson (siehe Zeit Phasen Diagramm). Der Social Engineer nutzt soziale Normen und Charaktereigenschaften, wie die Motivation der Zielpersonen aus, um Druck, sei es gesellschaftlich oder zeitlich, auf diese auszuüben.

 

Zusammenfassung

Die Schwachstellen des Social Engineering Prozesses liegen nicht allein bei den Charaktereigenschaften der Zielperson. Jedes einzelne Prozesselement weißt umstandsspezifische Schwachstellen auf.  Die Angreifer, als auch die Zielpersonen sind angreifbar. Ein Beispiel ist das Vier-Seiten-Modell, welches besagt, dass jeder Teilnehmer eines Gespräches etwas Persönliches von sich preisgibt. Dem Angreifer schützt dabei auch kein Spoofing, Stimmverzerrer oder Pretexting. Das Erschweren der Informationsbeschaffung des Angreifers, das Erkennen des Social Engineering Angriffs und die Abwehr des Angriffes sind die Hauptprozesselemente die dazu beitragen den Prozess zugunsten des Angegriffenen zu beenden. Um das zu erreichen ist die Kenntniserweiterung im Bereich Anti Social Engineering essentiell und Schulungen die effizienteste Möglichkeit. Aber durch Schulungen sind noch nicht alle Risikofaktoren beseitigt. Der seelische und emotionale Zustand von Mitarbeitern spielt bei der Risikominimierung, nicht nur von Social Engineering Angriffen, eine wichtige Rolle. Das Sicherheitsbewusstsein muss in der Firmenpolitik verankert sein und Social Engineering als Risiko wahrgenommen werden. Personelle, organisatorische und technische Sicherheitslösungen müssen sich ergänzen und regelmäßig auf eventuelle Schwachstellen geprüft werden.