Seite wählen

Einleitung

Das Ziel eines Sicherheitskonzeptes ist es proaktive L√∂sungsans√§tze zur Reduzierung der Eintrittswahrscheinlichkeit und Schadensh√∂he durch Analyse m√∂glicher Angriffs- und Schadenszenarien zu entwickeln, um ein definiertes Schutzniveau zu erreichen. Durch verschiedenste interne und externe Ursachen entstehen Zwischenf√§lle, also eine Abweichung des Idealzustandes. Solche Zwischenf√§lle k√∂nnen auch als Prozess definiert und somit einer Schwachstellenanalyse unterzogen werden.¬† Durch die Analyse des Zwischenfalls werden vorhandene Schwachstellen aufgedeckt und es k√∂nnen L√∂sungsans√§tze entwickelt werden, um diese Schwachstellen zu beseitigen. Das Kernelement dieses Textes ist die Schwachstellenanalyse des Zwischenfalls ‚ÄěSocial Engineer Angriff‚Äú, um vorhandene Schwachstellen, T√§ter und Opferseits zu entdecken, um daraus proaktive L√∂sungsans√§tze abzuleiten.¬†

 

Aufbau

Zuerst wird der Prozess auf verschiedene Arten dargelegt, um mehrere Sichtweisen auf den Prozess zu erm√∂glichen. Der Angreifer und die Zielperson werden dabei als gleichgestellte Personengruppen betrachtet, welche gemeinsam den Prozess erleben und gestalten. Im zweiten Schritt wird ein Soll-Zustand definiert und die Prozesselemente auf Fehlerursachen untersucht. Daraus entstehen die Schwachstellen, welche mithilfe der Engpasstheorie genauer beschrieben werden. Es werden dabei sowohl die Schwachstellen der Mitarbeiter als auch die der Angreifer herausgearbeitet, da nur so L√ľcken gefunden und nachhaltige Gegenma√ünahmen entwickelt werden k√∂nnen.

 

 

Prozessdarlegung / Ist-Zustand

Die Angriffsformen

Zuallererst muss der Social Engineering Prozess definiert und strukturiert werden. Da es sich um verschieden Angriffsformen handelt, m√ľssen zur Ableitung funktionaler und konsistenter Pr√§ventivma√ünahmen diese genauer betrachtet werden. Christopher Hadnagy unterteilt in seinem Buch ‚ÄěSocial Engineering enttarnt Sicherheitsrisiko Mensch‚Äú Social Engineering Angriffe in 3 Grundformen.

  1. Phishing

Phishing ist die am weitesten verbreitete Form des Social Engineering. Der Begriff leitet sich vom englischen Wort fishing ab, also angeln. Damit ist das Versenden von Massenmails oder auch zielgerichteten E-Mails (Spear-phishing) gemeint, in denen sich b√∂sartige Dateien, Links oder Instruktionen finden. Wenn man diese anklickt, √∂ffnet oder befolgt, entstehen Probleme, wie Datenverlust oder Sicherheitsl√ľcken.¬†

  1. Elizitieren per Telefon

Die zweith√§ufigste Form von Social Engineering ist das Elizitieren per Telefon. Die ‚ÄěNational Security Agency‚Äú der USA definieren Elizitieren als: ‚ÄěSubtile Extraktion von Informationen w√§hrend einer offenbar normalen und harmlosen Unterhaltung‚Äú. Die Angreifer rufen die Zielperson(en) direkt an. Der Angreifer verschleiert seine tats√§chliche Telefonnummer, so dass bei dem Opfer eine falsche Nummer angezeigt wird (Spoofing).¬†

  1. Impersonating / Identitätsbetrug

Identit√§tsbetrug ist die √§lteste Form des Social Engineerings. Im Zeitalter als es weder Internet noch Telefone gab, wurden Trickbetr√ľgereien pers√∂nlich durchgef√ľhrt. Die Angreifer schl√ľpfen dabei in einen fiktiven Charakter, um so wenig wie m√∂glich von Ihrer eigenen Identit√§t preiszugeben. Zus√§tzlich werden Hard- und Software wie z. B. USB-Sticks genutzt. Beispiele f√ľr Identit√§tsbetrug gibt es in der Menschheitsgeschichte viele. Victor Lustig der mehrere Male den Eifelturm verkaufte. Wilhelm Voigt welcher 1906 als falscher Hauptmann mit einer Handvoll Soldaten das K√∂penicker Rathaus besetzte und den Inhalt der Stadtkasse stahl. Anna Anderson die vorgab die Zarentochter Anastasia zu sein, was sich erst 10 Jahre nach Ihrem Tod als Unwahrheit herausstellte oder der vermeintliche FBI Agent der einen Bank√ľberfall verhinderte und danach das Geld als Beweismittel ‚Äěkonfiszierte‚Äú und die Bankr√§uber (seine Freunde) ‚Äěverhaftete‚Äú.

 

 

Zieldefinition

Allgemein gefasst ist das Ziel dieser Angriffe und somit auch des Social Engineering Prozesses, eine Person zu einem bestimmten Verhalten zu bewegen. Dazu zählen unter anderen Informationspreisgabe, Tätigen einer Übereignung, Einlass gewähren oder auch Vertrauensaufbau zur Manipulation.

 

 

Die verschieden Prozessphasen

Darstellungsentscheidung

Die Gliederung zum Prozessablauf habe ich den Phasenablauf aus der ‚ÄěAnlage zum Antrag auf Genehmigung eines betrieblichen Auftrags‚Äú entnommen, welche von der Industrie- und Handelskammer Nordschwarzwald zur Verf√ľgung gestellt wird und sich dem Management Regelkreis ann√§hert.

Das abstrakte Schema des Management-Regelkreises zeigt, dass der komplette Prozess zwischen Information und Kommunikation steht. Beides sind elementare Bestandteile des Social Engineering Prozesses und f√ľr den Erfolg des Angriffes entscheidend. Auch die Darstellung als Kreislauf ist passend f√ľr einen Social Engineering Angriff. Nach Abschluss eines Angriffes wird entweder derselbe Prozess an anderen Zielpersonen angewendet oder bei der Nichterf√ľllung des Ziels der Prozess √ľberarbeitet und angepasst. Die Unterteilung des Prozesses in mehrere Phasen erm√∂glicht es dem Angreifer und der Zielperson die erarbeiteten Inhalte der Phasen zu evaluieren und falls notwendig nachzuarbeiten, um Vollst√§ndigkeit zu garantieren. Jede einzelne Phase ist dabei wichtig und kann einen sehr unterschiedlichen Zeitumfang in Anspruch nehmen. Die Informationsbeschaffung k√∂nnte aus dem Social Engineering Prozess herausgel√∂st werden. Bei einem Datenflussdiagramm w√§re die Informationssammlung die Data Base, die √ľber den Social Engineering Prozess (Planung, Umsetzung, Kontrolle) zum Ziel f√ľhrt. Es ist jedoch f√ľr die erfolgreiche Analyse essenziell, bereits bei der Informationsbeschaffung und nicht erst w√§hrend der Planungsphase des Angreifers anzusetzen. Dadurch k√∂nnten einige Schwachstellen nicht erkannt werden und M√∂glichkeiten zur Pr√§vention unentdeckt bleiben.

 

Tabellarischer Aufbau

Phase

Phaseninhalt Angreifer

Phaseninhalt Zielperson

Phase 1

Informationen sammeln

 

 

¬∑¬†¬†¬†¬†¬†¬†¬† √úber Einzelperson (nat√ľrlich & juristisch)

·        Über erfolgreiche SE-Fälle

·        Über andere Websites

·        Sammeln von Telefonnummern, E-Mail-Adressen

·        Erlernen von Spoofing, Phishing, Pharming, Elizitieren, das Fälschen von Websites, …

·        Betriebswirtschaftliche Gesichtspunkte,

(Aufwand und Nutzen/Ertrag abwägen)

 

·        Erkennen des Angriffs

·        Abrufen des Wissens aus Briefings, Einweisungen, Vorkenntnissen, absolvierten Schulungen zum Thema Anti Social Engineering

·        Analyse des Angreifers um Schwachstellen zu finden

Phase 2

Planung

 

 

·        Technische, organisatorische und personelle Schnittstellen des Angriffsziels klären

·        Strategie entwickeln

·        Schwachstellen Identifizieren (auch eigene)

·        Risiken minimieren

·        Teilaufgaben festlegen und Arbeitsabläufe planen

 

·        Entwickeln einer Abwehrstrategie (Abwimmeln, Nachhaken, Hilfe holen, …)

Phase 3

Umsetzung / Durchf√ľhrung

·        Anwenden der Kenntnisse aus Phase 1

·        Falls notwendig Anpassen der Strategie

¬∑¬†¬†¬†¬†¬†¬†¬† Ausf√ľhren der geplanten Teilaufgaben

·        Falls notwendig Anpassen der Abwehrstrategie

¬∑¬†¬†¬†¬†¬†¬†¬† Ausf√ľhren der Abwehrma√ünahmen

Phase 4

Kontrolle

·        Reflexion des Prozesses

·        Ziel erreicht?

·        Kann noch mehr gemacht werden?

·        Gibt es Verbesserungsmöglichkeiten und falls ja welche?

·        Reflexion des Prozesses

·        Ist der Angriff Abgewehrt?

·        Hätte man mehr machen können?

¬∑¬†¬†¬†¬†¬†¬†¬† Habe ich eine Handlung get√§tigt die sich positiv f√ľr den Angreifer auswirkt? (Informationen preisgegeben, Einlass gew√§hrt, ungepr√ľften E-Mail-Anhang ge√∂ffnet, ‚Ķ)

 

 

Analyse 

Zeit-Phasen-Diagramm

Das Zeit-Phasen-Diagramm zeigt eine zeitliche Verschiebung zwischen den Phasen des Angreifers und der Zielperson. Die Zielperson hat das Zeitdefizit. W√§hrend der Angreifer Informationen gesammelt und aufbereitet hat, seine Strategie entwickeln und optimieren konnte, ist erst bei dem direkten Zusammentreffen beider Parteien der Angegriffene in der Lage auf die Konfrontation zu reagieren. Aber nur, wenn der Angegriffene die Situation auch als Angriff klassifiziert. Durch das Zeitdefizit und die Methodik des Angreifers wird auf die Zielperson Druck ausge√ľbt. Kombiniert mit einer k√ľnstlichen Dringlichkeit wird eine √úberforderung der Situation erzeugt, was in einer un√ľberlegten spontanen Reaktion der Zielperson resultieren kann. ¬†¬†

 

Darstellung nach BPMN 

Zu sehen sind drei farblich gekennzeichnete Endpunkte. Die Beiden roten sind die Schadenszenarien und das Resultat des erfolgreichen Social Engineer Angriffs. Der Angreifer war erfolgreich und der Angriff wurde durch die Zielperson nicht erkannt. Der gr√ľne Kreis steht f√ľr die erfolgreiche Abwehr des Social Engineering Angriffs und ist zugleich das Ziel von Anti Social Engineering Ma√ünahmen. Die Elemente in den Rechtecken stellen die Phasen des Social Engineering Prozesses dar. Diese Elemente werden von verschiedenen Au√üenfaktoren direkt beeinflusst. Durch die Analyse der einzelnen Elemente mitsamt ihrer Au√üenfaktoren k√∂nnen Schwachstellen und m√∂gliche Fehlerquellen identifiziert werden (Fishbone-Diagramm). Beginnen wir mit dem Angreifer Pool (oberes gro√ües Rechteck). In den ersten beiden Phasen des Social Engineering Prozesses ist die Zielperson noch nicht involviert. Erst mit dem Angriff ist die Zielperson mit der Attacke konfrontiert. Je mehr Informationen √ľber die Zielperson gesammelt werden k√∂nnen und je besser der Angriff geplant ist, desto h√∂her ist die Wahrscheinlichkeit, dass der Angriff erfolgreich f√ľr den Angreifer ausgeht. Um f√ľr eine Erh√∂hung des Abwehrpotenzials der Zielperson zu sorgen, m√ľssen die ersten beiden Phasen des Angreifers erschwert werden. Bei der Planung des Angriffs hat die Zielperson keinerlei Einflussm√∂glichkeiten, jedoch bei der Informationsbeschaffung. Ziel ist also den Angreifer den Informationsgewinnungsprozess so schwer wie m√∂glich zu machen. Die Europ√§ische Datenschutzgrundverordnung (DSGVO) regelt das Erfassen, Speichen und Nutzen von personenbezogenen Daten von Mitarbeitern und Kunden. Hinzu kommt eine Klassifizierung von Daten in verschiedene Sicherheitsstufen von 1 bis 6 nach DIN 66399 welche die Maximalgr√∂√üe der Partikel nach der Aktenvernichtung sowie das L√∂schen von Daten auf digitalen oder elektronischen Datentr√§gern regelt. Um an die gew√ľnschten Informationen zu gelangen nutzen die Angreifer deshalb lieber andere Beschaffungsquellen. Dumpster diving, Elizitieren und Deduzieren w√§hrend Gespr√§chen sind effiziente M√∂glichkeiten, um an Informationen zu gelangen, aber es geht noch einfacher. Viele Nutzer von Sozialen Medien geben bereitwillig viele Informationen √ľber sich Preis und erleichtern es Kriminellen, nicht nur ‚ÄěSocial Engineerern‚Äú, Informationen zu gewinnen. Mit dem Hochladen von aktuellen Fotos und Videos werden dadurch sogar Standort, Anzahl der Begleiter und Informationen zur Identifizierung des Nutzers pr√§sentiert. Das Risikopotenzial ist exorbitant hoch. Durch verz√∂gertes Uploading, Begrenzen der Onlinepr√§senz und gezieltes Streuen von Falschinformationen k√∂nnen pr√§ventiv Impersonating Angriffe unterbunden werden und die Informationsbeschaffung durch potenzielle Angreifer wird erschwert. Die Informationsbeschaffungsphase f√§llt bei manchen Social Engineering Angriffen weniger individuell aus. Dadurch r√ľckt die Awareness und der Wissensstand √ľber Social Engineering Angriffe in den Vordergrund.

 

Engpasstheorie

Einige Teilaspekte der verschiedenen Elemente k√∂nnen auch auf Engpassstellen untersucht werden. Kommunikationsdefizite bei Gespr√§chen per Telefon, wie Sprachbarrieren, Autorit√§ten oder schlechtes akustisches Verst√§ndnis, werden vom Angreifer k√ľnstlich erzeugt. Hinzu kommt der menschliche Faktor. Soziale Interaktion liegt in der menschlichen Natur. Heinz Abels erkl√§rt in seinen Theorien zwischenmenschliches Handeln damit, dass die Handelnden die Situation und ihr Handeln wechselseitig interpretieren und sich fortlaufend anzeigen, wie ihr gemeinsames Handeln weitergehen soll. Durch Reziprozit√§t, Soziale Bew√§hrtheit, Sympathie, Autorit√§t, Knappheit, Commitment und Konsistenz, Kenntnisse in Neuropsychologie und Biochemie k√∂nnen Social Engineers gezielt Menschen manipulieren. Die aktuelle Lebenssituation, Kompetenzen, gesellschaftliche Position, sowie der emotionale und seelische Gef√ľhlszustand werden ausgenutzt, um die Zielperson ma√ügeblich zu beeinflussen und um Vertrauen mit ihr aufzubauen. ¬†Ein weiterer Engpass ist das Zeitdefizit der Zielperson (siehe Zeit Phasen Diagramm). Der Social Engineer nutzt soziale Normen und Charaktereigenschaften, wie die Motivation der Zielpersonen aus, um Druck, sei es gesellschaftlich oder zeitlich, auf diese auszu√ľben.

 

Zusammenfassung

Die Schwachstellen des Social Engineering Prozesses liegen nicht allein bei den Charaktereigenschaften der Zielperson. Jedes einzelne Prozesselement wei√üt umstandsspezifische Schwachstellen auf. ¬†Die Angreifer, als auch die Zielpersonen sind angreifbar. Ein Beispiel ist das Vier-Seiten-Modell, welches besagt, dass jeder Teilnehmer eines Gespr√§ches etwas Pers√∂nliches von sich preisgibt. Dem Angreifer sch√ľtzt dabei auch kein Spoofing, Stimmverzerrer oder Pretexting. Das Erschweren der Informationsbeschaffung des Angreifers, das Erkennen des Social Engineering Angriffs und die Abwehr des Angriffes sind die Hauptprozesselemente die dazu beitragen den Prozess zugunsten des Angegriffenen zu beenden. Um das zu erreichen ist die Kenntniserweiterung im Bereich Anti Social Engineering essentiell und Schulungen die effizienteste M√∂glichkeit. Aber durch Schulungen sind noch nicht alle Risikofaktoren beseitigt. Der seelische und emotionale Zustand von Mitarbeitern spielt bei der Risikominimierung, nicht nur von Social Engineering Angriffen, eine wichtige Rolle. Das Sicherheitsbewusstsein muss in der Firmenpolitik verankert sein und Social Engineering als Risiko wahrgenommen werden. Personelle, organisatorische und technische Sicherheitsl√∂sungen m√ľssen sich erg√§nzen und regelm√§√üig auf eventuelle Schwachstellen gepr√ľft werden.