Wie die eigene Identität gestohlen wird

Security-Experte Philipp Schaumann über das Ausnutzen menschlicher Schwächen und Stärken, um an sensible Informationen zu kommen

derStandard.at: Was ist ein typisches Beispiel für Social Engineering?

Schaumann: Es gibt jede Menge Möglichkeiten. Jemand ruft in einem Call Center an, gibt an, eine bestimmte Person zu sein, und lässt sich das Passwort für die Online-Rechnung geben. Damit hat man Zugang zu den Einzelgesprächsnachweisen. Das kann zum Beispiel in einem Scheidungsfall interessant sein. Das ist eine typische Sache. Oder ein Privatdetektiv ruft bei der Bank an und versucht herauszufinden, wieviel der Ehepartner verdient, oder wieviel auf dem Konto drauf ist. Banken müssen immer damit rechnen, dass jemand versucht, sich über den Kontostand eines anderen schlau zu machen. Oder jemand ruft bei meinem Mobilfunk-Provider an und sagt, ich will für meine Tochter etwas kündigen. Das Passwort weiß ich aber nicht. Dann kommt manchmal der Fehler vom Helpdesk, zu sagen, es sei ein Vorname oder ein Geburtsdatum. Und schon ist alles klar. Hilfsbereitschaft ist eine tolle Sache, außer ich habe mit jemanden zu tun, der mich reinlegen will. Für ein Geburtsdatum muss man nur auf Facebook schauen. Das Gute für den Angreifer ist, dass es nicht beim ersten Mal klappen muss. Er kann ja immer wieder anrufen. 

derStandard.at: Sind das dann schon Straftaten?

Schaumann: Das ist nicht ganz klar. Lügen ist nicht unbedingt eine Straftat. Die Identität einer anderen Person anzunehmen, liegt in einem Graubereich. Es rufen ja auch tatsächlich viele Leute aus Callcentern an, die Umfragen machen. Sie rufen etwa Führungskräfte von Unternehmen an und fragen, welche Software sie einsetzen. IT-Firmen benutzen tatsächlich solche Umfrage-Services. 95 Prozent der Anrufe sind echt, 5 Prozent nicht. Sie dienen zum Beispiel der Industriespionage. Da wird genau dieser Schmäh verwendet, um an sensible Informationen zu kommen. Es ruft jemand an und sagt: Haben sie zehn Minuten Zeit? Ich mache eine Umfrage. Ich bin vom Institut X. Welche Kreditservices benutzen sie? Welche IT-Provider benutzen sie? 

derStandard.at: Wie profitieren Menschen, die Social Engineering betreiben, davon?

Schaumann: Es geht darum, dass Informationen aus jemanden herausgeholt werden, die er der sonst nicht weitergegeben hätte. Callcenter von Versicherungen werden angerufen mit der Bitte: Ich habe meine Polizze verloren, können sie eine Kopie schicken? Und dann hört man, dass das Haus abgebrannt ist etc. Wenn eine Lebensversicherungs-Polizze an eine falsche Person geschickt wird, kann damit Geld gemacht werden, sie kann beliehen werden, bei einem Kredit als Besicherung hinterlegt werden etc. 

derStandard.at: Was wäre ein Beispiel für spezialisiertes, gezieltes Social Engenieerung, das weniger häufig vorkommt?

Schaumann: Zum Beispiel hat ein IT-Security-Spezialist ein Facebook-Profil einer Dame mit attraktivem Foto erzeugt und angegeben, sie studiere Informationssicherheit und interessiert sich speziell für den Verteidigungsbereich. Dieser Mann, der vorgab, eine Frau zu sein, hat dann Freundschaften geschlossen mit sehr vielen Managern in Rüstungsfirmen. Die wollten alle der Dame imponieren und haben ihr interessante Geschichten aus dem Arbeitsleben erzählt. Davon wissen wir, weil der IT-Spezialist das dann veröffentlich hat und sich darüber lustig gemacht hat, dass die Hochsicherheitsindustrie auf so etwas hineinfällt. Von wirklich gelungenen Angriffen erfährt man ja nie. Wirklich gutes Social Engineering zeichnet sich dadurch aus, dass das Opfer letztendlich nicht weiß, was passiert ist. Man erfährt von Fällen, wo es fast geklappt hat, oder wo getestet wird, ob jemand drauf hineinfällt. 

derStandard.at: Was wäre ein gängiger Fall von Industriespionage?

Schaumann: Dass etwa jemand anruft und vorgibt, von der Revision des Zulieferers zu sein. Er sagt, er wäre jetzt dabei, Rechnungen zu überprüfen, und er wollte noch einmal gegenchecken, wieviele Aufträge der Kunde im letzten Jahr gemacht hat: Sagen sie einmal, wieviel Geld haben wir bei ihnen eigentlich ausgegeben? Wenn der Angerufene dann anfängt zu erzählen, kann man nachfragen: War das alles für Produkttyp A? Und dann bekommt er die Antwort: Nein, Typ A haben sie gar nicht bestellt, sie haben die Produkte 25 und 49 bestellt. Sich korrigieren lassen, ist ein typischer Trick.

derStandard.at: Social Engineering zielt oft auf Zugangsdaten für Firmennetzwerke ab.

Schaumann: Wenn ich Benutzername und Passwort herausbekomme, kann ich mir etwa über einen Email-Internet-Zugang interessante Informationen besorgen. Wenn ich erst mal Zugang zum Firmennetz habe, kann ich von da aus weitermachen. Es ist sehr leicht, sich als Mitarbeiter auszugeben, notwendige Informationen und Kontakte finden sich im Internet.

derStandard.at: Wie geht ein Angreifer am Telefon vor?

Schaumann: Es hilft, im Gespräch ins Private hineinzurutschen. Wenn man etwas geschenkt bekommt, gibt man etwas zurück. Im Rahmen eines Gesprächs wird eine gewisse Vertrauensbasis hergestellt. Wenn der Angreifer es schafft, ein Gefühl der Dankbarkeit zu erzeugen, kann er sich vielleicht etwas wünschen. Das ist nur ein Trick. Ich habe bei Callcenter-Schulungen gefragt, wieviele am Telefon locker mit Tränen umgehen können. Schwierige Sache. Das sind nicht alle. Oder Mitleid: Wenn jemand sagt, er kann sich sein Passwort nicht persönlich abholen, weil er behindert sei - da bleiben nur wenige hart und sagen, Regeln sind Regeln. 

derStandard.at: Was tut man also in solchen Fällen?

Schaumann: Unternehmen müssen ihren Mitarbeitern Optionen in die Hand zu geben, um aus brenzlichen Situationen herauszukommen. Die Kunst der Sache ist, zu sagen: Ich sehe ihre Not, ich möchte ihnen gern helfen. Ich muss mit meinem Kollegen reden, darf ich sie zurückrufen? Man muss zuerst rauskommen aus der emotionalen Situation, in die einen der Anrufer gebracht hat. Natürlich sagt der dann: Sie können nicht zurückrufen, der Handyakku ist leer, unter dieser Nummer bin ich nicht zu erreichen etc. An der Stelle muss man skeptisch werden. Dieses Skeptischwerden muss man üben. Der zweite Punkt ist die Möglichkeit, mit einem Vorgesetzen oder Kollegen zu reden. In einem guten Callcenter gibt es immer die Möglichkeit mit einem Supervisor zu reden und ihm das Gespräch zu übergeben. Ich frage in Schulungen auch: Wieviele können auflegen, während der andere ununterbrochen redet? Auch schwierig. 

derStandard.at: Man gibt Mitarbeitern Rhetorik und psychologisches Hintergrundwissen. Das kann man in Schulungen vermitteln. Was kann man sonst tun?

Schaumann: Man kann dem Callcenter-Mitarbeiter die Möglichkeit geben, eine Notiz in der Kundenakte zu hinterlassen. Mitarbeiter sollen immer sofort die Kundeninformationen aufrufen. Da steht dann vielleicht drinnen, der hat vor fünf Minuten angerufen und wollte das Passwort haben. Wenn es der Anrufer nicht über das Callcenter schafft, sucht er manchmal andere Wege. Er versucht sich über die Telefonzentrale verbinden zu lassen oder ins Gebäude einzudringen. Wenn ich mich zu den Rauchern stelle, wird mir einer von ihnen dann vielleicht die Tür aufhalten. Auch so ein Fehler: In vielen Firmen werden Mitarbeiter gezwungen, auf der Straße zu rauchen. Wenn ich dann im Gebäude bin, kann ich den Helpdesk von einer internen Telefonnummer anrufen. Das sieht natürlich besser aus. 

derStandard.at: Wie wehrt man sich als großes Unternehmen effektiv gegen Social Engineering? 

Schaumann: Kleine Unternehmen haben es leichter. Man muss nicht so viele Leute schulen. Konzerne haben eine Sicherheitsabteilung. Die müssten ihrem Management vermitteln, dass Social Engineering ein Thema ist und dann ein Konzept ausarbeiten, wie man Mitarbeite sensibilisieren und schulen kann. Feste Regeln, an die sich jeder hält, müssen aufgestellt werden. Dass etwa Besucher in jedem Fall vom Empfang abgeholt werden. Es ist auch eine Frage der Kultur. Bei einer Bank ist eine andere Kultur als bei einer Zeitung oder einer Marketingfirma.

derStandard.at: Es gibt Fälle, wo Firmen durch geschickt platzierte Emails unterwandert wurden. 

Schaumann: Ja, durch so genanntes Spear Phishing. Die Firma RSA war ein großer Fall. Es gab vier Emails mit Anhang, die korrekt in den Spamfolder gegangen sind. Der infizierte Anhang hatte den Titel „Recruitments2011.xls", einer hat draufgeklickt. RSA ist der Marktführer für so genannte SecureID Tokens, mit Hilfe dieser Hardware wird die Identität des Benutzers verifiziert. RSA musste weltweit 40 Millionen Tokens austauschen. Das ist Social Engineering im Sinne von einseitigem Manipulieren von Menschen, ohne dass eine Interaktion stattfindet. 

derStandard.at: Bei der organisierten Kriminalität im Netz muss es eine ausgefeilte Arbeitsteilung geben. 

Schaumann: Die gibt es. Da gibt es technische Hacker, die sich einreden, dass sie nichts Böses machen, weil sie ja nur Aufträge erfüllen. Weil sie nur Kreditkartennummer stehlen, sie aber nicht zu Geld machen. Andere machen sie zu Geld, andere waschen das Geld. Im Phishing-Bereich gibt es Leute, die infizieren PCs, andere mieten sie für ihre Zwecke. Durch die Arbeitsteilung wird auch der moralische Aspekt ausgeblendet. Jeder ist nur ein kleines Rädchen. Es gibt Angebote im Internet, wo man Social Engineering-Dienste, Leute, die gut am Telefon sind, mieten kann. Da steht dann, wieviele Sprachen sie können und welche akzentfrei. Die sind Profis in diesen Sachen. 

derStandard.at: Abschweifen ins Private, Eile vortäuschen, Leute im Moment unter Druck setzen: Das machen Menschen nicht nur, um Callcenter-Mitarbeiter zu überlisten. 

Schaumann: Der Begriff Social Engineering wird in der Regel verwendet, wenn ein Callcenter oder eine Firma hereingelegt wird. Im engeren Sinn versteht man unter dem Begriff Angriffe auf Firmen unter Ausnutzung menschlicher Stärken und Schwächen. Es geht um das Erlangen von Geheimnissen. Die gleichen Techniken verwendet die Polizei aber auch in verdeckten Ermittlungen, um etwas herauszufinden. Stichwort Tierschutzprozess. Oder die verwende ich, wenn ich im Krankenhaus Informationen über den kranken Vater haben möchte. Eine Chefsekretärin in einer Schulung sagte einmal: Die Tricks, vor denen sie uns jetzt warnen, sind die gleichen, die wir selbst immer wieder verwenden. (Alois Pumhösel, derStandard.at, 6.10.2011)