Identitätsdiebstahl: Falsche Freunde auf Datenfang

Eine Woche nach seinem Messevortrag landete eine E-Mail im Postfach des Vertriebsmannes. Eine gut bekannte Mitarbeiterin des Veranstalters bedankte sich für den Auftritt und schickte im Anhang – ein kleines Dankeschön – noch zwei Fotos von der Präsentation mit. Bedenkenlos öffnete der Vertriebler den Anhang und installierte mit einem Doppelklick schädliche Software auf dem Firmenserver. Denn hinter der Dankesmail steckte ein Krimineller, der sich der Identität der Messemitarbeiterin bemächtigt hatte.

Der Fall hat sich nicht exakt so zugetragen, sondern ist aus mehreren Vorfällen kombiniert. Die Bedrohung aber ist real. Angreifer versuchen, an Daten und Informationen zu gelangen, doch technisch verbesserte Sicherheitslösungen versperren den Weg. „Über den Faktor Mensch ist es oft viel leichter, an das System heranzukommen, sagt Hanne Asmussen, seit 16 Jahren Projekt-Managerin in IT-Unternehmen und Referentin zum Thema auf der vergangenen Internet-Konferenz „re:publica“.

Social Engineering werden diese Manipulationsversuche genannt. Die Techniken sind nicht neu, sondern werden schon immer angewandt, um Mitarbeiter von Unternehmen zu täuschen und sich Zugang zu Firmengeheimnissen zu verschaffen.  In der virtuellen Welt aber ist es leichter, Mitarbeitern näherzukommen und so auch technische Sicherheitssysteme zu umgehen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft Social Engineering als eine der sechs größten Cyber-Gefährdungen ein. „In der Praxis verwenden Angreifer selten nur ein einziges Werkzeug, sondern sie kombinieren mehrere Werkzeuge“, schreibt das Amt im Report „Fokus IT-Sicherheit“. Wie im fiktiven Fall des Vertrieblers wird etwa eine falsche Identität genutzt, um einen Trojaner in die Unternehmens-IT zu schmuggeln.

Basis für erfolgreiches Social Engineering ist das Sammeln von Informationen.  Soziale Netzwerke sind eine reichhaltige Quelle – selbst wenn Angaben über Hobby, Haustier oder Urlaub unverfänglich wirken. „Auch scheinbar unwichtige Informationen helfen dabei, Vertrauen zu schaffen“, warnt Asmussen. Kombiniert mit Informationen von Karriereportalen wie Xing lassen sich umfangreiche Profile erstellen.

Einer solchen Attacke geht in aller Regel eine lange Vorbereitung voraus, die auch mehrere Mitarbeiter im Unternehmen einschließen kann. So tasten sich Angreifer Schritt für Schritt an ihr Ziel heran – bis sie der Zielperson oder dessen virtueller Identität nah genug gekommen sind. „Der falsche Klick kommt erst ganz zum Schluss“, sagt Andre Wolf, Mitarbeiter der Website Mimikama.at, die über verdächtige Internetinhalte informiert. „Bis man die Leute dahin bewegt hat, muss man schon einen gewissen Aufwand treiben.“

Mails von Unbekannten bedenkenlos geöffnet Doch es kann auch ganz schnell gehen. Eine clever formulierte Betreffzeile in Mails reicht schon mal aus, um ausreichend Neugier bei Mitarbeitern zu wecken. Eine Studie des IT-Sicherheitsanbieters Halon ergab, dass in den USA einer von drei Befragten solche Mails las, obwohl er die Absender nicht kannte. Etwa jeder Elfte öffnete sogar den Anhang, der den mysteriösen Mails angefügt war. Die populärsten Tarnabsender gaben vor, entweder von Banken, sozialen Netzwerken oder Online-Finanzdienstleistern zu stammen. „Oft wird in den Nachrichten das Gefühl vermittelt, dass es sehr dringend ist – und dass man sofort handeln muss“, sagt Asmussen.

Auch das Facebook-Profil kann Attacken unterstützen. „Viele Mitarbeiter fühlen sich gar nicht wichtig genug, um zu denken, dass sie aufpassen müssen“, sagt Experte Wolf. Ungeschützte Profile und Angaben zum Arbeitgeber können Beobachtern jedoch Hinweise auf Gewohnheiten oder wirtschaftliche Entwicklungen geben. „Früher stand der Detektiv mit dem Wagen vor dem Firmengelände, heute beobachtet er die Timeline der Mitarbeiter“, sagt Wolf. Einige Angreifer versuchen zudem, sich als falscher Freund interessanten Kontakten zu nähern. Um das zu minimieren, rät Wolf dazu, sehr zurückhaltend mit Informationen umzugehen und Bilder sowie Einträge und die Freundesliste abzuschirmen.

Unternehmen haben nur begrenzt Chancen, möglichen Angriffen einen Riegel vorzuschieben. Interne Regeln können zwar zum Beispiel vorgeben, dass Kontaktdaten bestimmter Mitarbeiter nie herausgegeben werden dürfen – das ist in einigen Branchen als Schutz vor Headhuntern bereits normal. Mitarbeiter mit Außenkontakt aber können nicht jeden Anruf und jede Mail umfangreich auf Plausibilität prüfen.

Notwendig ist daher, in Schulungen auf potenzielle Gefahren hinzuweisen. „Ein gewisses Misstrauen ist sicher wichtig“, sagt Asmussen. Gerissene Angreifer aber setzen auf Hilfsbereitschaft, Vertrauen oder Respekt vor Autoritäten – und kommen oft ans Ziel: „Wenn man nicht komplett menschliche Verhaltensweisen ablegen will, dann ist das schwer abzustellen“, sagt Asmusssen, „bis zu einem gewissen Grad ist es normal, dass man darauf hereinfällt.“

Erschienen am 16. Juni 2014 im Handelsblatt.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *