Social Engineering - die neuen Angriffsstrategien der Hacker (eBook)

Einleitung

»Die Organisationen stecken Millionen von Dollar in Firewalls und Sicherheitssysteme und verschwenden ihr Geld, da keine dieser Maßnahmen das schwächste Glied der Sicherheitskette berücksichtigt: die Anwender und Systemadministratoren.«

Kevin Mitnick1

Jedes System kann geknackt werden. Machen Sie sich das bewusst. Selbst ein analoges System kann verbrannt, vernichtet oder zerstört werden. Absolute Sicherheit gibt es nicht. Jedes System hat Schwachstellen, welche von professionellen Hackern, Dieben, Kriminellen, Unternehmen oder gar von der Regierung genutzt werden können, um Daten und Informationen zu gewinnen. Diese Daten und Informationen sind die neue Währung dieses Jahrtausends. Wo wir gestern noch mit Scheinen und Münzen bezahlt haben, sind heute Informationen und Daten mindestens genauso wertvoll, wenn nicht wertvoller.

In den letzten Jahren ist das Thema Datenschutz, Privatsphäre und Cybersecurity allgemein in seiner Bedeutung größer geworden als jemals zuvor. Das mag auch an der sich immer weiter digitalisierenden Welt liegen oder an den Enthüllungen von Whistleblowern wie Edward Snowden. Vielleicht aber liegt es auch daran, dass es eine wachsende Zahl von Menschen gibt, die ihre Grundrechte und ihre Freiheit im digitalen Zeitalter stärker unter die Lupe nehmen wollen.

Der Schutz unserer Daten ist eines der wichtigsten Themen unserer Zeit geworden. Obgleich immer noch einige Menschen behaupten, dass sie nichts zu verbergen hätten und die digitale Privatsphäre kein Thema für sie sei. Vor allem da die Technologiekonzerne wie Meta (ehemals Facebook) durch seine Plattformen Facebook, Instagram und WhatsApp, Google durch seine Applikationen YouTube, Google Search, Analytics, Maps, Drive, Photos und Co. oder die Unternehmen Apple und Amazon, sowie Dienste wie Spotify, Netflix, Amazon Prime oder diverse gesprächige Damen wie Siri, Cortana und Alexa, fleißig Daten über ihre Nutzer sammeln. Der gläserne Mensch entsteht. »Alles kein Problem. Ich habe ja nichts zu verbergen«, höre ich dann. Ach ja? In dem Falle lassen Sie am besten die Fenster offenstehen, wenn Sie auf der Toilette sitzen und Ihr Geschäft verrichten. Lassen Sie Kameras mitlaufen, wenn Sie sich mit Ihrem Schatz vergnügen und veröffentlichen Sie doch auch gleich Ihre Kontodaten und Passwörter. Nein? Natürlich nicht! Der Grund ist: Wir alle haben etwas zu verbergen und ein Teil unseres Lebens geht niemanden etwas an. Das ist auch gut so. Wer glaubt, dass die Regierung sowieso mithört, unterschätzt die Möglichkeiten für den Schutz der eigenen Privatsphäre. Wir schließen nachts unsere Häuser, Türen und Fenster ab. Digital aber öffnen wir unsere Türen und lassen alles weit offenstehen. Schlimmer sogar. Wir veröffentlichen freiwillig im Internet Fotos von unseren Urlauben, unseren Kindern, den intimsten Momenten und Orten, an denen wir uns täglich befinden. Wer das nicht gruselig findet, dem ist nicht zu helfen.

Doch die neue digitale Welt bringt nicht nur Probleme mit sich. Die Digitalisierung schafft Komplexität, aber auch Effizienz, Klarheit, Komfort und Verfügbarkeit. Diese Vorteile nutzen uns privat sowie unseren Unternehmen. Wer sich dem entziehen will und ein rein analoges Leben führt, verpasst den Wandel der Welt und all die Vorteile, die mit dieser Entwicklung auf uns zurollen. Wer die Digitalisierung vollständig miterleben möchte, muss sich jedoch auch an einige Spielregeln halten, welche wir noch nicht vollständig manifestiert haben. Wir spielen bereits, doch die Regeln werden uns erst so langsam bewusst. So war es auch mit den modernen Datenschutzregeln, welche uns in der EU und speziell in Deutschland durch die Datenschutzgrundverordnung, kurz DSGVO, präsentiert wurden. Die meisten dieser Anforderungen sind für Unternehmen de facto nicht umsetzbar. Das, was zwischen Theorie und Praxis entsteht, nennen wir nicht umsonst Realität, und diese ist im digitalen Zeitalter voller Hindernisse, Herausforderungen und Risiken. Überbordende Regeln lösen das Problem nicht. Ein Schritt in die richtige Richtung ist es aber.

Wer heute Dienste wie Spotify, Amazon Prime und die diversen Cloud-Systeme der Technologiekonzerne verwendet, sollte sich über die Grundlagen dieser Dienste und Systeme bewusst werden. Was machen die Wolken eigentlich? Kann Spotify Nutzerdaten analysieren und die emotionalen Momente seines Nutzers anhand der gehörten Musik interpretieren? Kann Alexa auch zuhören, wenn das Gerät gar nicht angesprochen wird?

Selbst wenn wir den Unternehmen Glauben schenken wollen und davon ausgehen, dass die Versprechungen des Datenschutzes eingehalten werden, so bleibt das Sicherheitsrisiko bestehen. Selten ist dieses Risiko ein rein digitales. Das Hauptrisiko für unsere Daten ist und bleibt der Mensch. Wir sind das Problem. Während die Schlagzeilen der letzten Jahre vermehrt von Cyberangriffen berichten und ganz langsam auch dem Otto Normalverbraucher klar wird, dass die weltweit agierenden Technologiekonzerne keine Heiligen sind, wird immer wieder vergessen zu erwähnen, dass das schwächste System der Welt der Mensch ist und auch seine eigenen Systeme das Ziel eines Angriffs sein können. Ein digitales System kann Schwachstellen haben. Denn jedes digitale System ist in der einen oder anderen Form durch den Menschen erschaffen worden. Das bedeutet auch, dass in die Programmierung einer Maschine, einer Applikation oder eines Systems Gehirnschmalz und Zeit hineingeflossen sind. Wir hoffen, dass die Hersteller und Entwickler Sicherheitsgedanken in diese Systeme haben einfließen lassen. Das menschliche System jedoch wurde nicht durch uns, sondern durch die Natur geschaffen. Als Spezies beginnen wir gerade erst damit, zu verstehen, dass jedes sich entwickelnde System auch gegen uns verwendet werden kann. So wie eine Batterie dafür entwickelt wurde, ein anderes Gerät mit Energie zu versorgen, kann diese Batterie sich auch gegen uns wenden, überhitzen, schmelzen, brennen oder gar explodieren. Jedes System hat seine Schwachstellen. Das gilt für Server, Betriebssysteme, Hardware und vor allem für den Menschen.

Das Problem sind also wir Nutzer. Die Hauptschwachstelle des Menschen sind seine Emotionen. Psychologisch und sozialwissenschaftlich gesehen sind diese unsere größten Stärken, doch in puncto Cybersicherheit sind unsere Emotionen die reinste Pest. Aber auch aufgrund von Naivität, Dummheit, Ignoranz, Arroganz und Neugierde haben bereits einige Unternehmen und Privatpersonen Terabytes an Daten und somit auch viel Geld an Kriminelle oder andere Unternehmen verloren. Manchmal passiert Schlimmeres und ganze Unternehmen schließen ihre Pforten, da wieder einmal ein Angreifer die digitalen Systeme des Unternehmens vollständig lahmgelegt hat und der Zugang zu diesen durch listenreiche Methoden blockiert und verweigert wird.

Schwachstelle Mensch

Obwohl die Budgets der meisten Unternehmen für sicherheitsrelevante Themen stark beschränkt sind, investieren Unternehmen zunehmend in ihre IT-Sicherheit. Anlässlich der heutigen Bedrohungslage durch kriminelle Hacker, sogenannte Black Hats, oder durch Industriespionage haben Unternehmen verstanden, wie wichtig es ist, in ihre digitale Sicherheit zu investieren. So stellen Unternehmen mittlerweile Hacker ein oder beauftragen sie, ihre Systeme zu testen. Was allgemein als Penetration-Testing oder auch Pen-Testing bekannt wurde, ist heute ein gängiges Mittel vieler Unternehmen, ihre Systeme sicherheitstechnisch zu prüfen. Ein ethisch agierender Hacker, auch White Hat genannt, wird hierfür gegen den Einwurf einer kleinen Münze das System eines Unternehmens – in dessen Auftrag – angreifen, Schwachstellen erkennen und Empfehlungen aussprechen, diese zu schließen. So weit so gut. Ein Penetration-Tester wird jedoch vor allem versuchen, das digitale System anzugreifen. Dazu gehören Datenbanken, Betriebssysteme, die Infrastruktur der Server und Mailserver, um nur einige zu nennen. Ein guter Penetration-Tester weiß, dass die größte Schwachstelle der Mensch ist und er diese leicht nutzen kann, um beispielsweise Malware oder Ransomware in das Unternehmen zu schleusen. Ein Beispiel:

Nehmen wir an, dass Sie in einem großen Unternehmen arbeiten und täglich 500 bis 1500 Mitarbeiter auf dem großen Firmenparkplatz ihren Pkw parken oder mit dem Bus über die Bushaltestelle auf der anderen Straßenseite zur Arbeit gelangen. Alle diese Menschen spazieren also täglich mindestens einmal zu ihrem Arbeitsplatz und einmal zurück aus dem Büro nach Hause. Stellen wir uns vor, dass ein Angreifer auf diesem Parkplatz Dutzende USB-Sticks an verschiedenen Stellen fallen gelassen hat. Tatsächlich gibt es die Möglichkeit, sogenannte Rubber-Duckies zu verwenden, welche mit einem Skript präpariert wurden, um beispielsweise Schadsoftware oder Ransomware auf dem System des Nutzers zu installieren.2 Findet nun also jemand diesen USB-Rubber-Ducky auf dem Parkplatz, steckt diesen interessiert ein und später im Büro in den Firmenrechner, installiert sich die Schadsoftware binnen eines Moments von selbst und infiziert das System des Nutzers oder das gesamte Netzwerk. Das Skript auf dem USB-Stick gaukelt dem Rechner vor, dass es eine Tastatur wäre und...