Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

01.12.2010
von: Wolfgang Sidler

Angriffsziel Mensch

Der Mensch ist das schwächste Glied in der Informationssicherheitskette. Dieser Tatsache bedienen sich so genannte «Social-Engineering-Angriffe». Technische Sicherheitsmassnahmen bieten keinen Schutz vor nichttechnischen Angriffen!

Mit Social-Engineering können zwischenmenschliche Beziehungen zur Manipulation genutzt werden, um unerlaubt an Informationen zu gelangen. Das Ziel ist das Ausspionieren des persönlichen Umfeldes eines ausgewählten Opfers. Dies geschieht vielfach mit der Vortäuschung falscher Identitäten oder der Nutzung von Verhaltensweisen, um an geheime Informationen oder gewinnbringende Daten zu gelangen. Meist wird dies über den Einstieg in ein fremdes Computersystem erreicht, das vertrauliche Daten beherbergt. Diesen Vorgang nennt man auch Social-Hacking.

Das meist verwendete Grundmuster des Social-Engineerings wird in Form von Telefonanrufen gehandhabt. Der Social- Engineer ruft einen Mitarbeiter eines Unternehmens an und gibt sich fälschlicherweise z. B. als Techniker aus. Mit Hilfe dieses Deckmantels gelangt er an vertrauliche Zugangsdaten, weil er unmissverständlich kundtut, dass er seine Arbeit sonst nicht abschliessen könne. Gelingt ihm dies auf Anhieb nicht, wird er es wieder und wieder versuchen und wird in Kombination von vorgängig konsultierten öffentlichen Quellen und mit Informationsfetzen und Teilen der gescheiterten Anrufe sein Ziel der Manipulation früher oder später erreichen. Der Angreifer beeindruckt sein Opfer, das ihm meist technisch unterlegen ist, einerseits mit Charme und andrerseits mit Fachjargon und erntet Sympathie und Autorität. Wer wird da nicht weich? Zudem kann es schwierig sein, der Androhung, dass der Chef kontaktiert wird, wenn die Information nicht gegeben wird, zu widerstehen. Und vielleicht liegt tatsächlich ein technisches Problem vor und man wartet auf  einen Anruf.

Autor: Wolfgang Sidler

Lesen Sie den kompletten Artikel

Dateien:
Social_Engineering.pdf97 K

mySecurityService

  • Consulting, Project, Education
  • Integration, Security
  • SOC-Services
  • Certifications/Standards

Security-Kompetenzen

Kalender Security Schweiz

Security-Finder Schweiz: Newsletter