Wenn bei der IT-Sicherheit der Mensch zum Problem wird

von Thomas Wingenfeld am , 10:30 Uhr

Auf den ersten Blick scheint die Überschrift absolut logisch zu sein und nichts Neues bereitzuhalten. Immerhin warnen Experten schon seit Jahren davor, dass die große IT-Lücke vor der Tastatur sitzt und in der Tat: Viele Hacker und Phishing-Betrüger kommen nur zu ihren Erfolgen, weil der Mensch bereitwillig auf Links klickt und seine Daten eingibt.

Grundsätzlich lässt sich die IT jedoch absichern, denn die Sicherheitsprogramme und Schutzvorrichtungen werden stets besser. Was bleibt, ist der Mensch. Nein, dieser Artikel soll nicht den Menschen verbannen, sondern auf die größte Gefahr, die oft unwissentlich von ihm ausgeht, hinweisen: das Social Engineering.

Abbildung 1: Software zur IT-Sicherheit wird immer besser – doch auch der Mensch kann eine signifikante Sicherheitslücke darstellen. Bildquelle: @ FLY:D / Unsplash.com

Social Engineering: Menschen werden ausgenutzt

Das Social Engineering [1] ist ein lang bekanntes Konzept, allerdings wurde es einst anders verstanden. Die Wissenschaft befasste sich mit der Frage, ob durch das gezielte soziale Engineering die Gesellschaft verbessert werden könne, indem Schwachstellen behoben werden. Auch dem Laien ist das Konzept aus dem eigenen Leben nicht ungekannt, denn es handelt sich um die Manipulation. Diese ist jedem Menschen gegeben und absolut nicht fremd: Das Kind, welches Mutter und Vater gegeneinander ausspielt und manipuliert, um doch noch ein Eis zu bekommen, nutzt sie. Aber was hat dies mit der IT-Sicherheit zu tun und warum können nicht nur Privatpersonen, sondern auch Unternehmen massive Schäden durch das Social Engineering erleiden? Einige Beispiele:

• Mitleid – fast jeder, der schon mal chattete oder online einen Partner suchte, erhielt diese Nachfragen. Erst wurde der Kontakt geknüpft, dann vertieft, irgendwann wurde die Großmutter furchtbar krank und es wurde um Geld gebeten.

• Heiratsschwindler – auch dieser beginnt online, greift das Mitleid auf [2], geht aber noch weiter. Der verliebte Partner wird so »engineered«, also geschickt sozialisiert, dass mitunter Vollmachten, Bankzugriffe und weitere Optionen erteilt werden.

• Spionage – auch sie lässt sich vom Betrüger durch das Social Engineering durchführen. Wieder wird eine Vertrauensbasis aufgebaut, ob im realen Leben oder im Internet, das ist unerheblich. Nach und nach wird das Opfer so bearbeitet, dass es im Betrieb seines Arbeitgebers spioniert.

• Software – statt zu spionieren, ist es durchaus möglich, dass sich das Opfer dazu bereiterklärt, eine Schad- oder Spionagesoftware im Betrieb zu installieren.

• Zugangsdaten – natürlich kann ein manipulierter Mitarbeiter auch die Zugangsdaten zu Firmenservern oder anderen Unternehmensbereichen preisgeben.

Eine abweichende Form des Social Engineerings findet fast täglich in den sozialen Netzwerken statt. Auch hier gilt: Jeder war schon einmal ein Teil davon. Die oft als Trolle oder Fake-News-Verbreiter bezeichneten User sind Social Engineerer, nur zielen sie nicht auf Bankkonten, Daten oder Firmengeheimnisse ab. Stattdessen manipulieren sie, um Unruhe und Unsicherheit zu verbreiten. Und wie jeder weiß: ein unsicherer und unruhiger Mensch neigt dazu, kopflos zu werden.

Wie lässt sich das verhindern?

Gegen das Social Engineering hilft kein Virenschutzprogramm. Natürlich unterstützen entsprechende Softwares die Erkennung dieser Versuche, weshalb auf Partnerbörsen oder in den sozialen Netzwerken entsprechende Engineerer häufig gesperrt werden. Dennoch darf sich ein Unternehmen nicht auf diese verlassen, sondern muss gezielt agieren:

• IT-Sicherheit – sie sollte stets up-to-Date und scharf gestellt sein. Installiert ein Mitarbeiter Trojaner oder öffnet versehentlich eine Phishingmail, so greift die Software zu und schützt das System. Ohne eine gute IT-Sicherheit funktioniert es heute nicht mehr. Immerhin sind die Zahlen der IT-Attacken auf Unternehmen im vergangenen Jahr deutlich nach oben geschnellt.

• Pen Tests – das Penetration Testing stellt das IT-System eines Unternehmens auf die Probe. Es lässt sich ein wenig mit dem geflickten Gartenschlauch vergleichen, wenn der Wasserhahn aufgedreht wird: Tritt kein Wasser aus, so ist der Schlauch dicht, tritt Wasser aus, so ist die Reparatur nicht abgeschlossen. Beim Pen Testing wird der Angriff auf das System simuliert, wobei nicht nur die typischen Angriffspunkte gewählt werden, sondern auch eher untypische Versuche. Anhand des Tests lässt sich nun nachvollziehen, wo Nachholbedarf besteht.

Es bleibt aber dabei, dass der Mensch an sich stets ein Unsicherheitsfaktor ist. Daher ist die Aufklärung durch das Unternehmen, aber auch in der Gesellschaft, ein wichtiger Schutz. Ohne Aufklärung würden heute noch weitaus mehr Menschen die falschen PayPal-Links anklicken. Dabei muss gezielt über das Social Engineering aufgeklärt werden.

Wird Social Engineering in Zukunft die größte Sicherheitslücke?

Ob es die größte Lücke wird, lässt sich schwer sagen. Es ist allerdings eine große Gefahr, die, wie schon angedeutet, auch in den sozialen Bereich eindringt. Schließlich müssen Betrüger Dritte nicht stets dahingehend manipulieren, Bankdaten preiszugeben oder Unternehmensgeheimnisse herauszugeben, sie können auch in die Masse hineinagieren. Soziale Unruhe, Angst, Wut sind nur einige der Emotionen, die geschickte Manipulateure für sich nutzen können. Und je nachdem, wer dahintersteht, passiert auch etwas.

Schon im Kleinen gedacht können Engineerer Betriebe lahmlegen, ohne auch nur einen Mitarbeiter direkt zu nutzen. Würde ein Konkurrent beispielsweise ausreichend Menschen online dahingehend manipulieren, Friseursalon X E-Mails zu schicken oder dort anzurufen, wäre ein normaler Geschäftsbetrieb nicht möglich. Im Privaten: Wer eine gewisse Masse so manipuliert, ständig bei einer Person anzurufen, wäre ebenso ein Ziel erreicht.

Besonders drastisch könnte das Social Engineering in Verbindung mit der KI werden. Eine mitlernende und ›menschlich‹ agierende KI könnte beispielsweise im Datingbereich grandiose Erfolge für den Betrüger erzielen. Eine KI lässt sich beliebig oft kopieren, anstatt also selbst ständig Nachrichten zu beantworten und die vermeintlichen Partner um den Finger zu wickeln, könnte dies die KI übernehmen. In diese Richtung weitergedacht, könnten Betrüger aus allen Bereichen des Darkwebs angreifen. Es sei denn, der Mensch ist aufgeklärt und erkennt den Versuch.

Abbildung 2: Ob Social Media, Messenger oder E-Mail – Betrüger nutzen viele mögliche Einfallstore für Social Engineering. Bildquelle: @ Nathan Dumlao / Unsplash.com

Fazit – der Mensch als Schwachstelle

Es stimmt schon, der Mensch ist sicherheitstechnisch stets eine Schwachstelle, denn jeder, der von sich behauptet, nicht manipulierbar zu sein, der ist bereits manipuliert worden. Für die IT-Sicherheit ist das Social Engineering ein tatsächliches Problem, dessen Folgen nicht in aller Fülle abgeholfen werden kann. Ein manipulierter Mitarbeiter, der eigenständig Daten und Zugangswege preisgibt, wird von der IT-Sicherheit nicht gefasst. Dafür kann diese vom Mitarbeiter eingeschleuste Trojaner und Schadprogramme erkennen. Generell ist das Social Engineering jedoch eine Gefahr, die weit über Unternehmen und auch Privatpersonen hinausgeht. Denn die soziale Manipulation der Massen in den Kommentarspalten kann weitaus größere Folgen haben, als der gehackte Server.

 

Artikel von CNET.de: https://www.cnet.de

URL zum Artikel: https://www.cnet.de/88193757/wenn-bei-der-it-sicherheit-der-mensch-zum-problem-wird/

URLs in this post:

[1] Social Engineering: https://www.prosec-networks.com/blog/social-engineering/

[2] greift das Mitleid auf: https://www.strafrecht-bundesweit.de/strafrecht-blog/heiratsschwindel-sind-betrug-und-abzocke-in-sachen-ehe-strafbar/