Blogpost vom 22. August 2022
TECH TALK: Social Engineering
Als Social Engineering bezeichnet man den Versuch, die größte Sicherheitslücke überhaupt auszunutzen – den Menschen. Dazu wird dieser oft mithilfe moderner Kommunikationsmedien ausgespäht und manipuliert, um ihn so ohne sein Wissen für kriminelle Absichten zu instrumentalisieren.
Einfallstore für solche Angriffe sind neben Telefon und Internet auch Altpapiertonnen mit arglos weggeworfenen persönlichen Daten oder auch das persönliche Gespräch an Haustüren oder im öffentlichen Raum. Angriffsfläche ist immer der Mensch selbst und seine natürlichen Reflexe – darunter solche wie Angst, Gier oder Ekel ebenso wie sein Vertrauen gegenüber den Mitmenschen und sein Impuls, in Notsituationen zu helfen. Social Engineering verfolgt das Ziel, diese menschlichen Eigenschaften auszubeuten und für kriminelle Zwecke zu missbrauchen.
Wer sich mit IT-Security befasst, muss den Radius der Aufmerksamkeit also auch auf menschliche und verhaltenspsychologische Aspekte ausweiten. Hier ein paar wertvolle Hinweise und sinnvolle Tipps, wie Sie sich vor sich selbst und damit vor Social Engineering schützen können.
Dabei wollen wir nicht, dass Sie wertvolle und wichtige menschliche Eigenschaften wie Vertrauen und Optimismus infrage stellen, sondern vielmehr einen Beitrag dazu leisten, diese auf lange Sicht zu erhalten.
E-Mails
Inhalt: Trauen Sie keiner E-Mail, die Sie nicht selbst verfasst haben. Prüfen Sie Ihren digitalen Posteingang deshalb stets mit Sorgfalt und werden Sie hellhörig, wenn schon der Betreff an Ihre niederen oder humanen Instinkte appelliert. „Sie haben gewonnen!“ etwa hofft auf Ihre Gier, „Helfen Sie mit, dieses Unrecht zu beenden“ appelliert an ihr Mitgefühl, „Warnung! Ihr Account wurde gehackt“ versucht, Ihnen Angst zu machen und „Mahnung“ adressiert ihr Pflichtbewusstsein.
Absender: Es reicht nicht aus, dass Ihnen der Absender vertraut erscheint. Werfen Sie einen genauen Blick auf die tatsächliche Absenderadresse – ist sie Ihnen unbekannt oder weicht auch nur geringfügig von der Originaladresse ab, löschen Sie die Mail ohne zu zögern.
Erscheinungsbild: Oft wissen oder vermuten Angreifer, welche Onlineanbieter Sie nutzen und fingieren eine Mail in deren Namen – inkl. Nachahmung des entsprechenden Corporate Designs. Auch wenn dieses oft verdächtige Abweichungen enthält und der Text der Mails zudem durch schlechte Sprache auffällt, wird diese trügerische Kunst durchaus besser. Gehen Sie einfach auf Nummer sicher, löschen Sie verdächtige Mails sofort und rufen Sie den betreffenden Onlineanbieter separat im Browser auf, wenn Sie prüfen wollen, ob dort wirklich etwas anliegt (Sonderangebote, Rechnungen, geänderte Nutzungsbedingungen etc.).
Links: Klicken Sie nur dann auf Links aus E-Mails, wenn der Absender zweifelsfrei vertrauenswürdig ist (siehe oben). Ansonsten gilt auch hier: Mail löschen, die Homepage des vermeintlichen Absenders separat aufrufen und schauen, ob es etwas gibt, das für Sie relevant ist.
Anhänge: Die meisten Dateiformate sind mehr oder weniger manipulierbar, insbesondere dann, wenn sie ausführbar sind. Hinter einer harmlosen Bezeichnung steckt dann ein Schadcode, der beim Anklicken aktiviert wird. Anschließend kann der Angreifer sensible Informationen auf dem Rechner auslesen, diesen gegen Geld sperren oder sogar Direktzugriff erlangen. Deshalb gilt: Öffnen Sie Anhänge aus Mails nur dann, wenn Sie einen solchen erwarten oder er Teil einer schon laufenden Korrespondenz ist. Ansonsten aber nur, wenn Sie den Absender mit Gewissheit identifizieren können.
Matthias Altmann
IT-Security Experte
Internetnutzung
Hinterlassen Sie nicht mehr persönliche Spuren im Netz als nötig. Überlegen Sie zweimal, bevor Sie Persönliches online preisgeben.
Bank- und Adressdaten: Bei Onlinebestellungen und -buchungen werden Sie nicht um die Angabe von Adress- oder Zahlungsdaten herumkommen. Prüfen Sie deshalb genau, ob es sich um einen seriösen Anbieter handelt: Hat das Portal ein professionelles Erscheinungsbild? Ist die Sprache fehlerfrei? Gibt es ein Impressum oder Erfahrungsberichte bzw. Bewertungen anderer Nutzer im Netz?. Achten Sie außerdem darauf, dass Ihre Daten vom betreffenden Portal nur über ein verschlüsseltes Webprotokoll transferiert werden, gängig ist etwa HTTPS. Erkennen können Sie dies an den ersten Buchstaben der URL.
Social Media: Halten Sie Ihren Online-Freundeskreis sauber und nehmen Sie keine Freundschaftsanfragen von gänzlich Unbekannten an. Entscheiden Sie außerdem selbst, wer ihre Postings sehen kann – entweder in den allgemeinen Einstellungen zur Privatsphäre oder individuell pro Post.
Fotos und Gesichtserkennung: Der Trend zum Teilen persönlicher Fotos im Netz ist ungebrochen – aber nach wie vor nicht unbedenklich. Denn jedes Mal, wenn Sie Fotos oder Videos online stellen, gewähren Sie unter Umständen nicht nur Freunden Einblick in Ihre Privatsphäre, sondern setzen diese Inhalte auch unbefugtem Zugriff aus.
Die Daten Dritter: Ihre Sorgfaltspflicht gilt nicht nur Ihren persönlichen Daten, sondern auch den Daten anderer. Die Möglichkeit, Menschen online auf Fotos zu markieren, verletzt nicht nur deren Persönlichkeitsrechte, sondern macht sie auch für Dritte identifizierbar. Tun Sie dies also immer nur in Rücksprache mit den betreffenden Personen. Eine besondere Fürsorgepflicht gilt hier gegenüber Kindern. Diese sind noch unmündig und können die Gefahren im Netz nicht richtig einschätzen – Grund genug für uns Erwachsene, ihre Daten besonders gut vor Social Engineering zu schützen.
Externe Datenträger
Mit Ausnahme von SD-Karten sind externe Datenträger wie USB-Sticks und dergleichen leicht mit Schadcode infizierbar. Führen Sie deshalb möglichst keine Datenträger unbekannter Herkunft in Ihren Rechner ein.Wenn Sie Daten übertragen möchten, nutzen Sie stattdessen die Cloud-Dienste großer Anbieter wie Google oder Apple. Dies soll keine Werbung sein, aber die Erfahrung zeigt, dass die namhaften Anbieter in Sachen Datensicherheit die Nase vorn haben.
Telefon
Auch am Telefon sind wir immer öfter Trickbetrügern ausgeliefert. Ob im privaten oder beruflichen Umfeld – Ziel des Social Engineerings ist immer, den Angerufenen als Türöffner zu nutzen oder ihm Informationen zu entlocken, die er für seine Zwecke missbrauchen kann. Achten Sie deshalb auch am Telefon immer auf maximalen Datenschutz.
Ihr Name: Ihr Name gehört Ihnen. Ist die Nummer, die das Telefondisplay anzeigt, Ihnen unbekannt, melden Sie sich nicht mit ihrem Vor- und/oder Zunamen. Eröffnen Sie das Gespräch lieber mit einem einfachen „Hallo“ oder „Guten Tag“. Fragen Sie außerdem genau nach, wer da spricht und notieren Sie dessen Nummer, Namen, Firma, Anliegen für den Fall, dass Sie den Anruf zur Anzeige bringen oder den Anrufer bzw. seins angebliches Unternehmen im Internet nachschlagen möchten .
Fragen: Beantworten Sie keine Fragen zu Ihrer Person. Ihr Name, Ihre Adresse, persönliche Interessen etc. sind vertraulich und sollten nicht ohne Not preisgegeben werden. Es besteht überdies keine staatsbürgerliche Pflicht, an Umfragen teilzunehmen.
Das Wörtchen „Ja“: Auch Worte wie „Ja“ können aus dem Kontext gerissen und missbräuchlich verwendet werden. Im Jahr 2017 kam es vermehrt zu Trickanrufen, wobei versucht wurde, die Angerufenen zu einem „Ja“ zu zwingen („Hören Sie mich?“, „Sind Sie Hausbesitzer?“ etc.). Dieses „Ja“ wurde mitsamt dem Gespräch aufgezeichnet und anschließend zu einem fingierten Tonprotokoll zusammengeschnitten, in dem es klang, als habe der Angerufene eine Bestellung getätigt oder ein Abo abgeschlossen, wofür ihm anschließend eine Rechnung gestellt wurde.
Legen Sie auf: Wenn Sie den Verdacht haben, auf‘s verbale Glatteis geführt zu werden, legen Sie auf. Gegenüber Trickbetrügern besteht kein Gebot der Höflichkeit.
Die Daten Dritter: Auch für das Telefon gilt besondere Sorgfalt im Umgang mit den Daten Dritter. Geben Sie grundsätzlich keine Antworten auf Fragen, die eine dritte Person betreffen. Bieten Sie im Zweifelsfall einen Rückruf der betreffenden Person an und erzählen Sie ihr von dem Anruf.
Altpapier
Auch unser Altpapier kann ein El Dorado für Social Engineering sein. Sofern Sie keinen modernen Reißwolf haben, sorgen Sie händisch dafür, dass keine verwertbare sensiblen Daten per Altpapier den Weg nach draußen finden: Entfernen Sie den Briefkopf von Katalogen und Anschreiben, werfen Sie keine Rechnungen oder persönlichen Briefe ins Altpapier, entsorgen Sie auf diesem Wege generell nichts, was eine Handschrift oder gar Unterschrift enthält. Das Gleiche gilt für persönliche Bilder und Fotos.
Fazit
Unsere Instinkte sind evolutionäre Mechanismen, die uns im Idealfall hilfreich sind, aber im Falle von Missbrauch großen Schaden anrichten können. Um uns davor zu schützen, hilft es, uns die verschiedenen Szenarien des Social Engineerings bewusst zu machen, um so unser natürliches Verhalten gegen Korrumpierung verteidigen zu können.
Wenn Sie sich weiterführend mit den Thema Datensicherheit und IT-Security befassen möchten, empfehlen wir Ihnen das IT-Security Meetup Kassel. Im Frühjahr 2016 von Softwareentwickler von Micromata und anderen IT-Experten gegründet, lädt die Initiative regelmäßig zu spannenden Vorträgen und Workshops rund um Themen der digitalen Sicherheit ein. Das Programm richtet sich nicht ausschließlich an Fachleute, auch Einsteiger und Hobby-White-Hats sind herzlich willkommen.