Abwehr bleiben. Das wichtigste Element sind die Mitarbeiter. Da sich eingeschleuste Schad-Software innerhalb weniger Minuten verbreitet, müssen sämtliche Mitarbeiter auf dem glei-chen (hohen) Wissensstand sein. Jeder Ein-zelne muss quasi zu einer menschlichen Firewall werden.

Eine sehr erfolgreiche Methode, um Mit-arbeiter zu sensibilisieren, sind Security-Awa-reness-Schulungen, die mit eigens kreierten Phishing-E-Mails arbeiten. Sobald der Mitar-beiter im fingierten Mail auf einen Link klickt oder ein Attachment öffnet, wird er auf eine Schulungsseite weitergeleitet. Dieser Ansatz bietet auch die Möglichkeit, eine Meldestelle für Phishing-Mails einzurichten, wo findige Mit arbeiter Attacken oder Verdachtsmomente melden können.

Der Mensch als FirewallMehr als die Hälfte der Cyber-Angriffe auf Unter-nehmen erfolgt heutzutage durch Täuschung: Kriminelle instrumentalisieren die Mitarbeiter als Komplizen. Als Schutzmassnahme reicht Technik alleine nicht aus – die Mitarbeiter müssen geschult und sensibilisiert werden.

VON DOMINIQUE C. BRACK

BILD

: IST

OCKP

HOTO

.COM

/MAX

IMKO

STEN

KO

Phishing-Attacken sind vor allem deshalb eine so grosse Gefahr für Unternehmen, weil sie zielgerichtet und per so nalisiert angreifen. Sprache und Stil «echter» An-

fragen werden immer professioneller imitiert, sodass selbst Experten die Fälschungen auf den ersten Blick kaum erkennen. Als Teilnehmer des Wettbewerbs Social Engineering Capture the Flag (SECTF) an der Defcon 22 in Las Vegas habe ich aus erster Hand erlebt, wie stark sich Social Engineering bereits professionalisiert hat und in den verschiedensten Ausprägungen aus geführt wird (Details vgl. Kasten S. 27).

SCHWACHSTELLE MENSCHAuch mit noch so optimierten Prozessen oder Technologien ist den Betrügern nicht Einhalt zu gebieten, wenn sie das einzige Mittel zur

Neben klassischen Hacking-Attacken gibt es noch einen ganz simplen Weg, an die gewünsch-ten Informationen zu gelangen. Warum nicht einfach danach fragen? Die Methode des Social Engineerings verspricht seit jeher grosse Erfolge für den Angreifer. Auch dafür wird die Schwach-stelle Mensch genutzt. Die Angriffe beschränken sich nicht auf den persönlichen Kontakt, son-dern können ebenso über Telefon, E-Mail und alle anderen Kommunikationsmittel erfolgen.

Social Engineering ist für Internetkrimi-nelle ein beliebtes und erfolgversprechendes Mittel, um illegal an Daten zu gelangen. Die Kosten sind verschwindend gering und man umgeht dabei die komplexesten technolo-gischen Barrieren. Umso wichtiger ist es, das eigentliche Angriffsziel, die Mitarbeiter, ent-sprechend darauf vorzubereiten. Auch diese Sensibilisierung kann mit einer Awareness-Kampagne erreicht werden.

FRAMEWORK GEGEN SOCIAL HACKINGEine hervorragende Ressource bietet das SEEF (Social Engineering Engagement Framework). In diesem Open-Source-Framework werden die einzelnen Elemente und Methoden von Social Engineering als Disziplin betrachtet und erläu-tert. Es hilft Unternehmen, Social Engineering

besser zu verstehen und entsprechende Assess-ments zu planen. Das SEEF setzt sich aus Me-thoden, Instruktionen und Skills zusammen:

Methoden: Sie beschreiben, wie bestimmte Angriffe ausgeführt werden und liefern so die Grundlage zur Durchführung eines wieder-holbaren Assessments, mit dem vergleichbare Resultate erzielt werden können.

Instruktionen: Zu jeder Methode erklären spezifische Instruktionen, wie diese genau angewendet werden. Die Instruktionen sind länder- und/oder industriespezifisch und wer-den situationsgerecht angewendet, je nach-dem, ob eine Attacke in einer Bank oder in einer Bundesverwaltung angenommen wird.

Skills: Methoden und Instruktionen er-wachen nur zum Leben, wenn sie mit Skills gepaart werden. Für eine bestimmte Angriffs-weise, zum Beispiel beim Vorgehen «Imperso- nation», wird ein Mitarbeiter mit dem nötigen Fachwissen eingesetzt. Solche Skills können zum Beispiel Fachenglisch, IT-Know-how und die Kenntnis über die IT-Organisation des Unternehmens sein.

1 Security-Awareness-Programm für die Mitarbeiter

2 Informationsklassifikation (Definieren von Vertraulichkeitsstufen)

3 Festlegen von Kommunikations- und Eskalationspfaden

4 Betreiben eines effektiven und effi-zienten Informationssicherheits- Managementsystems (ISMS) nach ISO 27002

5 Durchführen einer Social-Engineering-Schwachstellen-Analyse

Fünf-Punkte-Plan gegen Social Engineering

Social Engineering Engagement Framework

Das SEEF setzt sich aus Methoden, Instruktionen und Skills zusammen. Die Skills erfordern am meisten spezifisches Wissen

Dominique C. Brack ist Chief Information Security Officer und Leiter TCS Security Consulting bei SPIE ICS www.spie-ics.ch

Instruk- tionen

Skills

Methoden

SEEF Framework

breit

spezifisch

Wis

sen

QUEL

LE: S

PIE

ICS

24 25STRATEGIE & PRAXIS Social Engineering Computerworld 11/3. Juli 2015 www.computerworld.ch

Bestandteil des Frameworks ist eine Tabelle, welche die Schweregrade eines Social-Enginee-ring-Angriffs in 12 Stufen einteilt (vgl. rechts unten). Zu Trainingszwecken lassen sich An-griffe im Unternehmen simulieren. Da die Si-mulation möglichst realistisch sein soll, wird die Durchführung mit zunehmendem Schwere-grad aber immer problematischer. Stufen 1–3 stellen kaum ein Risiko dar, Stufen 4–6 bergen bereits ein erhöhtes Risiko und benötigen ein Risikomanagement. Stufen 7–9 haben ein hohes Risiko und sollten aus ethischen Grün-den (z. B. Einsatz von Bestechung) gemieden werden. Stufen 10–12 kommen schon aus gesetzlichen Gründen (z. B. Industriespionage oder Urkundenfälschung) nicht infrage. Es ist empfehlenswert, sich nur in Ausnahmefällen mit Vorhaben ab Stufe 7 zu befassen. Bei der Planung und Ausführung von Social-Enginee-ring-Assessments wird zusammen mit dem Auftraggeber besprochen, welche Intensität gewählt werden soll.

Ein Beispiel: Der Auftrag lautet, die Sicherheit des physikalischen Zutritts zu Datacenter, Board Room oder anderen sensiblen Bereichen zu überprüfen. Dazu gibt es verschiedene Möglich-keiten, mit denen das vorgegebene Ziel erreicht werden kann. Im SEEF Framework werden diese Möglichkeiten Approaches genannt:

Möglichkeit 1: Risikobeurteilung lediglich auf Basis von Unterlagen und Plänen (in der Tabelle Stufe 1, grün)

Möglichkeit 2: Vor-Ort-Einschätzung durch Gespräche, Interviews und Observationen (Stufe 3, grün)

Möglichkeit 3: Aktive Versuche, sich Zutritt zu verschaffen (nicht destruktiv), z.B. «Tailga-ting», also einschleichen mittels eines Mitarbei-ters (Stufe 4, orange)

Möglichkeit 4: Aktive Versuche, sich Zutritt zu verschaffen (auch destruktiv). Manipulation von Schlössern, generischen Schlüsseln, Fens-tereintritt etc. (Stufe 6, orange).

Die kombinierten Elemente zeigen auf, wie Social Engineering professionell, international und auf höchster Stufe ausgeführt wird. Das

ANZEIGE

Nur zu Übungszwecken und auch dabei nicht über Stufe 6 hinauszugehen!

4,92

Schweregrade von Social Engineering

QUEL

LE: S

EEF.

REPU

TELL

IGEN

CE.C

OM

Stufe Risiko Empfehlungen (Genehmigungen, Einverständnis)

1 Legal, nicht-invasiv, OSINT Der Consultant oder Spezialist kann die Aufgaben nach Erteilung der Genehmigung selbstständig ausführen. Einsatz der eigenen Ressourcen. Einfache Aufgaben wie OSINT (Open Source Intelligence – Informationsbeschaffung im öffentlichen Raum) dürfen fremdvergeben werden. Das Risiko für das Vorhaben kann durch den Linienvorgesetzten eruiert werden.

2Einfach, lokal oder national, Standardorganisation

3Erhaltung der Integrität (Person oder Organisation)

4Invasiv, intrusiv, inter-nationale oder bekannte Organisation

Diverse Begleitmassnahmen erforderlich: Genehmigung der Aufgaben durch Projektleiter und Client Manager, Minimie-rung oder Absicherung der Risiken, Risikomanagementplan, Informieren des Einsatzteams. Zur Risikominimierung müssen einzelne Schritte im Vorhaben als separate Aufgaben geplant werden (keine Verkettung). Es dürfen nur erfahrene Mitarbeiter eingesetzt werden. Das Vorhaben muss laufend überwacht werden. Juristische Unterstützung erforderlich und obligatorisch.

5 Ethisch fragwürdig

6Geringes Risiko der Illegali-tät, gesetzl. Implikationen nicht ganzheitlich bekannt

7Invasiv, intrusiv, komplex, international, Organisation im öffentlichen Interesse

Wird die Intensitätsstufe während des Auftrags erhöht, müssen sofort Risikominimierungsmassnahmen eingeleitet werden, um das Risiko auf ein akzeptables Niveau zu senken oder den Auftrag zu stoppen. Aktive Unterstützung der Be-hörden im Falle einer Investigation. Obligatorische Meldung von Verbrechen. Segmentierung des Vorhabens in diskrete Aufgaben. Gegebenenfalls Unterstützung durch externe Serviceprovider bei Indikationen bestimmter Risiken.

8Erpressung, unethisch, Risiko eines Kollateralscha-dens, z.B. der Reputation)

9Illegal (Kapitalverbrechen), aktives Verbrechen, Körper-verletzung

101112

Höchststrafen, Cyberwar, Spionage, Landesverrat, Verletzung von internationa-lem Recht und Kriegsrecht

Nicht ausführen! Nur als Referenz und um die Bandbreite potenzieller Angriffe zu verdeutlichen, die tatsächlich auch schon so vorgekommen sind.

Verständnis darüber, wie fortgeschritten Social Engineering ist, hilft den Sicherheitsverantwort-lichen dabei, entsprechende Massnahmen zu planen und umzusetzen.

ELEMENTE DER AWARENESS-SCHULUNGEine Awareness-Schulung teilt sich je nach Grös se der Organisation in drei Schulungs-stufen auf. Die erste Stufe bilden die Mitarbeiter. Die zweite Stufe umfasst das Management und

An der Hacker-Konferenz Defcon 22 in Las Vegas fand letztes Jahr der Wettbewerb Social Engineering Capture the Flag (SECTF) statt. Ziel des Experiments war es, herauszufi nden, wie viele vertrauliche Informationen über ein Unternehmen in-nerhalb eines defi nierten Zeitraums beschafft werden können.

Zuerst wurde mit einem zugeteilten Partner inner-halb von vier Wochen ein vollständiger Report über eine ausgewählte Zielfi rma erstellt. Die sogenannten Flags (Informationen wie Organigramm, Telefonliste, Betriebssystem etc.) durf-

ten nur durch Open-Source-Informationsbeschaffung (OSINT) gewonnen werden. Bereits dieser Report um-fasste mehr als 100 Seiten mit teilweise sehr vertrau-lichen Informationen, die jedoch öffentlich im Inter-net verfügbar waren. Auf-grund dieser detaillierten Datenbasis wurde am Def-con-Event das sogenannte Vishing live durchgeführt. Vishing (Voice Fishing) heisst, mit vorbereiteten Skripts telefonisch noch mehr Informationen aus der Zielfi rma herauszuholen. Dazu bieten sich verschie-dene Rollen an: Sei es als Helpdesk-Mitarbeiter, als

erzürnter Kunde oder als Benutzer, der sein VPN-Passwort vergessen hat. Am Ende des Wettbewerbs wurde der Report mit den vertraulichen Informations-blöcken von den Veranstal-tern den betroffenen Firmen zur Einsicht zur Verfügung gestellt.

Fazit des kleinen Expe-riments: Bereits mit einer ethischen Grundeinstellung, beschränkter Zeit und gerin-gem Budget erreichten die Spezialisten viel. Es ist zu befürchten, dass Personen mit krimineller Energie und grosszügigen Geldmitteln noch wesentlich weiter kommen.

Experiment: Wie weit kommt man mit Social Engineering?

andere Informations- oder Geheimnisträger wie Chief Information Security Offi cer oder IT-Sicherheitsbeauftragter. Die dritte Stufe ist die IT-Operation – auch wenn diese ausgelagert ist. Die Awareness-Schulung unterscheidet sich in jeder Stufe, damit sie die individuellen Bedürf-nisse in der Bekämpfung von Social-Enginee-ring-Attacken optimal abdeckt. Als Grundlage dient entweder eine Schwachstellenanalyse (SE-Audit) oder defi nierte Kernelemente im Kontext der Organisation wie zum Beispiel:

Öffentlicher, respektive digitaler Abdruck der Organisation (Digital Footprint)

Elemente der physikalischen Sicherheit (Hochsicherheits- oder geheime Standorte)

Gefahr aus dem Inneren (Insider Threat), Per-sonensicherheitsüberprüfungen, Strafregister-auszüge, Leumund, digitale Reputation, Über-prüfen von Zeugnissen/Diplomen

Anfälligkeit für imitierte Telefonanrufe (Vi-shing), imitierte Repräsentation (Impersona-tion), gefälschte E-Mails (Phishing), E-Mail-Attachments (Malware), Geschenke wie CD oder Memory-Stick (Baiting)

Entsorgung digitaler und physikalischer Me-dien (Dumpster Diving)

«Am Defcon-Wettbewerb habe ich selbst erlebt, wie weit man mit Social Engineering kommt»Dominique C. Brack

Ist ein Informationssicherheits-Manage-mentsystem (ISMS) nach dem Standard ISO 27002 vorhanden?

Öffentliche Profi le von Key-Stakeholdern der Organisation (Spearfi shing, Whaling)

Die Schulung richtet sich nach der Einstufung der Risiken, wobei der Fokus auf den grössten Risiken liegt. Social Engineering nützt haupt-sächlich Zeitdruck, Hilfsbereitschaft oder Auto-rität aus. Aus meiner Erfahrung ist die Institu-tionalisierung klarer Kommunikationsregeln sowie die Defi nition einer Eskalationsstelle (quasi ein digitaler Alarmknopf) hilfreich. Die Awareness-Schulung vermittelt den Mitarbei-tern das richtige Verhalten und die zu kontak-tierenden Stellen, falls ein Verdacht oder eine ungewohnte Situation eintritt. Dasselbe gilt natürlich auch für das Management, das sen-sibilisiert werden muss und die Mitarbeiter ermuntern soll, sich bei einem Verdacht zu melden. Der Chief Information Security Offi cer (CISO) oder der IT-Sicherheitsbeauftragte (IT-SiBe) muss die entsprechenden Richtlinien und Weisungen erstellen und Social Engineering als Risiko aufnehmen.

26 Computerworld X vom XX. Monat 2012 www.computerworld.ch STRATEGIE & PRAXIS Social Engineering Computerworld 11/3. Juli 2015 www.computerworld.ch 27