Kitabı oku: «Internetkriminalität», sayfa 4
III. Social Engineering, Social Hacking
Inhaltsverzeichnis
1. Phänomenbeschreibung
2. Strafrechtliche Relevanz
3. Zivilrechtliche Relevanz
4. Checkliste für die Ermittlungspraxis
5. Präventionsmaßnahmen
III. Social Engineering, Social Hacking › 1. Phänomenbeschreibung
1. Phänomenbeschreibung
Die besten technischen Sicherheitsvorkehrungen nutzen nichts, wenn sich der Täter die „Schwachstelle Mensch“ zunutze macht. Durch geschicktes Nachfragen wird ein Mitarbeiter des Unternehmens, dessen Computersystem infiltriert werden soll, zur Herausgabe sensibler Daten, wie zum Beispiel Telefonnummern, Zugangscodes oder Passwörter für Computersysteme, gebracht. Seinen Ursprung hat die „soziale Manipulation“ in den 80er Jahren des vergangenen Jahrhunderts. So genannte Phreaker riefen bei Telefongesellschaften an. Meist gaben sie sich als Kollege oder Administrator aus. Unter einem Vorwand, dringend Hilfe zu benötigten oder das System überprüfen zu müssen, brachten sie die Angestellten dazu, die tagesaktuellen Passwörter zu Erstellung von Telefonverbindungen herauszugeben. Im Anschluss stellen die Täter mit den erhaltenen Zugangscodes kostenlose Modemverbindungen her oder führten Telefongespräche. Die Phreaker erkannten, dass sie an die gewünschten Informationen kamen, indem sie gezielt Menschen manipulierten, zu denen sie ausschließlich zu diesem Zweck ein Vertrauensverhältnis aufgebaut hatten. Um dies zu erreichen hatten sie sich zuvor über die Geschäftsabläufe bei der angegriffenen Telefongesellschaft erkundigt.
Häufig ist die Abfrage bzw. das Sammeln von Informationen bei verschiedenen Personen auch die Vorbereitung für einen Angriff auf das Firmennetzwerk. Neben dem „klassischen“ Hacken von Computern nimmt das Social Engineering immer noch eine feste Rolle beim Diebstahl von Informationen und Daten ein. Dies hat seinen Grund u. a. darin, dass der Datenaustausch in einer vernetzten Welt immer öfter zwischen Personen stattfindet, die sich persönlich nicht kennen. Zudem erhöhen sich die Geschwindigkeit des Datentransfers und damit auch die Frequenz der Änderung von Zuständigkeiten und technischen Abläufen. Hinzu kommt, dass sich die Täter schnell und gezielt in sozialen Netzwerken und bei Berufsbörsen über Personen informieren können, die an wichtigen Schaltstellen des anzugreifenden Unternehmens sitzen. Durch das Einholen von Informationen bei verschiedenen Menschen im Unternehmen oder in dessen Umfeld erlagen die Täter eine Vielzahl von Puzzleteilen, die sie zu einer Gesamtinformation zusammensetzen. Auf diesem Wege schöpfen die wenigsten Personen Verdacht, da sie ja nur nach Nebensächlichkeiten ihrer Tätigkeit oder profane Geschäftsabläufe gefragt wurden. Beim Täter hingegen ist die Summe der erlangten Auskünfte wichtig, um letztendlich an die von ihm benötigten Informationen zu gelangen oder um Glaubwürdigkeit bei der Person vorzutäuschen, die final angegangen wird.
Den Tätern kommen dabei unterschiedliche begünstigende Faktoren zugute. Viele Opfer von Social Engineering-Attacken glauben nach dem Angriff, einem Mitarbeiter einen Gefallen getan zu haben und hegen dabei keine Zweifel, sich korrekt verhalten zu haben. Ihnen wurde eine Notlage vorgetäuscht, aus der sie ihrem Kollegen helfen konnten. Meist wurden sie dabei unter Zeitdruck gesetzt, indem ihnen beispielsweise von einem gravierenden IT-Problem oder einem blockierten Rechner erzählt wurde. So konnte es dem Täter gelingen, unter dem Vorwand den Zugang des Angerufenen zum Computersystem überprüfen zu müssen, an dessen Zugangsdaten zu kommen oder ihn davon zu überzeugen, ein wichtiges Update aufzuspielen, was in Wirklichkeit aber ein Schadprogramm ist.
Oder es wurde lange vor dem Angriff ein besonderes Vertrauensverhältnis zu dieser Person aufgebaut, dass dann am „Tag X“ genutzt wurde. So konnte die betreffende Person im Vorfeld der Attacke bereits angerufen worden sein. Der Täter konnte sich als neuer Mitarbeiter aus einer anderen Abteilung derselben Firma ausgeben und um Hilfe durch seinen „erfahrenen Kollegen“ bitten. So ließ er sich zum Beispiel durch ihn Arbeitsabläufe bestätigen, die er für seine Tätigkeit benötigte. Diese waren ihm jedoch schon geläufig, da er diese vorher bereits ausspioniert hatte. Allerdings konnte die Täterschaft sich bei dieser Person einen gewissen Bekanntheitsgrad und auch Sympathien sowie auch Vertrauen verschaffen und sie bitten, bei einer weiteren Hilfeleistung wieder anrufen zu dürfen. Dieser Anruf fand einige Zeit später dann tatsächlich statt. Bei dieser Gelegenheit fragte er dann aber die Zugangsdaten zum Computer ab.
Ebenso werden an Firmenmitarbeiter E-Mails gesandt. Diese haben einen entsprechenden, zum Öffnen animierenden Betreff („Wichtige Nachricht für …“, „Fund im Hotelzimmer“) oder Anhang („Fundstück Uhr“). Neugierig geworden öffnet der angeschriebene Mitarbeiter die Mail bzw. den Anhang. Entweder wird er mit dem Inhalt der Nachricht geschickt manipuliert und zur Preisgabe von Daten oder Passwörtern animiert oder es installiert sich ein Schadprogramm auf dem betreffenden Rechner und durchforstet die gespeicherten Daten nach dem, was der Täter benötigt. Im Jahr 2014 wurde erstmals die als „Banking Trojaner“ bekanntgewordene Schadsoftware „Emotet“ verwendet. Auch diese versteckte sich im E-Mailanhang oder als Link im versandten Text. Wurde der Anhang oder der Link geöffnet, installierte sich das Schadprogramm. Dem Täter war es unter anderem möglich, Zugangsdaten zum Internetbanking zu erlangen. In den weiterentwickelten Versionen des Programms ist es möglich, weitere, modernere Schadsoftware nachzuladen. Als Beispiel gilt das ebenfalls als Bank Trojaner bekannte Programm „Trickbot“ oder die Ransomware „RYUK“[1].
Seit Ende 2019 infiziert „Emotet“ vermehrt Bundesbehörden, um dort E-Mail-Adressen auszulesen. Über diese verbreitet sich das Programm weiter. Ausgenutzt wurde bei den Betroffenen das Vertrauen in die Mails, deren Absender beispielsweise die Bundesverwaltung ist. Den Behörden entstand dabei kein Schaden. Opfer der Schadsoftware in verschiedensten Versionen wurde aber beispielsweise das Krankenhaus in Fürstenfeldbruck, die Uni Göttingen und das Kammergericht Berlin.
Deshalb lassen sich die Angriffe mit der Methode Social Engineering grundsätzlich in zwei Gruppen unterteilen:
| a) | Human-based-social-engineering: Der Angriff erfolgt im direkten persönlichen Kontakt (Besuch in der Firma) oder via Telefon. |
| b) | Computer-based-social-engineering: Der Angriff erfolgt per E-Mail mit einem entsprechenden Betreff bzw. Anhang. |
In die Hände spielt dem Täter aber auch die Autoritätskultur mancher Unternehmen. Schlüpft er in die Identität eines Vorgesetzten, hat die angegriffene Person weniger Bedenken, den Bitten oder Anordnungen nachzukommen und die geforderten Informationen (Passwörter, Stand einer technischen Entwicklung, Buchungsnummern oder interne Geschäftsabläufe) herauszugeben.[2]
Eine Auswertung durch den amerikanischen Kommunikationskonzern Verizon von knapp 42.000 Vorfällen im Zusammenhang mit der Sicherheit von Daten sowie ca. 2.000 bestätigten Fällen des Datenmissbrauchs kommt zu dem Ergebnis, dass 33 % der Attacken auf Firmen in die Gattung „social“ eingeordnet werden können.[3] Bei dieser Zahl ist auch berücksichtigt, dass ein Angriff selten aus nur einer Kategorie besteht. Vielmehr werden mehrere miteinander kombiniert, um an das Ziel zu gelangen oder es werden mit dem Vorgehen Daten und Erkenntnisse gesammelt, damit ein Angriff unter Anwendung der erlangten Informationen erfolgen kann.
Ein immer noch aktuelles Beispiel für Social Engineering zur Erlangung von Geld ist der vorgebliche Anruf eines Mitarbeiters des Supports der Firma Microsoft. Dieser erklärt, dass seine Firma Fehlermeldungen vom PC des Angerufenen erhalten habe. Damit er den Rechner kontrollieren und die Fehler beheben könne, solle der Nutzer ein so genanntes Fernwartungsprogramm (z. B. „Teamviewer“, „Ammyy“ oder „ShowMyPC“) auf seinen Rechner laden. Im Anschluss greift er auf den Rechner des Angerufenen zu, zeigt ihm einige Warnungen oder sogar vermeintliche Schadprogramme und fordert die Person dann auf, Lizenzen für das Betriebssystem oder die installierten Programme kostenpflichtig verlängern zu lassen. So gelangt der Täter nicht nur an Bargeld, sondern umgeht die Firewall und den Virenscanner. Darüber hinaus besteht für ihn noch die Möglichkeit, ein Virenprogramm zur Übernahme des Rechners oder Mitlesen der Tastatureingaben zu installieren.
III. Social Engineering, Social Hacking › 2. Strafrechtliche Relevanz
2. Strafrechtliche Relevanz
Die Erläuterungen zur strafrechtlichen Relevanz befassen sich mit dem Erlangen von Daten durch persönlichen Kontakt (persönliches Erscheinen, Telefonieren). Die Datenaneignung mit technischen Mitteln, beispielsweise durch gefälschte E-Mails, wurde im Kapitel „Phishing“ erläutert.
§ 17 Abs. 2 Nr. 2 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen) ist zu prüfen, wenn der Täter durch Täuschungshandlung Zugangsdaten oder Betriebsgeheimnisse erlangt. Dabei kommt die Variante des unbefugten Verwertens oder das Mitteilen an jemanden anderen in Betracht. Strafverschärfend wirkt sich aus, wenn die Handlung gewerbsmäßig erfolgt, der Täter weiß, dass das Geheimnis im Ausland verwertet werden soll oder die Verwertung im Ausland selbst vornimmt. Nach § 17 Abs. 2 UWG ist zur Verfolgung der Tat ein Strafantrag notwendig, außer die Strafverfolgungsbehörde erkennt ein besonderes öffentliches Interesse an der Strafverfolgung.
§ 132a Abs. 1 Nr. 1, 2 StGB (Missbrauch von Titeln, Berufsbezeichnungen und Abzeichen) könnte in Betracht kommen, wenn sich der Täter beispielsweise als Polizeibeamter oder Rechtsanwalt ausgibt.
§ 42 Abs. 2 Nr. 2 BDSG i. V. m. § 26 Abs. 1, 2. Alt. StGB (Erschleichen der Übermittlung personenbezogener Daten durch unrichtige Angaben in mittelbarer Täterschaft) könnte kritisch geprüft werden. Schutzgut des BDSG sind personenbezogene Daten. Die Vorschriften des BDSG gelten nach § 1 Abs. 1 S. 2, 2 BDSG auch für natürliche Personen, wenn diese nicht aufgrund persönlicher oder familiärer Tätigkeiten verarbeitet werden. Der Engineer nutzt wie oben beschrieben ein Vertrauens- oder Über-/Unterordnungsverhältnis aus, um über einen Dritten an die für ihn notwendigen persönlichen Daten zu kommen. Der Schutzbegriff des § 46 Nr. 1 BDSG umfasst alle Informationen, mit denen eine Person eindeutig identifizierbar ist, u. a. Namen, Anschriften, Telefonnummern oder E-Mail-Adressen. Durch geschicktes Verhalten benutzt der Täter eine andere Person als Werkzeug, um an die entsprechenden Auskünfte zu kommen. Unterstellt wird die Gutgläubigkeit des Opfers. Ebenfalls Voraussetzung zur Erfüllung des Tatbestands ist die elektronische Speicherung vor der Herausgabe. Denkbar ist in diesen Zusammenhang, dass beispielsweise die Personalnummer oder die private Telefonnummer vor der Preisgabe zunächst in einem Programm zur Datenverarbeitung „nachgeschlagen“ werden muss. Nach § 42 Abs. 3 BDSG wird die Tat nur auf Antrag verfolgt.
§ 42 Abs. 2 Nr. 1 BDSG (Unbefugte Verarbeitung von Daten) kann ebenfalls geprüft werden. Nach § 46 Nr. 2 BDSG fällt unter die Verarbeitung auch die Erhebung personenbezogener Daten. Grundsätzlich sind die Daten beim Betroffenen zu erheben (§ 32 BDSG[4]) und wenn es nach dem Gesetz (BDSG und anderen Rechtsvorschriften) erlaubt ist oder eine Einwilligung des Betroffenen vorliegt. Bei der Erhebung von Daten ist es nicht zwingend notwendig, diese auf elektronischem Wege zu erheben. Die (mündliche) Abfrage bei einem Dritten ist ausreichend. Zudem sind der Zweck der Datenbeschaffung und die beabsichtigte Verwendung nicht von Bedeutung. Eine gesetzliche Notwendigkeit oder eine Erlaubnis des Betroffenen dürfte im jeweils konkreten Fall nicht vorliegen.
Inwieweit die im BDSG bzw. der DSGVO als „Verantwortlicher“ genannte Person für die Preisgabe personenbezogener Daten durch einen Dritten (Mitarbeiter) verantwortlich gemacht werden kann, da er ggf. keine oder mangelnde organisatorische Maßnahmen getroffen hat, bleibt abzuwarten.
§§ 202a und 202b StGB (Ausspähen bzw. Abfangen von Daten) liegt nicht vor, da kein Datenverarbeitungsvorgang genutzt wird, um an die Daten zu gelangen.
Weitere Tatbestände sind zu prüfen, wenn der Täter die erlangten Daten einsetzt. So beispielsweise §§ 202a, 205 StGB; § 263a Abs. 1, 3. Variante StGB; § 270 StGB.
III. Social Engineering, Social Hacking › 3. Zivilrechtliche Relevanz
3. Zivilrechtliche Relevanz
Wie im Kapitel „Phishing“ beschrieben, bietet das Zivilrecht auch beim „Social Engineering“ verschiedene Möglichkeiten gegen den Täter. So können insbesondere geprüft werden: § 823 Abs. 1 BGB (Schadenersatzpflicht – allgemeine Haftungsgrundlagen) wie zum Beispiel einer Nutzungsbeeinträchtigung des Internetbankings wegen Sperrung des Kontos oder dem Verlust von Geld, § 823 Abs. 2 BGB (Schadenersatzpflicht – Verletzung von Schutzgesetzen; unter Schutzgesetz fällt beispielsweise ein vorsätzlich begangener Verstoß gegen das BDSG) sowie § 1004 BGB (Beseitigungs- und Unterlassungsanspruch, soweit nicht speziellere gesetzliche Ansprüche greifen.
Ebenso zur Prüfung gelangt § 83 Abs 1. S. 1 BDSG (Schadenersatz und Entschädigung). In Betracht kommt die Variante der „Offenlegung durch Übermittlung“ (vgl. § 46 Nr. 2 BDSG) von Daten. Offensichtlich handelt es sich bei der Weitergabe von Daten an einen unbekannten Dritten um eine unzulässige Datennutzung. Allerdings ist nachzufragen, ob die Person absichtlich gehandelt hat und erkennen konnte, dass unbefugte Dritte die Datenauskunft haben wollten. Denn das Gesetz schließt in Satz 2 der Vorschrift über Schadenersatz und Entschädigung eine Schadenersatzpflicht aus, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.
III. Social Engineering, Social Hacking › 4. Checkliste für die Ermittlungspraxis
4. Checkliste für die Ermittlungspraxis
| ✓ Vernehmung des Anzeigenerstatters (i.d.R. der Geschädigte) als Zeugen. ✓ Der erste Angriff erfolgt durch die Schutzpolizei, die Endsachbearbeitung durch die Kriminalpolizei. ✓ Sollte der Engineer sich per Telefon gemeldet haben, müssen die Verbindungsdaten der Anschlüsse gesichert werden. ✓ Sollte der Angriff mit Unterstützung elektronischer Kommunikationsmittel stattgefunden haben, ist die Mail zu sichern und nach Absprache mit dem betreffenden Sachbearbeiter an einen E-Mail-Account der Polizei weiterzuleiten. ✓ Sicherung der Kopfzeilendaten (Header). |
III. Social Engineering, Social Hacking › 5. Präventionsmaßnahmen
5. Präventionsmaßnahmen
Allein durch technische Maßnahmen wie Firewall, aktivem und aktuellem Virenscanner sowie passwortgeschützte Benutzerkonten sind elektronische Daten, Informationen und Betriebsgeheimnisse nicht zu schützen. Allerdings dürfen diese Maßnahmen auch nicht vernachlässigt werden. In Kombination mit verhaltensorientierten Maßnahmen kann ein guter Schutz gegen den Abfluss von Informationen erreicht werden. Im Einzelnen sollte darauf geachtet werden:
Weniger ist mehr! Informationen über die anzugreifende Person in einer Firma werden meist im weltweiten Netz recherchiert. Daher ist es ratsam, im Internet im Allgemeinen und bei sozialen Netzwerken (fb, Xing, Twitter, LinkedIn) im Besonderen nicht zu viel von sich und seiner beruflichen Karriere preiszugeben. Ein Posting über vertrauliche Informationen über den Arbeitgeber oder die dort verrichtete Tätigkeit verbietet sich von selbst. Aber auch bei der persönlichen Vorsprache oder Kontakt über Kommunikationsmittel gilt, sich mit Auskünften zurückzuhalten. Vorsicht ist auch bei Freundschafts- oder Kontaktanfragen über soziale Netzwerke oder persönlich gehaltene E-Mails angebracht.
Mitarbeiter müssen über das Phänomen „social engineering“ informiert sein. Hierzu müssen Schulungen angeboten werden, um die Methoden des Engineers (Sammlung von Informationen im Internet, Abfrage von Interna via Telefon oder persönlich, Aufbauen von Zeitdruck zur Lösung eines Problems usw.) zu kommunizieren. Zudem müssen sie Fingerspitzengefühl entwickeln, welche sensiblen privaten Daten abgefragt werden können und auf gar keinen Fall herausgegeben werden dürfen (Urlaubsabwesenheit, Telefonnummer privat und/oder am Arbeitsplatz, Personalnummer usw.).
Damit einhergehend müssen Mitarbeiter zudem darüber Bescheid wissen, welche Informationen das Kapital des Unternehmens sind und diese folglich nicht herausgegeben werden dürfen. Hilfreich ist dabei die Festlegung, was im Unternehmen unter „vertraulich“ fällt. Ebenso notwendig ist die Bekanntgabe von bzw. Einigung auf Kriterien unter die Informationen fallen, die nicht vertraulich sind, aber darüber trotzdem keine Auskunft erteilt werden darf. Dabei gilt es, den Spagat zwischen Kundenfreundlichkeit und dem Schutz von Betriebsinformationen zu schaffen.
Um den Mitarbeitern die Entscheidung zu erleichtern, welche Informationen sie im Zweifelsfall weiter- respektive herausgeben dürfen, sind Kommunikationswege (Postversand, Telefon, Mail, Fax, persönlich) festzulegen. Ggf. können Kontaktpersonen im Unternehmen benannt werden, bei denen sich Mitarbeiter rückversichern oder im Nachhinein Mitteilungen über dubiose Kontaktaufnahmeversuche getätigt werden können.
Für alle Benutzerkonten müssen eigene Passwörter vergeben werden. Diese sollten in periodischen Abständen gewechselt werden. Darüber hinaus dürfen Passwörter nur vom Administrator zurückgesetzt werden, wenn der Mitarbeiter persönlich bei ihm vorspricht und nicht nur anruft bzw. ein vereinbartes (registriertes) Kennwort nennen kann. Das Passwort selbst darf nicht notiert bzw. auf einem Notizzettel am Rechnerbildschirm oder der Schreibtischunterlage hinterlassen werden.[5] Zudem muss sich am PC-Bildschirm nach einer definierten kurzen Zeitspanne der Bildschirmschoner automatisch generieren. Er darf nur nach Eingabe des Passwortes wieder freigeschaltet werden.
Vorsicht und Aufmerksamkeit sollte immer angebracht sein, wenn Anrufer versuchen, Druck auf die kontaktierte Person aufzubauen. Meist wird eine Not- oder Hilfesituation vorgebracht, die in kürzester Zeit bereinigt werden muss. Die Mitarbeiter müssen wissen, dass sie sich beim Vorgesetzten rückversichern können, ob der geschilderte Sachverhalt tatsächlich so zutrifft. Auch die Möglichkeit für einen Rückruf bei der entsprechenden Person bzw. Abteilung zur Prüfung der Identität des Anrufers (Nummer sollte selbst herausgesucht werden) oder das Beenden eines Gespräches muss als Option bekannt sein.
In der Unternehmenskultur muss ein Klima der Offenheit und des gegenseitigen Respektes vorherrschen. Althergebrachte Hierarchien und Strukturen fördern Social Engineering. Auch eine offensive Fehlerkultur muss etabliert sein.
Insbesondere sollten niemals mit Smartphones, Laptops oder Tabletts, auf denen berufliche Kontakte, geschäftliche Dokumente, Pläne oder Zeichnungen gespeichert sind, öffentliche WLAN-Hotspots genutzt werden. Dasselbe gilt für den Fernzugriff mit diesen Geräten auf den Firmenserver.
Anmerkungen
[1]
Vgl. Bundesamt für Sicherheit in der Informationstechnik, Presse unter https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Emotet-Warnung_230919.html (zuletzt aufgerufen 22.4.2020).
[2]
Vgl. Fox 2013, S. 318.
[3]
Verizon „2019 Data Breach Investigation Report“ (S. 5 ff.), www.verizonenterprise.com“ (zuletzt aufgerufen 22.4.2020).
[4]
In der neuen Fassung des BDSG gibt es keine Bestimmung, die explizit angibt, dass personenbezogene Daten grundsätzlich beim Betroffenen zu erheben sind (s. § 4 Abs. 2 BDSG a.F.). Die Regelung hierzu ergibt sich über den § 32 BDSG-neu bzw. Art. 13 DSGVO.
[5]
Näheres zur Passwortsicherheit s. Kapitel XIII.
Ücretsiz ön izlemeyi tamamladınız.
