Social Engineering (Sicherheit)
aus Wikipedia, der freien Enzyklopädie
Der Begriff Sozialkonstruktion bzw. englisch Social Engineering (auch Social Hacking) bezeichnet in der Soziologie das Erlangen vertraulicher Informationen durch Annäherung an Geheimnisträger mittels gesellschaftlicher Kontakte.
Dieses Vorgehen wird von Geheimdiensten und Privatdetektiven seit langem praktiziert, der Begriff wird jedoch meist im Zusammenhang mit Computerkriminalität verwendet, da er hier das Gegenstück zum rein technischen Vorgehen (Engineering) beim Eindringen in fremde Systeme bildet.
- Beispiel: Herr Meier arbeitet in einer Firma, die ein neuartiges Produkt als Erste auf den Markt bringen will. Er arbeitet in der Entwicklungsabteilung an einem Computer. Um sich dem System gegenüber zu authentifizieren, benötigt man einen Account und das dazugehörige Passwort. Nun ruft eines Tages ein vermeintlicher Kollege aus einer anderen Filiale des Unternehmens an und bittet Herrn Meier, ihm seine Benutzerdaten zu geben, da er Wartungen am Server durchführen müsse. Zwar kennt Herr Meier den Anrufer nicht, aber durch die Art des Gesprächs vermittelt er den Eindruck, dass er zum Unternehmen gehört.
Meist nähern sich die Angreifer beim Social Engineering zunächst einem Mitarbeiter in einer untergeordneten Position, etwa der Sekretärin oder der Putzfrau, um Gepflogenheiten und Umgangsformen in Erfahrung zu bringen. Bei der Annäherung an den eigentlichen Geheimnisträger verschaffen sie ihm dann den Eindruck, dass es sich angesichts der Detailkenntnis bei dem eigentlich Fremden ja keinesfalls um einen Außenstehenden handeln kann. Eine andere Masche besteht darin, einen technischen Laien durch Fachjargon zu verwirren und zu verunsichern, bis dieser in seiner Hilflosigkeit die nötigen Daten herausrückt.
Ein klassisches Social Engineering ist im James-Bond-Film Diamantenfieber dargestellt: Dort fragt James Bond zunächst den untergeordneten Kontrolleur der Strahlungsplaketten aus, um dann in dessen Rolle ins geheime Raumfahrtlabor vorzudringen.
Social Engineering wurde in der Zeit vor dem Durchbruch des Internets, in den 80er und Anfang der 90er Jahre des 20. Jahrhunderts von sogenannten Phreakern benutzt, um kostenlos Modemverbindungen herzustellen. Der Betreffende rief beispielsweise bei einem Mitarbeiter einer Firma an und gab vor, Systemadministrator der Telefongesellschaft zu sein. Leider habe man das Zugangspasswort zurücksetzen müssen und wolle nun ein neues haben. In den meisten Fällen wurde das Passwort sorglos herausgegeben.
Öffentlich bekannt wurde die Methode vor allem durch den Hacker Kevin Mitnick, der durch seine Einbrüche in fremde Computer eine der meistgesuchten Personen der USA war. Bei der Aufdeckung seines Vorgehens wurde gezeigt, dass Social Engineering meist schneller zum Ziel führt als etwa das Durchprobieren von Passwörtern, genannt brute force.
Angriffe durch Social Engineering werden zumeist kaum in der Öffentlichkeit bekannt. Zum einen ist es für viele Firmen peinlich, derartige Angriffe zuzugeben, zum anderen geschehen viele Angriffe so geschickt, dass diese nicht oder erst viel später aufgedeckt werden.
Grenzfall des Social Engineering ist Phishing (gefälschte Passwortabfragen auf Internetseiten und in E-Mails), weil es sich hier in erheblichem Maße um eine technische Spionagemethode handelt.
Inhaltsverzeichnis |
[Bearbeiten] Geistige Manipulation durch Erkennung von Personen oder Werten
Social Engineering findet nicht nur durch Verwirrung und Aneignung von objektiven Sachen statt. Es ist ein Zusammenspiel aller körperlichen Funktionen, die mit Erkennung von Werten zu tun hat. Wenn man es ganz stupide betrachtet, kann soziale Manipulation überall stattfinden. Im Bus, beim Freund, in der Schule, bei Kameraden oder überall anders. Das Zusammenspiel des Mundwerks mit der körperlichen Erkennung und Einschätzung des anderen spielt hierbei eine große Rolle. Die geistige Erkennung einer Manipulation bei anderen ist vieler Ansichten nach gefährlich.
Wenn man die Sprache beherrscht mit Menschen zu kommunizieren, benötigt man erst einmal ein ausgefeiltes Vokabular. Denn es kommt nicht sonderlich darauf an, was man erzählt, wichtiger ist wie man es dem anderen am Ende des Gesprächs vermittelt. Die Erkennung von anderen Personen anhand ihrer Kleidung oder anhand ihres Gesichts ist nicht einfach zu beherrschen. Es gibt verschiedene Erkennungsbücher, mit welchen man spezifische Blicke und Verhaltensarten von anderen Menschen in Minuten analysieren kann.
Die Macht, anderen seine Meinung unterzuschieben(weiterzugeben), ohne dass sie etwas davon mitbekommen, muss also nicht auf Computernatur basieren und Manipulation zur Folge haben, die negativ ist.
[Bearbeiten] Definition
Der Begriff Social Engineering bezeichnet eine auf psychologischer Analyse und Sozialkompetenz beruhende zwischenmenschliche Beeinflussung, die dazu dient, eine Zielperson dazu zu verleiten, vertrauliche Informationen weiterzugeben, auf die der Täuschende auf offiziellem Wege keinen Zugriff erhalten würde. Sie beruht häufig auf der Ausnutzung informeller sozialer Strukturen und immanenter psychologischer Verhaltensmuster.
[Bearbeiten] Literatur
- Kevin Mitnick, William Simon: Die Kunst der Täuschung: Risikofaktor Mensch. ISBN 3-8266-0999-9, ISBN 3-8266-1569-7 (zweite Auflage)
- Kevin Mitnick, William Simon: The Art of Deception: Controlling the Human Element of Security. engl. ISBN 0-471-23712-4
[Bearbeiten] Siehe auch
- Social Engineering (Gesellschaftswissenschaft)
- Gesprächsabschöpfung
[Bearbeiten] Weblinks
- computec.ch freie deutschsprachige Dokumente
- Sicherheitskultur im Unternehmen. Umfangreiche Artikelsammlung zur Informationssicherheit, Sicherheitskultur und Security Awareness E-Book als kostenfreier PDF-Download
