Haben Sie Fragen?
Rufen Sie uns einfach an:
040 696985 - 0

„Schwachstelle Mensch“ – Testen der Mitarbeiter-Awareness

1. Social Engineering

Selbst das bestgeschützte Computersystem der Welt ist nicht rundum sicher. Neben einem Angriff auf das Netzwerk selbst gibt es für Kriminelle noch einen anderen, mitunter deutlich schnelleren und effektiveren Weg, an sensible Daten zu gelangen: den Weg über den Menschen.

Diese Art von Angriff nennt sich Social Engineering und es gibt vielfältige Varianten. Täter geben sich als Techniker oder Kollege aus, um Zutritt zu Computerräumen zu erhalten oder Mitarbeitern sensible Informationen zu entlocken. Sie fälschen E-Mails bekannter Dienstleister, um arglose Nutzer zur Eingabe ihrer Zugangsdaten zu bewegen.

Selbst vor Mülltonnen machen Kriminelle nicht Halt. In den Abfällen einer Firma suchen sie nach vertraulichen Unterlagen, die ein Mitarbeiter sorgfältig hätte vernichten sollen. Und selbst wenn sie diese nicht finden, erhalten sie vielleicht anderweitig Einblicke – z. B. was der Chef gerne zu Mittag isst. Ein solches Wissen kann für einen Angriff ausgenutzt werden.

1.1 Ein Beispiel

„Guten Tag Fr. …, wie geht es Ihnen? Ich bin Dr. …, Geschäftspartner Ihres Chefs. Sie und ich haben vor ein paar Wochen schon einmal telefoniert, erinnern Sie sich? Nein? Ach, das macht doch nichts. Ich war gestern mit Ihrem Chef für ein Geschäftsessen bei diesem Italiener in der Beispielstraße. Er hat über seine Calzone ganz vergessen, mir die Daten zu XYZ zu geben. Dabei brauche ich die, um weiterarbeiten zu können. Leerlauf ist verlorenes Geld, wissen Sie? Jetzt ist er ja leider schon wieder unterwegs, aber er sagte mir neulich, Sie würden mir in dringenden Fällen unverzüglich weiterhelfen. Schicken Sie mir daher doch bitte die Unterlagen an die E-Mail-Adresse xyz.“

Selbst solche simplen Phrasen sprechen bereits viele Emotionen und typische Verhaltensweisen des Menschen an: Autoritätshörigkeit, das Entgegenkommen bei Höflichkeit, Vertrauensseligkeit bei Insider-Wissen und Nennung von Details sowie mangelnde Souveränität bei Schamgefühlen und erzeugtem Druck. Darüber hinaus verleiten auch Angst, Mitleid und der Wunsch nach Liebe viele Menschen zu teilweise erschreckender Leichtfertigkeit. Ein paar schauspielerische Fähigkeiten und ein der Rolle entsprechendes Erscheinungsbild reichen aus, um dies ausnutzen und großen Schaden anrichten zu können.

2. Awareness-Test via E-Mail

In der Ausgabe Nr. 2, April 2019 der PRev berichtete Dr. Stefan Beißel ausführlich über „Merkmale einer effektiven Kampagne für Informationssicherheit“ und wie man eine solche initiiert. Hier finden Sie nun ein konkretes Anwendungsbeispiel – einen Social-Engineering-Test, den wir bei der IBS Schreiber GmbH kürzlich für einen Kunden („Exempel AG“) durchgeführt haben.

Es gibt etliche Möglichkeiten, einen Awareness-Test zu gestalten, die Angriffsformen der Kriminellen sind ausgesprochen kreativ und vielfältig. Entschieden haben wir uns für das Versenden fingierter E-Mails, da so auf einen Schlag eine große Anzahl an Personen geprüft werden kann. Das Ziel hierbei war, die Mitarbeiter der Exempel AG dazu zu bringen, eine Mail zu öffnen und obendrein einen enthaltenen Link anzuklicken, hinter dem sich ohne Weiteres Schadsoftware hätte verbergen können.

Hinsichtlich der Schäden, die immer wieder durch gefakte Mails entstehen, war unsere Erwartungshaltung, mit dem Vorgehen recht erfolgreich zu sein und viele Linkklicks auf unserem Server verzeichnen zu können.

2.1 Vorgehen

Für ein authentisches Ergebnis nutzten wir nur die Mittel, die auch tatsächlichen Angreifern zur Verfügung stehen. So baten wir den Kunden nicht nach den Mailadressen der zu testenden Personen, sondern generierten sie selbst. Zuerst durchsuchten wir die unternehmenseigene Website sowie soziale Netzwerke wie Xing und LinkedIn, wobei wir ungefähr 280 Mitarbeiter der Exempel AG ausmachen konnten. Anschließend recherchierten wir den Aufbau der Mailadressen, sie folgten dem Schema vorname.nachname@exempel-ag.de. Einer unserer Prüfer schrieb ein Skript in PowerShell, welches für jeden Mitarbeiter die Adresse zusammenstellte, was uns viel manuelle Tipparbeit ersparte.

Nun entschieden wir uns für drei verschiedene Testteile:

  • Teil 1: Interne E-Mail mit wichtigem Inhalt
  • Teil 2: Externe E-Mail mit interessantem Inhalt
  • Teil 3: Externe E-Mail mit gezielter Auswahl des Empfängerkreises

In Teil 1 wollten wir für einen umfassenden Überblick das Verhalten aller ermittelten Personen testen. Dafür bot sich ein Newsletter an, der naturgemäß an einen sehr großen Empfängerkreis gerichtet ist. Um ihn maximal authentisch wirken zu lassen, nahmen wir einen Werbenewsletter der Exempel AG als Vorlage, zu dessen Erhalt sich jede externe Person über die Website anmelden kann. Wir adaptierten die Gestaltung der Mail und die Schreibweise des Textes und kreierten eine eigene Infomail, die vermeintliche Umstrukturierungsmaßnahmen in der Firma ankündigte. Erste Informationen sollte es bei Klick auf den enthaltenen Link geben, der bei einem Mouseover als verdächtig zu entlarven war. Zuletzt fälschten wir die Absenderadresse, sodass sie einen internen, vertrauenswürdigen Versender suggerierte. Dies ist leicht zu bewerkstelligen, jede Person findet im Internet schnell Anleitungen dazu.

In Teil 2 versandten wir eine Mail mit Werbecharakter im Namen eines Veranstalters einer großen IT-Messe. Sie versprach die Möglichkeit, an diesem Event teilzunehmen und sich exklusive Möglichkeiten zu sichern – wieder per Linkklick.

In Teil 3 ging es darum, eine E-Mail auf wenige, ausgewählte Empfänger maßzuschneidern. Dieses Vorgehen ist auch für Betrüger aufwendiger, lässt aber eine hohe Erfolgsquote erwarten, da durch das individuelle Anfertigen des Textes eine noch größere Glaubwürdigkeit erreicht werden kann.

Wir ermittelten Mitarbeiter der Exempel AG aus dem Bereich Personal und erstellten ein kleines Anschreiben im Namen einer jungen Dame. Diese wolle sich initiativ auf eine Position in einer gewissen Abteilung der Firma bewerben.  „Im Gespräch am  03.03. mit Max Mustermann wurde mir zugesagt, dass Sie als Ansprechpartner meine Bewerbung annehmen und entsprechend weitergeben. Herzlichen Dank dafür!“  Der Bezug auf einen realen Kollegen der Personaler sollte Authentizität stiften und Druck aufbauen. Referenzen der Bewerberin seien ein thematisch passendes, sehr gut abgeschlossenes Studium und Werkstudentenerfahrung in einer Firma, die es genau wie den besagten Studiengang in der Stadt der Exempel AG tatsächlich gibt. „Daher hoffe ich, dass meine Bewerbung bei Ihnen Interesse weckt. Sie finden sie online unter Link xyz.“

Selbstverständlich klärten wir nach Abschluss der Tests alle Mitarbeiter über die Situation und die tatsächliche Urheberschaft der E-Mails auf.

2.2 Ergebnisse

Wir setzten die Klickzahlen ins Verhältnis zu den versandten E-Mails und erhielten die nachfolgenden Werte. Welcher Mail-Empfänger den Link wie oft anklickte, ermittelten wir aus Gründen des Datenschutzes jedoch nicht. Daher sind etwaige Mehrfachklicks noch enthalten und es kann davon ausgegangen werden, dass der ausgemachte Prozentsatz an klickenden Personen tatsächlich geringer ist.

Teil 1: Interne E-Mail mit wichtigem Inhalt
nach einer Stunde 25%, nach einem Tag 89%

Teil 2: Externe E-Mail mit interessantem Inhalt
nach einem Tag 5%

Teil 3: Externe E-Mail mit gezielter Auswahl des Empfängerkreises
nach zwei Tagen 60%

Laut Interpretation der Ergebnisse wurden die Mitarbeiter der Exempel AG nicht hinreichend zum Thema Awareness geschult oder sie setzen die Vorgaben schlichtweg noch nicht zur Genüge um. Vor allem Social Engineering, das über eine interne Mail angreift, wäre hier erfolgreich und würde die Arbeitskräfte zum Download von Malware verleiten können. Auch bekamen wir von zwei Personalern aus Test 3 je eine Antwortmail mit der Bitte, die Bewerbung per Anhang zuzustellen, da der Link nicht funktioniere – aus Sicht der IT-Sicherheit eine weitere Unachtsamkeit.

Allerdings schienen die E-Mails aus Teil 2 wenig beachtet worden zu sein. Das kann am Thema gelegen haben, möglicherweise ist hier aber tatsächlich Awareness erkennbar, sich auf eine Werbenachricht gar nicht erst einzulassen.

Wir empfahlen dem Kunden, gezielte Awareness-Schulungen durchzuführen und den Erfolg regelmäßig zu testen. Zusätzlich bedarf sein Mailsystem einer Konfiguration, die das Zustellen externer E-Mails mit einer eingetragenen internen Absenderadresse nicht erlaubt.

2.3 Fazit

Der Test zeigt auf, dass bei der Exempel AG in Bezug auf Social Engineering noch Nachbesserungsbedarf besteht. Allerdings gilt das sicherlich repräsentativ für nahezu jedes Unternehmen und wir möchten unserem Kunden gerne zugutehalten, dass er das Problem erkannt hat, die Situation prüfen lässt und Gegenmaßnahmen ergreift.

Jede Person sollte ein Grundwissen vermittelt bekommen, das z. B. in Hinsicht auf Mails das Begutachten eines Links per Mouseover, dessen Analyse und auch das Einsehen des E-Mail-Headers enthält. Auf den eigenen gesunden Menschenverstand zu hören ist ebenso wichtig. Macht ein Thema oder die gebotene Art und Weise stutzig (z. B. eine aus heiterem Himmel vage angekündigte personelle Umstrukturierungsmaßnahme per Rundmail), können sie kurz telefonisch beim vermeintlichen Urheber nachhaken oder mit ihm generell Regeln des Informationsflusses abstimmen.

Natürlich nutzt Social Engineering neben dem Versenden von E-Mails weit mehr Ansatzpunkte, die in der Schulung berücksichtigt werden müssen. In jedem Fall ist eine regelmäßige Prüfung wichtig, ob die Sicherheitsmaßnahmen auch wirklich umgesetzt werden. Nicht nur, dass man so einen Überblick über den Status quo erhält. Wird den Mitarbeitern klar, dass ihr Verhalten dem Unternehmen hier wirklich böse hätte schaden können, wären Kriminelle und nicht Revisoren am Werk gewesen, ist dies sehr eindrucksvoll. Der „Schreck am eigenen Leib“ wirkt sich auf die Awareness mitunter deutlich nachhaltiger aus als das Machtwort des Chefs.

2.4 Zusammenfassung

Vorschläge zum Testen per Mail

  • Aufmachung und Schreibstil eines vertrauenswürdigen Absenders imitieren
  • Emotionen ansprechendes Thema wählen
  • Details nennen, auf bekannte Personen der Empfänger beziehen
  • Absenderadresse fälschen
  • Klicks auf enthaltenen Link auswerten
  • Verschiedene Testteile: Schwierigkeitsgrade und Empfänger variieren (z. B. mal gesamten, mal ausgewählten Empfängerkreis, mal mit und mal ohne gefälschten Absender etc.)
  • Am Ende des Tests Aufklärung

3. Weiterführendes

Beim Prüfen der Mitarbeiter-Awareness ist Kreativität gefragt. Nachfolgend finden Sie ein paar Recherche-Anregungen, die mit dem Thema Social Engineering zu tun haben und Ideen für einen entsprechenden Test liefern können.

Kevin Mitnick: ehemaliger Hacker und erfolgreicher Social Engineer, der Menschen für seine Zwecke manipulierte, mittlerweile IT-Sicherheitsexperte und Autor interessanter Literatur

Robin Sage: erfundener Charakter einer jungen, schönen Frau, durch die ihr Erfinder, der ethische Hacker Thomas Ryan, mittels sozialer Netzwerke an extrem vertrauliche Daten gelangte

Milgram-Experiment und dessen Abwandlungen: Experimente zu Autoritätshörigkeit, bei denen Menschen durch gewisse Floskeln und Verhaltensweisen einer stark autoritären Person zu sehr unangenehmen Handlungen bewegt werden konnten

Barnum-Effekt: mit universellen Aussagen, die auf nahezu jeden Menschen zutreffen, lässt sich der falsche Anschein vermitteln, man kenne sein Gegenüber oder eine ihm vertraute Person (s. auch Cold Reading)

Foot-in-the-Door-Technik: Überredungstaktik, basiert auf der Neigung von Menschen, nach Erfüllen eines kleinen Wunsches eher bereit zu sein, auch noch einen größeren Gefallen zu tun

Websites: die Verbraucherzentrale, der Verlag Heise und das Bundesamt für Sicherheit in der Informationstechnik informieren über Vorgehensweisen und Vorfälle

4. Aktuell: Emotet – Social Engineering trifft Malware

An dieser Stelle möchten wir noch einen besonderen Fall von Social Engineering vorstellen – im Kontext der Schadsoftware Emotet. Diese richtet bereits seit geraumer Zeit große Schäden an, indem sie u. a. sensible Daten ausliest, Änderungen am System vornimmt und weitere Malware nachlädt.

Um sich weiterzuverbreiten, verschickt sich der Trojaner selbst durch automatisch erstellte E-Mails, die mit der aktuellen Version einen neuen Grad an Glaubwürdigkeit erzielen. Hierfür wird das Postfach auf dem infizierten Rechner ausspioniert und täuschend echte E-Mails generiert, die sich hinsichtlich Absender, Betreff und sogar Inhalt in die tatsächliche E-Mail-Kommunikation legitim einfügen. So verweist das Schadprogramm in einem plausiblen Nachrichtentext auf einen Link oder den Anhang und deklariert diesen z. B. einem Mitarbeiter der Personalabteilung gegenüber als Bewerbungsschreiben oder einer Privatperson als Rechnung ihres tatsächlichen Telefonanbieters. Das macht die Nachrichten sehr authentisch und manipulativ.

Eine Emotet-Infektion mit schwerwiegenden Folgen hat letzten Monat ausgerechnet den Verlag Heise getroffen – ein Beispiel dafür, wie auch ein von IT-Experten geschütztes Netz mittels Social Engineering kompromittiert werden kann.

 

Susanna Albrecht arbeitet seit März 2019 als Werkstudentin bei der IBS Schreiber GmbH. Hier lernt sie die Revisionspraxis der Abteilung IT-Sicherheit kennen, die auch Prüfungen im Bereich Social Engineering durchführt. In ihrem Studiengang Media Systems an der Hochschule für Angewandte Wissenschaften Hamburg beschäftigt sie sich zudem mit Themen wie Informatik, Kryptographie und Medientechnik.

IBS Schreiber GmbH

Anschrift
Zirkusweg 1
20359 Hamburg

+49 40 6969 85-0
+49 40 6969 85-31
info@ibs-schreiber.de

Prüfung & Beratung