DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Risiko durch Lausch­an­griffe

Dis­kus­sionen unterwegs mit Geschäfts­partnern oder noch ein Gespräch über die Arbeit mit dem Kol­legen an der Bus­hal­te­stelle. Ist doch weiter nichts dabei. Oder etwa doch?
 

 

 

Frei­tag­nach­mittag: Armin ist Mit­ar­beiter eines mit­tel­stän­di­schen Unter­nehmens. Wie es nach Fei­er­abend üblich ist, unterhält er sich an der nächsten Bus­hal­te­stelle noch mit seinen Kol­legen über neueste Fort­schritte, Stra­tegien und andere Neu­ig­keiten im Unter­nehmen. Nachdem er den Bus genommen hat, pendelt Armin täglich mit dem ICE hundert Kilo­meter nach Hause. Auch heute nimmt er mal wieder Arbeit mit heim und erledigt diese noch schnell am Fir­men­laptop im Zug. Nach einer halben Stunde ist der Akku leer. Doch Armin hat ja noch sein Tablett. Schnell noch eine neue App her­un­ter­ge­laden und schon vergeht die Zeit wie im Flug beim Spielen. Das Einzige, das ihn jetzt noch stört sind die stän­digen Spam-Mails, die er sowieso sofort an der aus­län­di­schen Adresse oder dem gebro­chenen Deutsch erkennt und umgehend löscht.

Was macht Armin hier falsch? Ober­flächlich betrachtet ist er ein loyaler Arbeit­nehmer und sogar über die Arbeitszeit hinaus an seinem Job inter­es­siert. Dennoch bietet er Social Engi­neers eine ideale Angriffs­fläche, indem er 

    a) an einem öffent­lichen Platz fir­men­in­terne Ange­le­gen­heiten bespricht und neu­gie­rigen Ohren das Aus­horchen leicht macht,
    b) neu­gie­rigen Blicken die Ein­sicht in seine Arbeits­un­ter­lagen am Laptop leicht macht. Durch soge­nanntes „Shoulder-surfing“ (das über die Schul­ter­blicken) gelangen nicht nur Social Engi­neers leicht an geheim zu hal­tende Daten wie zum Bei­spiel Fir­men­daten und Pass­wörter,
    c) ohne es zu wissen even­tuell Malware mit dem Download einer neuen App auf seinem Tablett instal­liert,
    d) annimmt, dass Spam-Mails leicht zu erkennen sind.

Lausch­an­griffe werden immer pro­fes­sio­neller, finden häufig statt und dies unter der Ver­wendung ver­schie­dener Medien (zum Bei­spiel das Mit­hören eines Gesprächs, das Abhören eines Tele­fonats, das Mit­lesen einer E‑Mail). Social Engi­neers können mit den aus­ge­horchten Infor­ma­tionen mehr anfangen, als man zunächst annehmen würde. Es geht ihnen bei solchen Lausch­an­griffen häufig zuerst nur um das Ken­nen­lernen der Unter­neh­mens­struktur und der im Unter­nehmen gebräuch­lichen Ter­mi­no­logie oder schlichtweg um Namen von Per­sonen und deren Position im Unter­nehmen. Diese Infor­ma­tionen sind grund­legend für den eigent­lichen Angriff, der häufig darauf abzielt, an geheime Infor­ma­tionen zu kommen. Das Wort „Lausch­an­griff“ wird also nicht allein auf das „Lau­schen“ beschränkt, vielmehr bezeichnet es das Sammeln von Daten, ohne dass die Opfer bewusst mit den Angreifern in Kontakt treten. Im Spe­zi­ellen fallen unter Lausch­an­griff auch die Methoden „Ver­breitung von Malware und Spyware“ und „Phishing und Vishing“.

Die Methoden der Social Engi­neers:

Ver­breitung von Malware und Spyware
Unter dem Begriff „Malware“ oder auch „Evilware“ fasst man ver­schiedene Schad­pro­gramme zusammen, die beim Benutzer uner­wünschte und zumeist schäd­liche Funk­tionen aus­führen. Dar­unter fallen bei­spiels­weise Viren oder Tro­janer. Zu Social Engi­neering Zwecken wird häufig „Sca­reware“ benutzt. Der PC-User wird mit (über­wiegend Pop-up) Anzeigen im Internet ver­un­si­chert, indem ihm angeb­liche Sicher­heits­lücken seines PCs oder darauf befind­liche Viren vor­ge­gaukelt werden und beim Download oder sogar beim Kauf der Software die Auf­hebung der Pro­bleme ver­sprochen wird. Tat­sächlich wird genau damit erst der Com­puter mit Malware infi­ziert. Den Angreifern geht es dabei ent­weder darum, schnell an Geld zu kommen (Kauf­an­gebot) oder auf Daten zugreifen zu können (Download).

Daneben exis­tieren Pro­gramme, namens „Spyware“, die meist in Ver­bindung mit nütz­licher Software unwis­sentlich her­un­ter­ge­laden werden und das Nut­zungs­ver­halten des Anwenders aus­lesen. Die gesam­melten Daten werden an Dritte wei­ter­ge­leitet bzw. ver­kauft. Diese sind an den Daten zumeist aus finan­zi­ellen Gründen inter­es­siert (zum Bei­spiel per­so­na­li­sierte Werbung). Selbst nach dem Löschen der eigent­lichen Software bleiben diese Pro­gramme erhalten. Vor allem Smart­phone Nutzer sind von dieser Art des Social Engi­neering bedroht. Die viel­fäl­tigen App-Angebote und die Unwis­senheit über Schad­pro­gramme sowie man­gelnde Infor­ma­tionen zu hilf­reichen Schutz­pro­grammen für das Mobil­gerät machen den Benutzer angreifbar. Laut den Sicher­heits­ex­perten von RSA gab es im Jahr 2014 bereits 2.000 Schad­pro­gramme bzw. „high-risk“ Apps für Mobil­geräte . Zwar werden Ihnen hierbei nicht direkt Daten gestohlen, doch das Aus­lesen Ihres Benut­zer­ver­haltens ist für Social Engi­neers und kon­sum­ori­en­tierte Unter­nehmen von großem Wert.

Phishing und Vishing
Das Wort „Phishing“ lehnt sich an das eng­lische Wort für „Fishing“ (=Angeln) an und bezeichnet eine Methode, bei der Angreifer ver­suchen, über gefälschte Web­sites oder E‑Mails an Zugangs­daten (z. B. Pass­wörter oder Bank­in­for­ma­tionen) zu gelangen. Durch das Öffnen des Anhangs einer Spam-Mail können unter anderem auch Schad­pro­gramme instal­liert werden, die den Angreifern Ein­sicht in ihren PC gewähren.

„Vishing“ ist die Kurzform für „Voice Fishing“. Die Angreifer gehen nach der­selben Methode vor, jedoch über kos­ten­günstige Internet-Tele­­fonie. Ein auto­ma­ti­sierter Anruf wird an unzählige Tele­fon­nummern gerichtet und erfragt dabei sen­sible Daten. Bei einer wei­teren Vishing Methode wird in einer E‑Mail eine Tele­fon­nummer ange­geben, die die Opfer anrufen sollen. Dies ist besonders trick­reich, da mitt­ler­weile ein Großteil der E‑Mail User über die Gefahren von Spam-Mails infor­miert ist und daher oftmals zuerst die  hin­ter­legte Nummer anruft, um die Authen­ti­zität des Unter­nehmens zu veri­fi­zieren. Wie ein­gangs erwähnt, kann jeder Opfer eines Social Engi­neering Angriffs werden. Am 22. Juli 2015 warnte das „SPIEGEL ONLINE NETZWELT“ Magazin bei­spiels­weise vor gefälschten Phishing E‑Mails, die sich im Namen der „Deut­schen Bank“ Kun­den­in­for­ma­tionen erschleichen wollten . Die Banken selbst warnten, dass sie ver­trau­liche Kun­den­in­for­ma­tionen niemals über Telefon oder E‑Mail abfragen würden.

Risiken

  1. Kri­mi­nelle ver­schaffen sich Zugang zu Daten und nutzen diese zu kri­mi­nellen Hand­lungen (zum Bei­spiel Erpressung, Iden­ti­täts­dieb­stahl)
  2. Nut­zer­ver­halten wird beim Benutzen von Smart­phones besonders leicht durch Malware aus­ge­lesen und zur per­so­na­li­sierten Wer­be­plat­zierung oder Markt­for­schung genutzt. Unwis­sentlich geben Sie hier per­sön­liche Ver­hal­tens­muster unbe­zahlt an Unter­nehmen weiter.
  3. Spam-Mails sehen täu­schend echt aus und sind hoch pro­fes­sionell gestaltet. Man kann sie heut­zutage nur noch selten an man­gelnden Sprach­kennt­nissen oder aus­län­di­schen Mail­adressen erkennen.

zu Pkt 1: http://www.emc.com/collateral/fraud-report/h13929-rsa-fraud-report-jan-2015.pdf
zu Pkt 2: http://www.spiegel.de/netzwelt/web/deutsche-bank-kunden-phishing-angriffe-mit-falschen-e-mails-a-1040110.html

Ver­hal­tens­regeln

  1. In der Öffent­lichkeit sollten Sie nie über Fir­men­in­ternes sprechen. Trennen Sie stets geschäftlich von privat.
  2. Schützen Sie Ihren Com­puter sowie Ihr mobiles End­gerät (z. B. Smart­phone, Tablett) mit einem Viren­schutz und down­loaden Sie keine Software, die Ihnen als (Pop-up) Anzeige im Internet erscheint.
  3. Öffnen Sie keine E‑Mails, deren Absender Sie nicht kennen und treten Sie For­de­rungen nach Kenn­wörtern und Trans­ak­ti­ons­nummern via E‑Mail skep­tisch ent­gegen. Sen­sible Daten sollten selbst über das Telefon nicht wei­ter­ge­geben werden. 
  4. Schützen Sie ihre Pass­wörter. Vor allem Ihr E‑Mail Passwort ermög­licht es Social Engi­neers Iden­ti­täts­dieb­stahl zu begehen, da der Angreifer all Ihre Zugangs­daten von Web­sites, auf denen Sie ange­meldet sind, über die Mail­adresse anfordern kann.
  5. Benutzen Sie einen Sicht­schutz für Ihren Laptop, sobald Sie ver­trau­liche Doku­mente o.ä. bear­beiten.


Wei­ter­füh­rende Infor­ma­tionen:
Hier erhalten Sie Tipps rund um das Thema Sicherheit im Netz
Hier erhalten Sie aktuelle Infor­ma­tionen zu Betrugs­fällen im Internet und hilf­reiche Tipps

Bild: © Tijana / fotolia.com

Bisher erschienen in der Reihe “Ver­hal­tens­regeln zu Social Engi­neering”:

Teil 1: Risiken in den Sozialen Netz­werken

Teil 2: Risiko durch Lausch­an­griffe

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awa­reness-Koor­di­nator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwer­punkt­mäßig mit den Themen ISMS und Awa­reness.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.