Kapitel 9
Prävention und Schadensbegrenzung
In den vorigen Kapiteln haben Sie alle Methoden und Wege gesehen, wie Social Engineers ihre Zielpersonen so hereinlegen, dass sie ihnen wertvolle Informationen entlocken können. Auch die vielen psychologischen Prinzipien wurden beschrieben, mit denen Menschen beeinflusst und manipuliert werden.
Manchmal, wenn ich einen Vortrag gehalten oder ein Sicherheitstraining durchgeführt habe, sehen die Teilnehmer sehr paranoid und verschreckt aus und äußern oft etwas wie: „Scheinbar darf man nicht mal hoffen, irgendwie sicher sein zu können. Was kann ich denn überhaupt noch machen?“
Eine gute Frage. Ich rate dringend dazu, einen guten Disaster-Recovery-Plan (Plan zur Wiederherstellung der Geschäftsabläufe im Katastrophenfall) und einen Incident-Response-Plan (für das Eintreten des Vorfalls) bereitzuhalten. Denn es ist keine Frage, „ob“ Sie gehackt werden, sondern nur „wann“. Sie können Vorkehrungen treffen, um wenigstens die Chance zu haben, für die Sicherheit zu kämpfen.
Die Schadensbegrenzung beim Social Engineering verläuft nicht so einfach wie bei der Hardware-Sicherheit. Bei traditioneller defensiver Sicherheit können Sie viel Geld in Einbruchserkennungssysteme (Intrusion Detection Systems), Firewalls, Antivirenprogramme und andere Lösungen stecken, um die Perimetersicherheit zu erhöhen, also die Sicherheit für den Übergang zwischen zwei Bereichen. Für Social Engineering gibt es keine Softwaresysteme, mit denen Sie Ihre Mitarbeiter oder sich als Absicherung ausstatten können.
In diesem Kapitel präsentiere ich die sechs wichtigsten Schritte, die ich meinen Kunden anrate, damit sie Versuche des Social Engineering im Keim ersticken oder deren Schäden begrenzen können:
• Lernen Sie, Social Engineering-Angriffe zu identifizieren.
• Schaffen Sie ein persönliches Schulungsprogramm für Sicherheitsbewusstsein.
• Schaffen Sie ein Bewusstsein für den Wert der Informationen, nach denen Social Engineers suchen.
• Aktualisieren Sie Ihre Software.
• Entwickeln Sie Handlungsabläufe (Skripts).
• Lernen Sie aus Social Engineering-Audits.
Diese sechs Punkte lassen sich insgesamt darin zusammenfassen, dass es gilt, eine Kultur des Sicherheitsbewusstseins zu schaffen. Beim Sicherheitsbewusstsein reicht kein ein- oder zweistündiges Programm pro Jahr. Hier muss eine Kultur oder eine Gruppe von Standards geschaffen werden, für die sich jeder committet, sie in seinem ganzen Leben insgesamt umzusetzen. Es geht nicht nur um Arbeit oder Websites, die man als „bedeutend“ einschätzt, sondern damit ist gemeint, wie man die Absicherung insgesamt angeht.
Dieses Kapitel erläutert diese genannten sechs Punkte und wie man als beste Verteidigung gegen einen böswilligen Social Engineer eine Kultur des Sicherheitsbewusstseins schaffen kann.
9.1 Lernen Sie, Social Engineering-Angriffe zu identifizieren
Der erste Schritt bei der Prävention und Schadensbegrenzung ist, sich über die Angriffsmöglichkeiten zu informieren. Sie müssen nicht so gründlich in diese Angriffe einsteigen, dass Sie sich auskennen, wie böswillige PDFs erstellt werden oder der perfekte Trickbetrug durchgeführt wird. Doch es sorgt für Ihren Schutz zu verstehen, was passiert, wenn Sie auf ein heimtückisches PDF klicken, und auf welche Zeichen zu achten ist, wenn man herausfinden will, ob man abgezockt oder ausgetrickst werden soll. Sie müssen die Bedrohungen verstehen und wie sie sich bei Ihnen auswirken können.
Folgendes soll das verdeutlichen: Sie schätzen Ihr Zuhause mit allem, was darin ist, besonders aber die Menschen in Ihrem Heim. Sie müssen nicht bis zum ersten Brand warten, um sich vor einer solchen Gefahr zu schützen, den Schaden zu begrenzen und einen Plan dagegen zu entwickeln. Stattdessen installieren Sie Brandmelder und planen für den Brandfall einen Fluchtweg. Außerdem können Sie Ihren Kindern auch beibringen, dass sie sich, wenn ihre Kleidung brennt, hinwerfen und auf dem Boden rollen sollen, um die Flammen zu ersticken. Sie bringen ihnen bei, wie man an der Tür merkt, ob auf der anderen Seite Brandhitze ist, und sich in Bodennähe zu bewegen, um keinen Rauch einzuatmen. All diese Methoden sind Wege, um einer Feuergefahr zu begegnen, bevor die Katastrophe tatsächlich eintritt und Sie sich um die Schäden kümmern müssen, die sie mit sich bringt.
Die gleichen Prinzipien gelten für den Schutz Ihrer Firma und für sich selbst vor Angriffen durch Social Engineers. Warten Sie nicht erst auf den ersten Angriff, um zu lernen, wie verheerend er sein kann. Denken Sie nicht, ich wolle hier Aufträge einheimsen, aber ich rate dringend zu regelmäßigen Social Engineering-Audits, um die Fähigkeit Ihrer Mitarbeiter zu testen, diesen Angriffen standhalten zu können. Daran sollten sich stets Schulungen anschließen.
Bringen Sie sich und Ihren Mitarbeitern bei, wie sie sich im „Brandfall“ verhalten sollen, wenn sie Opfer solcher Angriffe werden. Haben Sie die neuesten Pressemeldungen gelesen, wie Social Engineers Firmen angreifen? Wenn man darauf achtet, wird das zu einer ersten Verteidigungslinie – ebenso wie das Wissen, was ein Feuer in Ihrem Haus anrichten kann. Lernen Sie die verschiedenen Methoden, mit denen moderne Social Engineers und Identitätsdiebe arbeiten. Sie finden ein Archiv solcher Meldungen und Beispiele von Social Engineers, Trickbetrügern, Identitätsdieben und ähnlichen Personen unter www.social-engineer.org/framework/Social_Engineering_In_The_News.
Ein weiterer wichtiger Schritt ist natürlich die Lektüre dieses Buches. Es steckt voller Methoden und Prinzipien, mit denen Social Engineers ihre Zielpersonen manipulieren. Dieses Buch ist mehr als nur eine Zusammenstellung von Geschichten und tollen Hacks: Hier werden Denkweise und Taktiken böswilliger Social Engineers analysiert.
Schauen Sie sich auch die Videos auf der Site www.social-engineer.org im Bereich Resources an, wo Exploits in Aktion gezeigt werden. Der normale Anwender sollte das nicht unter dem Aspekt anschauen zu lernen, wie man diese Angriffe selbst ausführt, sondern wie Social Engineers solche Angriffe angehen würden.
Im Grunde läuft es darauf hinaus, dass Sie solche Angriffe desto besser in „freier Wildbahn“ identifizieren können, je mehr Sie darüber wissen. Wenn Sie Bescheid wissen, welche Körpersprache, Ausdrücke und Formulierungen bei einem Social Engineering-Versuch eingesetzt werden, spitzen Sie eher die Ohren, wenn Sie hören oder sehen, wie jemand diese Methoden nutzt.
Sie brauchen nicht massenweise Zeit aufwenden, um Social Engineering-Methoden zu erlernen. Doch wenn Sie gelegentlich ein paar Minuten damit verbringen, die Nachrichten und Geschichten auf www.social-engineer.org oder anderen Sites zu lesen, erkennen Sie die Methoden besser, die jetzt gegen Firmen aufgefahren werden.
Wenn Sie über gute Grundkenntnisse verfügen und auch ein Audit durchgeführt haben, wird der nächste Schritt, eine sicherheitsbewusste Kultur zu etablieren, einfacher durchführbar.
9.2 Schaffen Sie eine persönliche Kultur des Sicherheitsbewusstseins
Im Juli 2010 gehörte ich zu einem kleinen Team von Sicherheitsprofis, die bei der DefCon 18 einen der ersten organisierten Social Engineering-Wettbewerbe auf professioneller Ebene durchführten. Einmal pro Jahr treffen sich dort in Las Vegas besonders helle Köpfe, um Vorträge zu halten, zu lehren und zu lernen.
Mein Team und ich beschlossen, dass es eine wunderbare Gelegenheit wäre, dort anhand eines Wettbewerbs herauszufinden, ob Corporate America für diesen Angriffsvektor anfällig ist (die Reaktion auf einen „Contest“). Bei diesem Wettbewerb konnten sich Interessierte für zwei Bereiche des Social Engineering registrieren: Informationssammlung und aktive Angriffe.
Um den Wettbewerb legal und moralisch einwandfrei zu halten, durfte niemand zum Opfer werden, und es durften auch keine Sozialversicherungsnummern, Kreditkarten oder andere persönliche Identifikationsinformationen gesammelt werden. Es war nicht unser Ziel, dass irgendjemand seinen Job verliert. Außerdem sollte keine bestimmte Firma erniedrigt werden, also ließen wir auch keine Passwörter oder andere sicherheitsbezogene Informationen von den Firmen zu. Stattdessen entwickelten wir eine Liste mit etwa 25 bis 30 „Flags“, ob z.B. die Firma eine interne Cafeteria besaß, wer sich um die Müllentsorgung kümmert bis hin dazu, welche Browser sie benutzt und mit welcher Software PDFs geöffnet werden. Schließlich wählten wir Firmen aus allen Geschäftsbereichen des Corporate America aus: Erdölfirmen, technologische Firmen, Hersteller, Einzelhändler und alles Mögliche dazwischen.
Jeder Wettbewerbsteilnehmer bekam seine Zielfirma geheim mitgeteilt und hatte zwei Wochen Zeit, um sich um die passive Informationserfassung zu kümmern. Das bedeutete, die Teilnehmer durften die Firma nicht direkt kontaktieren, keine E-Mails schicken oder auf irgendeine Weise versuchen, per Social Engineering Informationen zu entlocken. Stattdessen durften sie nur mit dem Internet, mit Maltego und anderen Tools so viele Informationen wie möglich sammeln und sollten dann alles in einen professionell wirkenden Bericht zusammenfassen.
Dann sollten sie aus den erfassten Informationen ein paar plausible Angriffsvektoren entwickeln, von denen sie annahmen, dass sie in der realen Welt auch funktionieren könnten. Dann sollten die Teilnehmer zur DefCon nach Las Vegas kommen und in einer abhörsicheren Kabine ein 25minütiges Telefonat mit ihrer Zielfirma durchführen, um den Angriffsvektor zu implementieren und zu schauen, an welche Informationen sie so gelangen.
Ich könnte nun zwanzig bis dreißig Seiten damit füllen, Ihnen die Geschehnisse dieses Contests zu berichten, aber von den Ergebnissen möchte ich nur eines vorstellen: Jeder Teilnehmer hatte ausreichend Informationen über sein Ziel gesammelt, dass die Firma einen Security-Audit nicht bestanden hätte. Egal welchen Erfahrungshintergrund die Teilnehmer mitbrachten und welchen Pretext sie nutzten, sie haben alle ihre Ziele erfüllen können. Einen kompletten Bericht über dieses Capture The Flag (CTF) und was geschah, lesen Sie unter www.social-engineer.org/resources/sectf/Social-Engineer_CTF_Report.pdf.
Nun aber zu dem, um was es hier geht: das Sicherheitsbewusstsein. Firmen, die sich um Sicherheit kümmern, verfügen über Programme, mit denen sie ihre Angestellten schulen, wie sie potenzielle Sicherheitsrisiken über Telefon, Internet oder im persönlichen Umgang erkennen. Wir fanden heraus, dass das Sicherheitsbewusstsein in diesen Firmen im Grunde katastrophal war. Warum? Wie kann es sein, dass diese zu den Fortune 500 gehörenden Unternehmen Millionen Dollar oder mehr für Sicherheit, Schulungen, Trainings und Dienstleistungen ausgeben, die zum Schutz ihrer Angestellten vorgenommen wurden, dermaßen schlecht beim Sicherheitsbewusstsein abschnitten?
Darum habe ich diesen Punkt im Titel für diesen Abschnitt so formuliert: Das Sicherheitsbewusstsein ist nicht persönlich auf die Angestellten zugeschnitten. Wenn ich bei meiner professionellen Tätigkeit mit Angestellten über ihre Gefühle bei einem Angriff spreche, reagieren sie oftmals in etwa so: „Das sind doch nicht meine Daten … was schert mich das also?“ Diese Einstellung zeigt, dass das Sicherheitsbewusstsein, das diese Firmen im Hause umsetzen wollten, sich nie wirklich durchgesetzt hat. Es war nicht bedeutsam oder effektiv und vor allem nicht persönlich.
Als ich vieles von dem Material und den Methoden überprüfte, die für das sogenannte Sicherheitsbewusstseinstraining verfügbar waren, fand ich heraus, dass es langweilig, dumm und nicht geeignet ist, die Teilnehmer zum Nachdenken zu bringen oder sie zu weiterer Beschäftigung damit zu veranlassen. Kurze DVD-Präsentationen, auf denen bergeweise Dinge nach dem Gießkannenprinzip abgedeckt und die Teilnehmer mit Unmengen kleiner Fakten zugeschüttet werden – alles nicht so gestaltet, dass es tiefer einsinkt.
Ich fordere Sie hiermit auf, für sich als Einzelperson bzw. auch als Firmenangehöriger Programme zu schaffen, die sich eingehend mit dem Sicherheitsbewusstsein beschäftigen, in die man tief einsteigt und sich fesseln lassen kann. Anstatt Ihren Angestellten bloß zu sagen, warum lange und komplexe Passwörter eine gute Idee sind, sollten Sie ihnen zeigen, wie schnell leichte Passwörter zu knacken sind. Wenn ich für Kunden eine Schulung in Sicherheitsbewusstsein durchführen soll, bitte ich manchmal einen Angestellten, an meinem Computer ein Passwort einzutippen, das er für sicher hält. Das mache ich, bevor ich irgendwelche Informationen über Passwörter loslasse. Wenn ich dann meine Präsentation zu diesem Thema beginne, setze ich einen Cracker auf das Passwort an. Normalerweise ist es innerhalb von ein oder zwei Minuten geknackt, und ich stelle dem Publikum dann das geheim in meinem Computer getippte Passwort vor. Das hat einen direkten und drastischen Effekt auf die Anwesenden. Doch nach mehreren solcher Demonstrationen wissen die Angestellten nun Bescheid, wie wichtig ein gutes Passwort ist.
Wenn ich heimtückische E-Mail-Anhänge thematisiere, muss ich keinem der Anwesenden zeigen, wie man ein solches PDF erstellt, sondern führe vor, wie das auf dem Computer des Opfers und auch dem des Angreifers aussieht, wenn man ein bösartiges PDF öffnet. Das hilft ihnen zu verstehen, welch verheerende Wirkungen ein einfacher Computerabsturz haben kann.
Natürlich produziert diese Lehrmethode eine Menge Angst, und obwohl das nicht das Ziel ist, nehme ich es als Nebenprodukt in Kauf, denn so erinnern sich die Anwesenden besser daran. Aber das Ziel besteht darin, sie ins Nachdenken darüber zu bringen – nicht nur, was sie auf der Arbeit und mit ihren Bürocomputern, sondern auch mit ihren eignen Bankkonten sowie privaten Rechnern machen und wie sie im persönlichen Umfeld mit Sicherheit umgehen.
Ich will, dass jeder, der eine Sicherheitspräsentation erlebt oder dieses Buch liest, überprüft, wie er mit dem Internet insgesamt umgeht, und sich ernsthaft darin ändert, wie er persönlich Passwörter nutzt, wie er Passwörter oder persönliche Informationen an unsicheren Standorten speichert und wo er sich mit dem Internet verbindet. Ich kann Ihnen gar nicht sagen, wie oft ich es erlebt habe, dass jemand mitten bei Starbucks sitzt und in deren Gratisfunknetz sein Bankkonto überprüft oder online etwas kauft. Ich muss mich richtig bremsen, sonst würde ich hingehen und diese Person anschreien und ihr sagen, wie schnell das ganze Leben den Bach runtergehen kann, wenn sich im gleichen Netzwerk eine böswillige Person befindet.
Ich will, dass die Leute, die dies hier lesen, auch darüber nachdenken, welche Infos sie telefonisch weitergeben. Trickbetrügern und Schwindlern stehen viele Wege offen, ältere Menschen, in Not geratene Personen und andere zu bestehlen. Das Telefon ist dafür immer noch sehr wirkungsvoll. Sie müssen über die Richtlinien von Händlern, Banken oder Versorgungsinstituten Bescheid wissen, was von dort am Telefon erfragt wird und was nicht, dann können Sie viele dieser Fallen vermeiden. Viele Banken und Geldinstituten schreiben beispielsweise explizit in ihre Richtlinien, dass sie niemals am Telefon nach der Sozialversicherungsnummer oder einer Kontonummer fragen werden. Wenn man das weiß, bewahrt einen das vor einem Betrug, bei dem einem das Konto mit den Ersparnissen eines ganzen Lebens leergeräumt wird.
Wenn man Sicherheitsbewusstsein als „Programm“ bezeichnet, verweist das auf etwas Fortlaufendes. Ein Programm bedeutet, dass man Zeit einplant, um sich stetig selbst weiterzubilden. Nachdem Sie all diese nützlichen Informationen bekommen haben, können Sie sie nutzen, um ein Programm zu entwickeln, mit dem Sie sich zukünftig absichern können.
9.3 Seien Sie sich des Wertes der Informationen bewusst, nach denen Sie gefragt werden
Nehmen wir noch einmal Bezug auf den Social Engineering-Contest bei der DefCon 18. Darin haben wir eine weitere wertvolle Lektion gelernt: Wenn die Information als wertlos oder nur von geringem Wert angesehen wird, gibt man sich bei deren Schutz keine Mühe.
Das ist eine schwerwiegende Aussage, erweist sich aber als zutreffend, weil viele Ziele bereitwillig Informationen über ihre Cafeterias, Müllentsorgung usw. preisgegeben haben. Sie müssen den Wert Ihrer Daten erkennen, und sich über die Taktiken eines Social Engineers klar sein, mit denen er in Ihren Augen den Wert der Informationen reduziert.
Bevor man etwas an jemanden weitergibt, sollte man feststellen, ob die Person, die Sie angerufen hat oder mit der Sie zu tun haben, diese Information auch verdient. Die Menschen haben eine eingebaute Hilfsbereitschaft und wollen jenen gegenüber hilfreich sein, die sie als bedürftig wahrnehmen. Dies ist ein wesentlicher Weg der Manipulation für einen Social Engineer, damit sein Ziel wertvolle Informationen verrät. Eine Analyse der Person, die Sie kontaktiert hat, und die Prüfung, ob sie die angefragte Info auch verdient oder dazu berechtigt ist, bewahrt Sie vor Schaden und der Peinlichkeit, zum Opfer zu werden.
Beim Social Engineering-Contest bei der DefCon hatte beispielsweise einer den Pretext, Kunde einer großen Antivirenfirma zu sein. Er rief wegen eines ernsthaften Problems an: Sein Computer konnte nicht online gehen, und er hatte das Gefühl, das läge an etwas, was die Antivirensoftware macht, und wollte deswegen den technischen Support zu einer ganz einfachen Sache bewegen: zu einer Website zu surfen.
Heimtückische Social Engineers nutzen oft diesen Angriffsvektor. Indem sie das Opfer auf eine Website mit eingebettetem bösartigen Code oder heimtückischen Dateien locken, bekommen sie Zugriff auf dessen Computer und Netzwerk. In diesem Fall war die Website überhaupt nicht bösartig, sollte aber beweisen, dass ein derartig erfolgter bösartiger Angriff erfolgreich gewesen wäre.
Beim ersten Versuch formulierte es der Wettbewerbsteilnehmer wie folgt: „Ich kann nicht auf meine Website surfen, und ich glaube, dass Ihr Produkt mich daran hindert. Könnten Sie das bitte mal prüfen, indem Sie auf diese Site gehen, damit ich sicher weiß, ob es Ihre Software ist oder nicht?“
Der Mitarbeiter des technischen Supports reagierte mit seiner Antwort korrekt: „Unser Produkt würde nie blockieren, dass Sie auf diese Site gehen. Von daher ist es egal, ob ich diese Site aufrufen kann oder nicht.“ Er lehnte also dieses Ansinnen ab.
Doch der Teilnehmer gab noch nicht auf. Nach einigem Hin und Her probierte er es erneut: „Mir ist klar, dass Sie sagten, Ihr Produkt würde diese Site nicht blockieren. Aber die hat auf jeden Fall funktioniert, bis ich Ihre Software installiert habe. Könnten Sie das bitte für mich noch einmal überprüfen?“
Wieder wurde die Bitte abgeschlagen: „Es tut mir wirklich leid für diese Unannehmlichkeiten, aber ich möchte noch einmal betonen, dass unser Produkt Sie nicht blockiert, und es behebt nicht das Problem, wenn ich nun auf diese Site gehe.“
Es schien, als ob dieses Anliegen nun ein für allemal abgebügelt worden sei, als der Teilnehmer einen letzten verzweifelten Versuch unternahm und sagte: „Ach, ich würde mich einfach besser fühlen, wenn Sie es wenigstens einmal versuchen, auf diese Site zu gehen. Bitte, könnten Sie es nicht doch mal für mich machen?“
Diese einfache Bitte sorgte dafür, dass dem Mitarbeiter nun die Hutschnur platzte: Er öffnete seinen Browser und ging direkt auf die Site. Sein Vorgehen war bisher korrekt gewesen, er hatte mit dem passenden Hintergrundwissen auch die richtige Antwort bezogen auf das Sicherheitsbewusstsein parat, aber am Ende wollte er doch nur, dass sich sein „Kunde“ „besser fühlt“ und erfüllte dessen Wunsch. Das hätte für die Firma zu einer großen Krise führen können, wenn dies ein bösartiger Angriff gewesen wäre.
Der technische Mitarbeiter wusste, dass diese Information für diesen speziellen Anrufer nicht relevant war. Wie dieser Kollege müssen auch Sie entschlossen analysieren, ob die angefragte Information berechtigt und relevant ist für die Person, mit der Sie es zu tun haben. Wenn man dieses Szenario aus einem anderen Winkel angeht: Was wäre geschehen, wenn der Teilnehmer doch ein legitimer Kunde gewesen wäre und dieser Mitarbeiter es weiterhin abgelehnt hätte, auf die Website zu gehen? Was wäre schlimmstenfalls passiert?
Der Kunde wäre wahrscheinlich etwas verärgert gewesen, dass man seinen Wunsch nicht erfüllt, aber das Endergebnis hätte es nicht verändert. Es war eben nicht das Produkt, was seine Unannehmlichkeiten verursacht hat.
Ein Social Engineer steigt oft sehr charmant in ein Gespräch ein und spricht übers Wetter, die Arbeit, das Produkt – halt irgendetwas und nutzt dieses Geplänkel, um an die gesuchten Informationen zu kommen. Hier kommt eine gute Richtlinie für das Sicherheitsbewusstsein ins Spiel: Es bewahrt Ihre Mitarbeiter davor, aus Angst heraus zu reagieren, wenn sie darin geschult sind, welche Art von Taktik gegen sie aufgefahren werden kann.
Bei einem Audit nutzte ich mal den Pretext, der Assistent des CFO zu sein. Die Mitarbeiter aus dem Callcenter fürchteten, ihren Job zu verlieren, wenn sie die Anfragen aus höchster Ebene ablehnen. Wieso? Sie waren nicht angemessen geschult worden, um zu wissen, dass sie eine Ablehnung dieser Anfrage nicht die Stelle kosten würde. Gleichzeitig sollten auch Richtlinien vorhanden sein, damit der Angestellte weiß, wann eine Bitte um Informationen korrekt ist.
Der wahrgenommene Wert der erfragten Information ist eng mit einer geschulten und wachsamen Person verknüpft, der klar ist, dass auch kleine Infofitzel zu einer massiven Sicherheitslücke führen können. Wenn man weiß, dass die Person am anderen Ende der Leitung nicht wirklich wissen muss, wie der Lebensmittelzulieferer der Cafeteria heißt, hilft das dem Mitarbeiter bei einer passenden Antwort. Wenn Sie Arbeitgeber sind, helfen Sie Ihren Angestellten dabei, Antworten auf solche Anliegen zu formulieren. In den meisten Fällen reicht einfach die Auskunft: „Tut mir leid, diese Information steht mir nicht zur Verfügung. Bitte nehmen Sie Kontakt zu unserer Einkaufsabteilung auf, wenn Sie das wissen wollen.“ Oder: „Es tut mir leid, ich bin nicht befugt, diese Information weiterzugeben. Aber Sie können eine Mail an info@company.com schicken, um diese Info zu erfragen“. Das bringt schon sehr viel dabei, um die Aktivitäten eines Social Engineer auszubremsen.
Ich habe bereits erwähnt, dass es eine SE-Taktik ist, den Wert von Informationen herunterzuspielen, damit man diesen „unwichtigen Kram“ eher herausrückt.
Um noch mal auf den Wettbewerb zu sprechen zu kommen: Einer der Teilnehmer sollte sich beim Telefonat identifizieren. Sein Pretext war eine mit einem internen Audit betraute Firma, und als die Zielperson prüfen wollte, wer dieser Anrufer sei, fragte sie nach einem Teil des Bestellformulars. Unser Teilnehmer tat so, als wende er sich einer imaginären Kollegin zu, und sagte: „Jane, der Kollege von Die-Zielfirma will die ID-Nummer vom Bestellformular. Kannst du mir die mal eben von Bills Schreibtisch rüberreichen?“
Als „Jane“ sich anschickte, das Formular zu besorgen, verwickelte der Teilnehmer die Zielperson in einen beiläufigen Plausch. „Wie ist das Wetter denn so in Texas?“ und „Waren Sie schon mal in Charlie’s Pub?“ eskalierten zu Fragen wie „Wer beschafft denn bei Ihnen die Lebensmittel in der Cafeteria?“ und „Wollen Sie mal eine coole Website sehen, an der wir hier arbeiten?“
All das geschah, während er auf die ID-Nummer „wartete“. Social Engineer nutzen diese Taktik täglich. Ablenkung und Charme sind in vielen Pretexte zentrale Werkzeuge. Informationen, nach denen während eines „Plausches“ gefragt wird, betrachtet man in diesem Kontext als weniger wertvoll. Wenn der Social Engineer die gleiche Frage gestellt hätte, während er „seine Audit-Ergebnisse überprüft“, wäre ihm mit einer anderen Haltung begegnet worden. Doch weil er sie während eines freundlichen Gesprächs gestellt hat, bekam er viele Informationen offen mitgeteilt.
Um dieser SE-Taktik entgegenzusteuern, muss man den Wert der Information bedenken, die man weitergeben will – ungeachtet dessen, in welchem Moment des Gesprächs sie angefragt wurde. Im früheren Beispiel wartete die Zielperson einfach darauf, dass diese ID-Nummer mitgeteilt wird, bevor das Gespräch weiterging. Das war sehr passend und bewahrte sie davor, hereingelegt zu werden.
Dieser spezielle Punkt ist nicht immer einfach zu implementieren, da Angestellte, vor allem solche mit Kundenkontakt, in der Lage sein müssen, bestimmte Informationen weiterzugeben, ohne Angriffe fürchten zu müssen. Es hält den Angriff bereits auf, wenn man sich über den Wert von Information im Klaren ist.
9.4 Halten Sie Software aktualisiert
In den meisten Branchen muss man der Öffentlichkeit und den Kunden Informationen bereitstellen. Sogar in meiner eigenen Firma muss ich meine Telefonnummern, E-Mail- und Webadressen herausgeben können. Ich muss in der Lage sein, PDF-Dateien zu versenden und zu empfangen, und ich muss frei mit Kunden, Lieferanten und Händlern telefonieren.
Doch die bisher diskutierten Punkte legen nahe, dass es bereits das Ende des eigenen Geschäfts und möglicherweise auch der Privatsphäre bedeuten kann, so etwas preiszugeben. Was können Sie machen, um die Freiheit zu haben, bestimmte Infos freizugeben, und nicht gleich das Ende befürchten müssen?
Achten Sie darauf, dass alles aktualisiert ist. Bei unserem Contest haben über 60 % der angerufenen Firmen immer noch mit Internet Explorer 6 und Adobe Acrobat 8 gearbeitet. Das ist eine erschreckende Statistik.
Dutzende, wenn nicht gar Hunderte von öffentlichen Schwachstellen existieren alleine in diesen beiden Anwendungen. Wenn man weiß, dass das Ziel mit diesen beiden Applikationen arbeitet, stehen einem eine enorme Anzahl von Angriffen zur Verfügung, die so heimtückisch sind, dass all die IDs, Firewalls und Antivirensysteme sie möglicherweise nicht stoppen. Aber wissen Sie, wie man sie stoppen kann?
Die Antwort lautet „Updates“. Bei der neuesten Version von Software sind Sicherheitslücken generell gepatcht, zumindest die meisten. Wenn eine bestimmte Software eine fürchterliche Bilanz aufweist, dann sollten Sie die nicht benutzen. Wechseln Sie zu weniger angreifbarer Software.
Das hier auftauchende Problem ist, dass Upgrades bei Firmen oft sehr lange dauern. Der Internet Explorer 6 ist sehr alt und fast am Ende der von Microsoft geplanten Lebenszeit. Bei Adobe 8 gibt es Dutzende öffentlich verfügbarer Exploits (Programme, die Sicherheitslücken ausnutzen). Das sind nur zwei der vielen Informationen, die wir bei dem Contest herausfanden. Doch die Realität ist auch, dass man in der Lage sein muss, Informationen herauszugeben. Man muss frei in der Lage sein, anderen zu sagen, was los ist. Um das mit weniger Bauchschmerzen machen zu können, müssen Sie darauf achten, dass Sie und Ihre Angestellten mit aktualisierter Software arbeiten.
Bei den Telefonaten im Rahmen des Contest hätten die Teilnehmer in der Sackgasse gestanden, wenn ein Angestellter darauf verwiesen hätte, dass seine Firma mit Firefox, Chrome bzw. einem anderen sicheren Browser oder mit FoxIt bzw. der aktuellsten Adobe-Software arbeitet. Ich will damit aber nicht sagen, dass diese Software völlig unproblematisch ist. Für bestimmte Versionen existieren sicherlich Exploits, aber diese Software ist wesentlich weniger anfällig. Der Besitz derartiger Informationen ist immer noch wertvoll, aber ohne Exploits kann die nächste Phase des Angriffs nicht ausgelöst werden.
Die Software aktualisiert zu halten, ist jener eine Tipp, der am meisten Dresche bekommt, weil er die meiste Arbeit erfordert und für den größten Overhead sorgen kann. Möglicherweise ist es sehr schwierig, interne Richtlinien und Methoden zu ändern, weshalb immer noch sehr alte Software verwendet wird, und Änderungsabsichten eventuell auch für interne Unruhe sorgen.
Doch wenn sich eine Firma der Sicherheit verpflichtet und auch ein persönliches Sicherheitsbewusstsein schaffen will, gehört es zur Unternehmenskultur, sich für diese Änderungen zu committen.
9.5 Entwickeln Sie Handlungsabläufe
Eine weitere, sehr vorteilhafte Sache sollte erwähnt werden: Das Entwickeln von Handlungsabläufen (Skripts). Kriegen Sie keinen Schreck: Ich meine damit nicht Abläufe in dem Sinne, dass der Angestellte immer „X“ sagen muss, wenn eine Situation gleich A plus B ist. Ich spreche von Gliederungen oder Skizzen, die einem Angestellten dabei helfen, seinen kritischen Verstand einzusetzen, wenn es wirklich darauf ankommt. Nehmen wir einmal die folgenden Szenarien:
Wie reagieren Sie richtig, wenn jemand anruft und sagt, er arbeite für den CEO, und will Ihr Passwort wissen? Was tun Sie, wenn jemand ohne Termin erscheint, aber so aussieht und handelt, als gehöre er zu einem Lieferanten, und in einen Bereich des Gebäudes oder Geländes will?
Mit Skripten erkennt ein Angestellter unter solchen Umständen die richtige Reaktion, und sie sorgen dafür, dass er dabei auch ein gutes, sicheres Gefühl hat. Ein Skript könnte beispielsweise so aussehen:
Wenn ein Anrufer behauptet, vom Büro der Verwaltung anzurufen und Informationen oder interne Daten haben will, befolgen Sie diese Schritte:
1. Bitten Sie die Person um ihre Mitarbeiternummer und den Namen. Beantworten Sie keine Fragen, ehe Sie diese Information nicht haben.
2. Nachdem Sie die Identitätsinfo bekommen haben, fragen Sie nach der ID-Nummer des Projekts, das der Anrufer verwaltet und für die er diese Info braucht.
3. Wenn die Informationen aus Schritt 1 und 2 zufriedenstellend sind, folgen Sie dem Anliegen. Ist das nicht der Fall, bitten Sie die Person, sich an ihren Vorgesetzten zu wenden, der wiederum Ihren Vorgesetzten per E-Mail um Autorisierung bittet, und beenden Sie das Telefonat.
Ein solch einfaches Skript kann den Angestellten dabei helfen, was sie sagen und machen sollten unter Umständen, bei denen ihr Sicherheitsbewusstsein gefordert wird.
9.6 Lernen Sie aus Social Engineering-Audits
Wenn Sie sich einen Arm oder ein Bein gebrochen haben, wissen Sie, dass Sie zur Gesundung in die Rehabilitation geschickt werden. Der Therapeut dort in der Reha unterzieht Sie möglicherweise auch ein paar „Stresstests“. Durch solche Tests weiß Ihr Arzt, ob Sie noch Schwachstellen haben, die gestärkt werden müssen. Das Gleiche gilt für Ihre Firma, außer dass Sie nicht erst darauf warten, dass bei Ihnen etwas „bricht“, bevor Sie testen, sondern mit Social Engineering-Audits können Sie die Firma mit einem Stresstest schon vor Entstehen einer Lücke austesten.
Die folgenden Abschnitte beantworten wesentliche Fragen im Zusammenhang mit Social Engineering-Audits und wie man den besten Auditor wählt. Bevor wir uns eingehender mit den Details von Social Engineering-Audits beschäftigen, sollten Sie wissen, was das überhaupt ist.
9.6.1 Das Social Engineering-Audit
Ganz einfach ausgedrückt ist ein solches Social Engineering-Audit, wenn ein Sicherheitsprofi beauftragt wird, die Personen, Richtlinien und physischen Perimeter zu testen, indem die gleichen Angriffe simuliert werden, die auch ein böswilliger Social Engineer nutzen würde. Die beiden wichtigsten Unterschiede zwischen einem böswilligen Social Engineer und einem professionellen Auditor sind:
• Normalerweise hält sich ein professioneller Auditor an moralische und juristische Richtlinien.
• Die Ziele des Profi-Auditors sind immer, dem Kunden zu helfen und ihn weder zu bestehlen, ihn der Lächerlichkeit preiszugeben oder zu seinem Schaden zu handeln.
• Professionelle Audits haben normalerweise eingeschränkte Bandbreiten, die es bei echten Angreifern natürlich nicht gibt.
Der professionelle Auditor wird sehr viel Zeit mit Analyse und Sammlung von Daten über sein „Ziel“ oder seinen Kunden aufwenden und nutzt diese Information, um realistische Angriffsvektoren zu entwickeln. Dabei behält er stets die schriftlich festgehaltenen Ziele für jeden Audit im Hinterkopf. Dies ist ein wesentliches Stück des Puzzles, denn es könnte eine Versuchung darstellen, einen Weg einzuschlagen, der sowohl für den Social Engineer als auch die Zielperson schlechte Nachwirkungen hat. Klar definierte Ziele bewahren den Social Engineering-Auditor davor, diesen Fehler zu begehen.
Der professionelle Social Engineer muss sich eines moralisch und ethisch einwandfreien Verhaltens bedienen, während er trotzdem diese Grenze auslotet, auf der er den echten „Black Hat“ eines böswilligen Social Engineer trägt. Das bedeutet, auf Dinge zu achten, die er nutzen kann, um Zugriff zu erlangen, und eine Lücke oder Schwachstelle in der Verteidigung der Firma herauszuarbeiten, egal wie gering sie auch scheinen mag.
Das Aufdecken von Sicherheitslücken muss gegen die Fürsorge für den einzelnen Mitarbeiter abgewogen werden. Firmen, die mit einem Social Engineering-Audit gehackt worden sind, meinen oft, das Problem werde durch Kündigung des Mitarbeiters behoben, der auf den Angriff hereingefallen ist, und wähnen damit das „Loch“ gestopft. Dem Kunden ist dann aber leider nicht klar, dass nach einem Audit gerade jene Angestellten, die auf den Angriff hereinfielen, jetzt wahrscheinlich die sichersten Personen im Gebäude überhaupt sind!
Der professionelle Social Engineer muss besondere Vorkehrungen treffen, dass keine Angestellten in die Schusslinie geraten. Mir persönlich ist es außerordentlich wichtig, den Kunden mitzuteilen, dass es bei dem Audit nicht um die Mitarbeiter geht, und wenn irgend möglich nenne ich keine Namen der beteiligten Angestellten. Wenn es nun gar nicht anders geht und ich Namen aufnehmen muss, lege ich den Schwerpunkt des Berichts auf die Fehler der Firma bei den Schulungen, Richtlinien und Verteidigungsmaßnahmen, durch die es dem Mitarbeiter möglich wurde, anfällig zu werden.
Einen Mitarbeiter als Sündenbock darzustellen oder seinen Charakter oder Leben zu ruinieren, sollte bei einem routinemäßigen Social Engineering-Audit keine Option sein. Wenn ich mit dem Kunden die Ziele für ein Audit durchgehe, lege ich den Grad der Intensität für diese wesentlichen Bereiche fest, und zwar mit einem Wert zwischen 0 und 10:
• Es soll festgestellt werden, ob Mitarbeiter auf Links in E-Mails klicken oder Dateien von Personen öffnen, die sie nicht gut kennen, was zu Kompromittierungen führt.
• Es soll festgestellt werden, ob ein Mitarbeiter auf eine Website geht und persönliche oder geschäftsbezogene Informationen auf dieser Site eingibt.
• Es soll festgestellt werden, ob man per Telefon oder durch persönliche Besuche von Mitarbeitern auf der Arbeit oder in privaten Räumen (z.B. Bars, Fitnessstudios, Kindergärten) Informationen erlangen kann.
• Es soll der Grad der Perimetersicherheit der Büros festgestellt werden, indem Schlösser, Kameras, Bewegungsmelder und Wachpersonal geprüft werden.
• Es soll festgestellt werden, ob ein Social Engineer einen Mitarbeiter derart verlocken kann, einen böswilligen USB-Stick oder eine DVD auf seinem Computer einzusetzen, dass damit die Firma kompromittiert werden kann.
Natürlich werden auch noch andere Bereiche getestet, aber ich versuche hier, die Ziele der Firma für dieses Audit zu umreißen. Oft stelle ich fest, dass die Firmen häufig gar nicht wissen, was sie wollen. Der Job des Auditors besteht dann darin, sie anhand verschiedener Wege in die Firma hinein zu führen, und auszuwählen, welche die Firma getestet haben will.
Wenn diese Ziele klar definiert sind, sollten Sie auch eine Liste der Dinge aufnehmen, die nicht zum Audit gehören sollen.
9.6.3 Was zu einem Audit gehört und was nicht
Es gibt viele verschiedene Wege, die umrissenen Ziele zu testen, um etwaige Sicherheitslecks in einer Firma zu erkennen. Einen guten Angriffsplan findet man, wenn man alle Prinzipien dieses Buches berücksichtigt. Doch beim Planen sollte man manche Dinge ausgrenzen. Dazu gehören u.a.:
• Der Angriff auf Familie und Freunde der Zielperson
• Beweise für kriminelle Machenschaften oder Untreue unterschieben, um eine Zielperson zu diskreditieren
• Abhängig von den Gesetzen des Landes kann es illegal sein, sich als Strafverfolger oder Polizist auszugeben.
• In das Haus oder die Wohnung der Zielperson einzubrechen.
• Mit Beweisen einer echten Affäre oder peinlicher Umstände die Zielperson durch Erpressung gefügig machen.
So etwas sollte auf alle Fälle vermieden werden, weil es nicht zielführend ist und die Zielperson beschädigt und verletzt hinterlässt. Doch stellt sich die Frage, was zu machen ist, wenn in einem Audit solche Beweise auftauchen. Jeder Auditor muss persönlich entscheiden, wie er mit diesen Umständen umgeht, aber schauen wir uns einige Beispiele an.
Bei einem Audit bemerkte der Auditor, dass ein Mitarbeiter die schnelle Internetverbindung der Firma nutzt, um viele Gigabyte Pornos auf externe Festplatten zu laden. Anstatt zu riskieren, dass der Angestellte entlassen wird, teilte er ihm einfach mit, er wisse Bescheid, wolle aber seine Kündigung nicht riskieren und gebe ihm deswegen diesen Warnschuss. Das war diesem Angestellten sehr peinlich. Er war aufgeregt und glaubte, dass der Auditor ihn doch namentlich nennen würde. Er beschloss, dass Angriff die beste Verteidigung sei, und berichtete den Firmeneigentümern, der Auditor wolle ihm Belege dieses Vergehens auf seinem Computer unterschieben.
Natürlich besaß der Auditor Logs und Screenshots vom Zeitpunkt der Kompromittierung, und der Angestellte wurde dann doch gefeuert. Doch auch der Auditor wurde gerügt, weil er nicht von sich aus dieses Vergehen gemeldet hat, zu dem es in der Firma eindeutige Regeln gab.
Bei einem anderen Bericht fand der Auditor Beweise, dass ein Mann Kinderpornos auf seinen Computer heruntergeladen und dann an andere im Internet weitergegeben hatte. Der Auditor wusste durch andere Bilder auf dessen Computer, dass der Mann Frau und Kinder hatte und dass der Bericht zu Scheidung und möglicherweise Haft führt und wahrscheinlich sowohl zum Ruin seiner Karriere als auch dem Leben der Familie.
Die Gesetzeslage in dem Land besagt, dass Kinderpornografie illegal und moralisch verwerflich und widerwärtig ist. Der Auditor zeigte diesen Mann bei der Firma und auch den Behörden an, was den Mann Karriere, Familie und Freiheit kostete.
Wenn Sie eine klar definierte Liste mit Dingen haben, die nicht getan werden sollen, wertet das Ihre Audits auf und bewahrt Sie davor, Ihre eigenen moralischen und legalen Richtlinien zu übertreten. Bei einem Interview mit John Navarro, einer weltweiten Koryphäe über nonverbale Kommunikation, stellte er mir gegenüber zu diesem Thema fest: Wenn man nicht gerade zur Polizei gehört, muss man vor Beginn eines Auftrags entschieden haben, welche Grenzen man zu überschreiten gewillt ist und welche nicht. Welche Dinge sollte ein Auditor also vor diesem Hintergrund in seine Audits mit aufnehmen?
• Phishing-Angriffe: Gezielte E-Mail-Angriffe, durch die eine Firma erkennt, ob ihre Angestellten gegen Angriffe per E-Mail gefeit sind.
• Pretexting-Angriffe in Person: Sehr präzise und kontrollierte Pretexte werden ausgewählt und dann per Telefon oder persönlich ausgeführt, um festzustellen, ob die Mitarbeiter darauf hereinfallen.
• Köder legen: Ein direkter, persönlicher Angriff, bei dem man über irgendeine Methode ins Gebäude oder auf das Gelände der Zielfirma eindringen kann, und USB-Sticks oder DVDs „vergisst“, auf denen sich heimtückische Dateien mit eingebettetem Schadcode befinden.
• Huckepack-Angriff: Ein Angriff mit persönlicher Anwesenheit, bei dem sich der Auditor einer Gruppe Mitarbeiter anschließen will und gemeinsam mit ihnen ins Gebäude zu kommen versucht.
• Physische Sicherheit (Red Team): Ein Versuch, physischen Zugang zu einem Büro zu bekommen und der Firma wertvolle Gegenstände zu entwenden.
Diese kurze Liste hilft einem professionellen Auditor, einige Richtlinien zu setzen, was bei einem Audit aufgenommen werden soll und was nicht. Nun bleibt noch eines der größten Probleme, die viele Firmen haben: Wie findet man heraus, wer ein guter Auditor ist? Wer kann diese Aufgaben erfüllen?
9.6.4 Den besten Auditor wählen
Nehmen wir noch einmal an, Sie haben sich etwas gebrochen und der Schaden ist schlimm. Der Arzt sagt Ihnen nun, dass Sie eine 50%ige Chance der Genesung haben, aber Sie müssten zu einem guten Chirurgen gehen, um Ihre Chancen zu erhöhen. Würden Sie dann nicht alle Hebel in Bewegung setzen, um einen guten Chirurgen zu finden, der Ihre Probleme behebt? Und wenn Sie ihn gefunden haben, welche Fragen würden Sie dann stellen? Würden Sie nicht mehr über seine bisherige Arbeit wissen wollen? Sie wollen dann sicher Beweise für seine Fähigkeit, die Konzepte zu erfassen und die Aufgaben auszuführen, die Ihre Genesungschancen steigern.
Dem gleichen Prozess folgen Sie, um den richtigen Auditor zu finden. Hier sind einige Grundlagen, die Sie klären sollten, wenn Sie mit einem Auditor sprechen:
• Wissen: Hat sein Team Recherchen, Forschungen, Schriften, Vorträge oder anderes Material herausgegeben, dem man entnehmen kann, was sie über Social Engineering wissen? Sind sie in der Community bekannt, in diesem Bereich führend zu sein? Sie sollten Ihr Audit und Ihre Sicherheit keinem Team anvertrauen, das mit veralteten Methoden arbeitet und sich bei neuesten Taktiken nicht auskennt.
Ohne verschiedene Recherchen ist es schwer, das Wissen von einem Auditor und seinem Team zu beurteilen. Es wäre schon keine schlechte Idee, den Auditor nach Schriften, Artikeln oder Informationen zu fragen, die zu diesem Thema verfasst wurden. Achten Sie darauf, dass das beauftragte Team in dieser Branche topp ist.
• Referenzen: Kunden wollen oft nicht identifizierbar sein oder genannt werden. In meinem Fall wollen viele Kunden nicht auf einer Website erscheinen oder im Marketingmaterial, weil sie das als unangenehm empfinden oder glauben, es mache sie angreifbar. Aber Sie können die Erfahrung des Auditors auch auf anderen Wegen erfahren. Befragen Sie ihn über seine angewandten Methoden und wie er in der Vergangenheit Lösungen implementiert hat.
Ein Auditor will bei einem ersten Treffen nicht gleich alle Geheimnisse auf den Tisch packen, aber fragen Sie ihn nach ein oder zwei Angriffen, die er durchgeführt hat, damit Sie den Grad seiner Skills feststellen können.
• Kontrakt: Für einen erfolgreichen Audit bringt es sehr viel, wenn man alles komplett umrissen sowie dokumentiert und auch die Grenzen aufgezeigt hat. Ich persönlich arbeite nicht gerne mit Unmengen Einschränkungen, weil die meisten böswilligen Social Engineers ja nun gar keine Beschränkungen haben. Aber man sollte sich schon auf einen kleinen Regelsatz einigen, was erlaubt ist und was nicht.
Ein Social Engineer will die Zustimmung, Telefonate aufzeichnen zu dürfen, Videoaufnahmen vom Gebäude oder Interaktionen zu machen, und wenn es bei dem Audit auch um physische Sicherheit geht, die schriftliche Erlaubnis, Gegenstände vom Gelände oder aus dem Gebäude mitnehmen zu können. Ein Auditor will am Ende des Audits keinen Durchsuchungsbefehl oder Strafanzeige auf dem Tisch liegen haben.
Legen Sie für den Notfall auch eine Kontaktperson fest, die über den Audit Bescheid weiß und ggf. auch für Auditor und Team bürgen kann. Wenn ein Auditor in einer juristischen Zwickmühle steckt, will er eine Nummer zum Anrufen haben. Niemand möchte spätabends einen Dumpster Dive ausführen, sich dann mit der Polizei herumschlagen und die Nacht in einer Zelle verbringen. Mit einer Kontaktperson besitzen Sie eine „Sie kommen aus dem Gefängnis frei“-Karte, und auf lange Sicht erspart das eine Menge Ärger.
• Rapport: Wenden Sie die Prinzipien in diesem Buch an, um einen guten Auditor zu finden. Wenn Sie mit ihm telefonieren oder im persönlichen Gespräch sind, welches Bauchgefühl haben Sie? Was sehen Sie? Bekommen Sie den Eindruck, er sei sehr professionell, und sein Ziel bestehe wirklich darin, Ihnen zu helfen?
Stellen sich das Team und seine Firma so dar, dass Sie sich gerne damit in Verbindung bringen lassen wollen? Wenn Sie Projektmanager sind und einen Auditor beauftragen sollen, lastet eine Menge Verantwortung auf Ihnen. Der Auditor will sich vielleicht nicht mit einem Team treffen. Je weniger Leute wissen, wie das Social Engineering-Team aussieht, desto vorteilhafter ist das für physische Sicherheits-Audits. Das Team wird sich infolgedessen wohl nur mit einer oder zwei Personen treffen. Das bedeutet, dass Sie darauf achten müssen, ob der Auditor hohe Qualifikationen mitbringt und die erforderlichen Arbeiten ausführen kann.
• Zeit: Einer der größten Fehler, den Firmen bei der Suche nach Auditors machen können, ist, ihnen nicht genug Zeit zur Ausführung ihres Jobs zu geben. Sie glauben, dass man ein paar Telefonate oder einen Besuch vor Ort auch in einem Tag hinkriegt. Vielleicht stimmt das auch, aber was ist mit der Informationserfassung, der Planung und dem Ausspähen der Zielpersonen? Diese Dinge brauchen Zeit. Zeit ist wichtig, aber auch ein zweischneidiges Schwert: Räumen Sie genug Zeit ein, damit der Auditor gute Arbeit machen kann, aber nicht so viel, dass sich das negativ auf die Kosten auswirkt. Managen Sie alles, aber verfallen Sie nicht ins Mikromanagement.
Dies sind nur einige der überlegenswerten Aspekte, wenn es um die Wahl des richtigen Auditors für Ihre Firma geht. Am Ende müssen Sie sich damit wohlfühlen, dass das Social Engineering-Team in Ihrem besten Interesse unterwegs ist, sein Bestes geben wird, um professionell zu bleiben, und sich innerhalb der von den Richtlinien vorgegebenen Grenzen bewegt.
Wissen ist wertlos, wenn man es nicht in die Praxis umsetzt.
Anton Tschechow
Die Informationen, die ich hier in diesem Buch liefere, sind nicht unbeschwert. Viele zeigen ernsthafte Schwachstellen in der Art, wie Menschen denken und handeln. Wenn ich Sicherheitsseminare mit meinem Mentor Mati durchführe, erzählt er von einem Payload-Encoder namens „shikata ga nai“. Das ist Japanisch für „da kann man nichts machen“ und bedeutet sinngemäß „es ist hoffnungslos“.
Ich hatte überlegt, dies als Motto zu nehmen, aber dann fand ich, dass die Formulierung „Es ist hoffnungslos“ für meinen Geschmack etwas zu fatalistisch ist. Stattdessen fühle ich, dass der Gedanke über in der Praxis eingesetztes Wissen besser zum Thema des Buches passt. Ich habe immer wieder betont, dass die Perfektionierung der Skills sowie die Fähigkeit, diese Skills im Einsatz zu erkennen, weitaus mehr benötigt als nur Wissen. Wenn man zu viel Angst vor den Dingen hat, die ich in diesem Buch vorstelle, führt das zu einem Zorn auf alle Arten, wie man gehackt werden kann, und letzten Endes in eine Richtung, bei der wir unseren Geist verschließen. Stattdessen schlage ich einen anderen Ansatz vor, wie man sich neben der Angst mit den Informationen dieses Buches beschäftigen sollte: Eine neue Denkweise, die Sie ermutigt, zu lernen, nachzudenken und die Methoden zu verstehen, mit denen die „Bösewichte“ arbeiten, damit Sie denen nicht zum Opfer fallen.
Nun will ich aber nicht behaupten, dass es keinen Ort für die Angst gibt. Es gibt definitiv Platz dafür, gesunde Angst zu spüren. Es ist für Sie wahrscheinlich vorteilhafter, Ihre Daten, persönlichen Informationen und Identität zu schützen, aber dann auch gleichzeitig die Denkweise der „Hacker“ zu verstehen und sie mit den Informationen dieses Buches zu kombinieren.
In diesem Abschnitt kümmern wir uns um einige Dinge, die Sie hoffentlich aus diesem Buch mitnehmen und in Ihrem Leben nutzen können – vor allem, wenn Sie für die Sicherheit Ihrer Firma, Ihrer Kunden verantwortlich sind oder dies für Ihre eigene Sicherheit lesen.
9.7.1 Social Engineering ist nicht immer negativ
Ich hoffe, Ihnen einschärfen zu können, dass Social Engineering nicht immer negativ ist. Es sind nicht nur die Hacker oder Trickbetrüger, die mit Social Engineering-Taktiken arbeiten. Ärzte, Therapeuten, Sozialarbeiter, Eltern, Kinder, Chefs, Angestellte ... alle nutzen in dieser oder jener Hinsicht solche Prozeduren. Die Kunst der Überredung findet ihren Einsatz auch oft in normalen und alltäglichen Situationen.
Es bewirkt sehr viel zu lernen, dass Social Engineering nicht immer furchterregend, dunkel und böse sein muss, wenn man den Einsatz dieser Skills aufdecken will. Nachdem Sie diese Skills verstanden und eingeübt haben und darin versiert sind, wird es viel einfacher herauszubekommen, wie sie gegen andere eingesetzt werden.
Zur Analyse dieser Skills finden Sie auch Orte, die sich nicht in den dunklen Ecken der Welt befinden. Lesen Sie Bücher über Psychologie, Überredungskunst und Verkaufstricks und beobachten dann den jeweiligen Bereich, um diese Skills im Einsatz zu erleben.
9.7.2 Die Bedeutung der Sammlung und Organisation von Information
Ich kann gar nicht oft genug wiederholen, wie wichtig eine qualitativ hochwertige Informationserfassung ist. Die Qualität, der Professionalismus und letztendlich der komplette Erfolg eines jeden Social Engineering-Auftrags hängen von dieser Informationsermittlung ab. Das Internet ist eine schier unendliche Quelle von Daten und Auskünften. Firmen stellen ihre Finanzberichte ins Netz, die Namen und Stellenbeschreibungen von Angestellten, Kontaktdaten und Bilder der Standorte und Gebäude, Sicherheitsrichtlinien, Kontrakte, Namen von Lieferanten und Herstellern, viele Leute ihre persönlichen Dateien und vieles, vieles mehr. Auf persönlicher Ebene posten Angestellte genauso wie andere private Fotos, Adressen, Einkäufe, Mietsachen, Verträge, ihre Favoriten aus Sport und Musik, ihr Lieblingsessen usw.
Bewaffnet mit dieser überwältigenden Informationsmenge kann sich ein Social Engineer das Gewünschte herauspicken und dann wählen, welchen Angriffsvektor er nutzen will. Wenn der Auftrag weiter fortgeführt wird, bekommt der Social Engineer anhand der erfassten Information die Chance, mit Handlungsabläufen und Pretexte zu arbeiten, die auf die Zielperson optimal wirken. Ohne diese Informationssammlung wird – wie schon mehrfach überall im Buch betont – der Auftrag höchstwahrscheinlich misslingen.
Wenn beispielsweise ein professioneller Auditor drei Wochen Zeit für einen Auftrag eingeräumt bekommt, sollte er mindestens die Hälfte dieser Zeit Informationen sammeln. Doch professionelle Auditoren neigen oft dazu, die Zielperson mit gewohnten Behilfs-Pretexte anzugehen. Gewöhnen Sie sich das gar nicht erst an: Stecken Sie viel Zeit in die Informationssammlung.
Fast genauso wichtig wie die Informationssammlung ist es, wie Sie die Daten speichern und katalogisieren – vielleicht mit einer der in Kapitel 2 erwähnten Methoden. Für effektiven Einsatz dieser Daten ist eine gute Organisation wesentlich. Man sollten nicht alles in ein Riesendokument packen, sondern kategorisieren, ordnen und mit Etiketten auszeichnen, damit man alles gut nutzen kann – vor allem im Rahmen eines telefonischen Einsatzes.
Denken Sie immer daran, dass ein Social Engineer nur so gut ist wie die Information, die er sich beschafft hat. Ich habe schon viele Jobs wegen mangelhafter oder fehlender Information vor die Wand fahren sehen. Gleichzeitig habe ich erlebt, wie Leute, die vielleicht nicht die versiertesten Sprecher oder die charmantesten Verführer sind, in sehr schwierigen Situationen erfolgreich waren, weil sie sich so gut durch Informationen vorbereitet haben.
Information ist der Kern des Social Engineering, und wenn Sie nur eines aus diesem Buch mitnehmen, ist es diese … Information.
9.7.3 Wählen Sie Ihre Worte sorgfältig
So wie das Motto zu Beginn dieses Abschnitts eignet sich dieses Thema für den Gedanken, dass Information keinen Wert hat, wenn man sie nicht praktisch umsetzt. Sie können alle Informationen der Welt gesammelt, organisiert und katalogisiert haben, aber Sie müssen sie auch effizient einsetzen. Der erste Schritt besteht darin festzustellen, welche Worte Sie verwenden wollen.
Ich habe die Skills Elizitierens und Preloading diskutiert. Diese sind außergewöhnlich wertvoll, und ich hoffe, dass Sie deren Praxis einüben. Arbeiten Sie mit Ankern, Schlüsselwörtern und Formulierungen, um die Zielperson mit Gefühlen und Gedanken zu versorgen, damit sie Ihrer Führung folgt. Preloading ist eine sehr wirkmächtige Technik, die man nicht in kurzer Zeit beherrscht, sondern für die man viel Praxis braucht. Das Tolle am Preloading ist, dass Sie diesen Skill auch zu Hause üben können, auf der Arbeit, mit den Kindern, Ihren Eltern, Kunden – also praktisch überall.
Glauben Sie nicht, dass Sie durch Praxis immer erreichen, dass die Leute Dinge gegen ihren Willen machen. Beim Preloading motiviert man die Einstellung der anderen so, dass sie offener für einen Vorschlag oder eine Idee werden. Das müssen Sie gar nicht arglistig einsetzen. Kinder machen das die ganze Zeit. Wenn Ihre Tochter beispielsweise sagt: „Daddy, ich hab dich so lieb …“ und einige Sekunden später ergänzt: „Darf ich diese neue Puppe haben?“, dann ist das ein Beispiel für Preloading: eine „Zielperson“ in einen bereitwilligen emotionalen Zustand zu versetzen.
Wenn Sie diesen Skill beherrschen oder ihn wenigstens geschmeidig einsetzen können, nehmen Sie sich die Art und Weise vor, wie Sie elizitieren. Denken Sie daran, dass niemand gerne das Gefühl hat, verhört zu werden. Elizitieren sollte keiner polizeilichen Befragung gleichen. Es sollte eine reibungsarme, nahtlose Konversation sein, bei der man die nötigen Erkenntnisse über das Ziel oder Thema bekommt.
Wenn Sie die Methoden und den Prozess lernen, wie man Fragen in einer normalen Unterhaltung stellt, erweitern Sie damit nicht nur Ihre Skills als Social Engineer, sondern auch als kommunizierender Mensch. Die Leute haben sehr gerne das Gefühl, andere seien an ihrem Leben und ihrer Arbeit interessiert. Nutzen Sie diesen Skill für gute Dinge, und es erweitert auch Ihre Fähigkeiten als Social Engineer.
Ich habe eine gute Freundin, der die Leute praktisch alles erzählen. Das ist schon regelrecht unheimlich. Völlig fremde Menschen sagen am Ende eines Gesprächs etwa „Ich habe wirklich keine Ahnung, warum ich Ihnen das alles erzähle …“ Sie ist kein Social Engineer und nicht mal in der Sicherheitsbranche, aber das Elizitieren gelingt ihr fantastisch.
Wenn Sie Preloading und Elizitieren beherrschen, erweitern Sie auch Ihre Fähigkeiten, das zu planen, was Sie sagen werden. Diese Skills sorgen für eine innere Haltung, mit der Sie auf intelligentere und weniger invasive Art nach Informationen suchen und sie sammeln.
9.7.4 Sorgen Sie für einen guten Pretext
Denken Sie daran, dass ein guter Pretext weder Lüge noch fiktive Geschichte ist. Sie werden vielmehr selbst zu Ihrem Pretext und leben ihn eine gewisse Zeit. Jede Faser Ihres Wesens, Ihre Gedanken, Aktionen, das Sprechen und die Motivation sollten den Pretext widerspiegeln. Wenn Ihnen das gelingt, wird Ihr Pretext für die Zielperson glaubwürdig.
Woran man ebenfalls denken sollte: Pretexting wird im Alltag benutzt, nicht bloß im Social Engineering. Stellen Sie sich folgendes Szenario vor: Sie haben sich gerade mit Ihrem Ehegatten gestritten. Nun müssen Sie zur Arbeit. Sie wollen nicht, dass alle mitkriegen, dass es zu Hause aktuell nicht gerade zum Besten steht. Wenn Sie also auf der Arbeit erscheinen und ein Kollege fragt: „Hey, Jim, wie läuft’s denn so?“, lautet Ihre Antwort: „Super. Könnte gar nicht besser sein.“
Das ist das genaue Gegenteil der Wahrheit, doch was machen Sie, um dabei glaubwürdig zu erscheinen? Sie knipsen ein Lächeln an oder vermitteln mit Haltung oder Körpersprache viel Selbstvertrauen. Abhängig davon, wie persönlich bekannt Sie sind oder wie wenig Sie sich Ihren Kollegen gegenüber öffnen wollen, könnten Sie sogar noch eine „Covergeschichte“ nachschieben, um zu beweisen, wie toll das Leben gerade ist.
Dies ist nur ein mögliches Szenario, doch die Menschen arbeiten dauernd in eigener Sache mit Pretexting. Sobald Sie versuchen, etwas anderes als die Realität zu vermitteln, ist die „Covergeschichte“, die das glaubwürdig untermauern soll, ein Pretext. Natürlich sind die Leute nicht wirklich gut darin und werden leicht erkannt, aber wenn Ihnen solche Situationen im Alltag und auf der Arbeit auffallen, haben Sie gutes Material fürs Pretexting, das Sie analysieren können.
Untersuchen Sie diese Szenarien und finden Sie Bereiche heraus, die Sie in Ihren Pretexte verbessern können, um diesen sehr praktischen Skill zu beherrschen.
9.7.5 Üben Sie, Ausdrücke zu lesen
Ich glaube, ich könnte mich wochenlang über Mikroexpressionen verbreiten. Dieses Thema interessiert mich wirklich, und die Vorstellung fasziniert mich, dass die Menschen integrierte Mechanismen haben, um ihre tiefsten und dunkelsten Gefühle darzustellen, doch die meisten können das nicht bewusst steuern. Wie unsere Gefühle dafür sorgen, dass bestimmte Muskeln kontrahieren und dadurch für wenige Millisekunden ein bestimmter Ausdruck gezeigt wird, ist ein sehr verblüffender Aspekt der Schöpfung. Doch es erstaunt mich wirklich, dass man lernen kann, diese Mikroexpressionen zu sehen und zu deuten und mit genau diesen Ausdrücken auch andere zu manipulieren.
Üben Sie, wie man Mikroexpressionen selbst hervorruft (siehe Kapitel 5). Achten Sie dabei auch auf die Gefühle, die die Mikroexpressionen in Ihnen wachrufen. Wenn Sie diese Ausdrücke üben, können Sie sie auch besser lesen, wenn andere sie ausdrücken.
Wenn Sie trainieren, konzentrieren Sie sich nicht nur darauf, was nötig ist, um Mikroexpressionen bei anderen zu lesen, sondern wie Sie Ihre eigenen Mikroexpressionen steuern und verhindern können, dass jemand dieses Lesen auch auf Sie anwendet. Denken Sie daran, dass es eine gute Eigenschaft ist, andere lesen zu können, doch weitaus besser ist es, wenn Sie Ihre eigenen Mikroexpressionen, Körpersprache und Stimmlage kontrollieren. Mit diesem Können erweitern Sie nicht nur Ihre Sicherheitspraxis, sondern auch persönliche Beziehungen. Wenn Sie viele dieser Fertigkeiten beherrschen, werden Sie feststellen, wie eines der wichtigsten Konzepte aus Kapitel 5, der menschliche Pufferüberlauf, einzusetzen ist. Das menschliche Gehirn funktioniert ähnlich wie Software, nur auf einer höheren Ebene. Doch so wie bei Software kann es auch „gefuzzt“, untersucht und ausgehebelt werden. Lesen Sie diesen Abschnitt erneut, damit Ihnen die dort präsentierten Prinzipien wirklich in Fleisch und Blut übergehen.
9.7.6 Manipulation und Beeinflussung
Manipulation und Beeinflussung sind zwei Aspekte der sozialen Interaktion, die einige dramatische und wirkungsvolle Effekte auf die Menschen haben, mit denen Sie zu tun haben. Aus diesem Grund sollten Sie die Informationen aus Kapitel 6 nur mit besonderer Vorsicht und Sorgfalt einsetzen. Wenn Sie gelernt haben, Menschen zu überreden und zu manipulieren, führt das letzten Endes zum Erfolg (oder sonst zum Misserfolg) eines Social Engineering-Projekts. Jeden Tag versuchen Leute, andere zu Handlungen zu überreden oder zu manipulieren. Manche dieser Aktionen sind sehr böse und kosten Sie Geld, die persönliche Freiheit und die Identität.
Nutzen Sie solche Situationen als Lernmaterial. Analysieren Sie die Methoden, mit denen Marketingleute, Psychologen, Berater, Lehrer und sogar Kollegen Sie zu manipulieren trachten. Picken Sie sich alles heraus, von dem Sie etwas lernen können, und packen Sie es in Ihr Arsenal.
Denken Sie daran, dass Überredung nicht stets negativ ist: Dabei geht es nicht immer darum, jemanden zu etwas zu bewegen, was er nicht will. Überredung kann auch sehr positive Wirkungen zeitigen, und sehr oft ist eine positive Überredung weitaus schwieriger. Wenn Sie diese Skills beherrschen und sie dafür einsetzen, um andere zu sichern, werden Sie viel besser feststellen, wenn jemand auf negative Weise mit Überredungstaktiken arbeitet.
9.7.7 Achten Sie auf bösartige Taktiken
Wenn Ihnen bewusst ist, welche Taktiken von Angreifern eingesetzt werden, fallen Sie diesen nicht zum Opfer. Der professionelle Auditor wird anhand dieser Taktiken seine Kunden schulen, worauf bei einem möglichen Angriff zu achten ist. Halten Sie die Augen offen für Gelegenheiten, wie sie eingesetzt werden.
Eine von den „Bösewichten“ z.B. gerne genutzte Taktik ist, in Krisenzeiten zuzuschlagen. Als die Flugzeuge in die Twin Towers gerast sind, als Haiti von den Erdbeben und Asien vom Tsunami getroffen wurde, waren die Verheerungen in der Bevölkerung, im Leben, der Psyche und den Emotionen der Menschen unüberwindlich. Genau dann, wenn die Verletzbarkeit und Schwäche der Menschen am größten ist, schlagen Kriminelle zu.
Ich möchte das einmal so veranschaulichen: Ich habe mal einen Artikel gelesen, wie Löwen in freier Wildbahn jagen. Darin stand, wenn ein Löwe eine Gruppe Beutetiere verwirren und zersprengen will, um sein Opfer zu vereinzeln, brüllt er in Richtung Boden – also nicht in Richtung Beute oder Himmel, sondern zum Boden. Was das soll? Das macht er deswegen, damit das mächtige, furchteinflößende Brüllen vom Boden reflektiert wird und die Beute umringt. Die Beutetiere sind verwirrt, weil sie nicht wissen, aus welcher Richtung der Löwe zuschlagen wird. Manche flüchten nach links, andere nach rechts, aber in Konsequenz lassen sie dann in der Herde die jungen, alten, gebrechlichen und unreifen Tiere ungeschützt.
Professionelle bösartige Social Engineers operieren nicht viel anders. Sie „brüllen“ auf eine Weise, die Verwirrung schafft oder steigert. Sie arbeiten mit Websites, die vorgeben, bei der Suche nach Vermissten oder Toten nach einer Naturkatastrophe zu helfen, oder behaupten, selbst Familie oder Freunde im Chaos verloren zu haben. Wenn die Gefühle der „Ziele“ derart beeinflusst werden, können diese nicht klar erkennen, wann und wo der Angriff erfolgt.
Die (technologisch gesehen) Unerfahrenen und Unreifen fallen dem zuerst zum Opfer, indem sie kleine Informationen abgeben, bis es dem Angreifer für das Profil reicht. Dieses Profil hilft beim Start weiterer Angriffe, und diese sind dann noch teuflischer und herzloser.
Achten Sie auf solche Vorfälle! Sie bewahren Ihre Kunden und sich selbst davor, dem zum Opfer zu fallen. Nutzen Sie solche Situationen auch als Lektionen, analysieren Sie die eingesetzten Methoden und schauen Sie, wo sie funktionieren oder fehlschlagen. Das wird Ihre Fähigkeit erweitern, für potenzielle Bedrohungen wachsamer zu werden.
Bedauerlicherweise unterscheiden sich Löwe und Social Engineer insofern (neben dem Offensichtlichen), dass Letzterer nicht hörbar brüllt. Er läuft nicht herum und brüllt „Ich will Beute, lauft alle weg!“ Stattdessen locken arglistige Social Engineers mit durchtriebenen, subtilen Angriffen jährlich Tausende in ihre Fallen.
Wenn dieses Kapitel nun dafür gesorgt hat, dass sich bei Ihnen irgendeine Angst aufgebaut hat, kann ich nur sagen: „Das ist auch gut.“ Sie brauchen sie. Weil eine gesunde Angst Ihr Leben rettet oder zumindest in diesem Fall Ihre Identität und Ihr Business.
Nutzen Sie diese Angst, um sich und andere für Veränderungen zu motivieren. Werden Sie nicht wütend oder aufgeregt. Treffen Sie die Entscheidung für Veränderung und schulen Sie sich, Ihre Familie und Ihre Firma darin, wie man diese Angriffe erkennt, beobachtet und sich dagegen schützt. Treffen Sie die Entscheidung, weder Ihre Identität noch Ihre Firma hacken zu lassen, und arbeiten Sie dann dafür.
Dieses ganze Buch lässt sich in dem Motto „Sicherheit durch Schulung“ zusammenfassen. „Human Hacking“ ist eine Kunst. Beim Social Engineering mischen sich Wissenschaft, Kunst und Skills. Stimmt das Verhältnis, sind die Ergebnisse „shikata ga nai“.
Die Firmen verlieren pro Jahr Millionen Dollar wegen Sicherheitslücken, wobei die große Mehrheit dieser Lücken aus Social Engineering-Angriffen stammt. Und doch lehnen unsere Kunden es meist ab, wenn wir ihnen anbieten, ein Social Engineering-Audit in die Pentests mit aufzunehmen.
Warum?
Die Firmen fürchten sich eher vor Veränderungen. Unzählige Male habe ich in meiner professionellen Praxis intelligente und erfolgreiche Firmeninhaber sagen hören: „So ein Social Engineering-Audit brauchen wir nicht. Unsere Leute fallen auf diese Tricks nicht herein.“ Während des Pentests holen wir mit einigen autorisierten Telefonaten Informationen ein, und wenn wir dann im Abschlussbericht diese Infos präsentieren, ist man immer sehr erstaunt, wie leicht es war, an diese Daten zu kommen.
Auf allen Ebenen und in verschiedensten Firmen tendiert das Sicherheitsbewusstsein dazu, sich nicht sonderlich zu ändern. Wenn wir nach einem Pentest mit der Firma über ein Programm für die Schulung des Sicherheitsbewusstseins sprachen, wurde uns schon oft gesagt, dass man keine strukturierten Trainings für Callcenter oder die technischen Support-Abteilungen durchführt. Und genau das sind gerade die Bereiche, die bei Social Engineering-Angriffen am häufigsten auf der Strecke bleiben.
Dies deutet auf den Kern des Problems hin, von dem ich hier rede. Sicherheit durch Schulung darf kein bloßes Motto sein, es muss sich in ein Unternehmensleitbild verwandeln. Wenn Firmen und die Menschen, aus denen diese Firmen bestehen, die Sicherheit nicht persönlich und ernst nehmen, wird dieses Problem nie wirklich behoben. In der Zwischenzeit sollten jene, die es ernst genug nehmen, dieses Buch zu lesen, und sich nicht scheuen, einen Blick in die dunklen Ecken der Gesellschaft zu werfen, ihre Skills ausreichend gut ausbauen, um ihre Familien, Firmen und sich selbst besser abzusichern.
Wenn der Löwe „brüllt“, sollten Sie derjenige sein, der an der Spitze der Meute steht und sie aus der Schusslinie führt. Seien Sie ein Vorbild dafür, was zu machen ist und wie man sich gegen diese Angriffe schützt.
Mit genug Zeit und Aufwand kann jeder mit Social Engineering zur Strecke gebracht werden. So schlimm dieser Satz sich auch anhört, er stimmt. Das bedeutet nicht, dass es keine Hoffnung gibt. Es bedeutet, dass es Ihnen obliegt, bösartige Social Engineering-Angriffe so schwierig und zeitaufwendig zu gestalten, dass die meisten Hacker aufgeben und sich lieber „tief hängende Früchte“ oder die zurückgelassene Beute suchen. Ich weiß, das klingt sehr kalt. Viel lieber wäre mir, wenn alle dieses Buch lesen und sich grundlegend verändern – dann würden die Firmen wirklich sicher sein. Aber in einer solchen Welt leben wir leider nicht.
Diese Aussage führt zu der sehr ernsthaften Frage: Wenn es wirklich keine Hoffnung gibt, wie können Firmen, Personen, Familien und jeder sonst sich gegen diese massiven Schwachstellen schützen? Erst wenn Firmen zu erkennen beginnen, wie anfällig sie für Social Engineering-Angriffe sind, werden auch Einzelpersonen bereit sein, sich über Angriffsmethoden zu schulen und wachsam sein – und außerdem die Kunde weitertragen. Erst dann dürfen wir hoffen, wenn schon dem Angriff nicht einen Schritt voraus zu sein, dann auch nicht zu weit zurückzufallen.
Wenn ich dieses Buch beende, tue ich das in der Hoffnung, Ihnen die Augen für die Welt des Social Engineering geöffnet zu haben. Ich hoffe, dass es Ihnen weiterhin dabei helfen wird, auf das Potenzial für bösartige Angriffe zu achten. Ich hoffe, es hat Ihnen geholfen, eine gesunde Angst vor möglichen Katastrophen aufzubauen oder zu bewahren.
Meine Hoffnung besteht außerdem darin, dass dieses Buch hilft, Ihre Firmen, Familien, Kinder, Investitionen und Ihr Leben zu schützen. Ich erhoffe mir, dass die hier versammelten Informationen Ihnen zeigen, dass es unmöglich ist, komplett gesichert und geschützt zu bleiben.
Mein Mentor Mati Aharoni sagte in einem seiner Seminare, dass die Bösen normalerweise deswegen gewinnen, weil Entschlossenheit, Zeit und Motivation auf ihrer Seite sind. Opfern Sie nicht die Sicherheit dem Leben. Auch umgekehrt: Lassen Sie nicht zu, dass eine zu große Angst vor bösen Leuten Ihnen in die Quere kommt, das Leben zu genießen.
Ich wünsche mir, dass Sie durch Einsatz der Prinzipien dieses Buches Ihre Fähigkeit erweitern, die Menschen in Ihrer Umgebung besser zu lesen und besser mit ihnen zu kommunizieren. Nutzen Sie die Prinzipien in vielerlei Hinsicht in Ihrem Leben, nicht allein auf Sicherheit bezogen, denn sie sind Übungen, die das Leben verändern. Social Engineering ist wirklich eine Kunst. Genießen Sie sie!