Social Hacking: Mein bester Feind

Social Hacking: Mein bester Feind

Warum komplexe IT-Sicherheitssysteme knacken, wenn es anders viel leichter geht? Social Hacker haben erkannt, dass sie ein leichteres Spiel haben, wenn sie menschliche Schwächen ausnutzen, um ans Ziel zu gelangen.

Weihnachten 2015. In ganz Österreich herrscht Weihnachtsfriede. In den meisten Unternehmen ist ein Großteil der Mitarbeiter im Urlaub. Wo es möglich ist wird die Zeit mit Journaldiensten überbrückt. Nur in den Finanzabteilungen gibt es einiges zu tun: Jahresabschlüsse und Jahresabrechnungen sind fällig und natürlich müssen auch die Personal- und Lohnabrechnungen erledigt werden. Schließlich wollen die Mitarbeiter zum Monatsanfang auch wieder ihr Gehalt am Konto haben - trotz Ferien, Feiertagen, Vanillekipferl und Punsch.

So ähnlich muss es wohl auch beim Flugzeugkomponentenhersteller FACC mit Sitz in Ried im Innkreis gewesen sein, als am 22. Dezember 2015 die erste von insgesamt 48 E-Mails in der Finanzabteilung auftauchte, gezeichnet mit dem Namen des CEOs Walter Stephan, der zu einer dringenden Zahlung für ein Geschäft in Fernost aufforderte.

Es war der Beginn des aufsehenerregendsten Cyberbetrugs in der österreichischen Wirtschaftsgeschichte. Der Mitarbeiter, den das E-Mail erreicht hatte, kam einige Mails später der Aufforderung nach und überwies die geforderte Summe. Es sollte nicht bei der einen Transaktion bleiben. Insgesamt 18 Mal kam er bis zum 13. Jänner 2016 den drängenden Forderungen nach, Geld auf Konten in Taiwan, China, Hongkong und der Slowakei zu überweisen. In Summe flossen so 54,34 Millionen Euro aus dem Unternehmen. Bis sich am 19. Jänner herausstellte, dass der Finanzmitarbeiter nicht auf E-Mails des Firmenchefs, sondern auf gefälschte Nachrichten von Betrügern reagiert hatte.

Obwohl sofort alle Hebel in Bewegung gesetzt wurden war der Großteil des Geldes bereits unwiederbringlich verloren. Insgesamt 41,9 Millionen Euro hatten die Betrüger mit dem "Fake President Fraud", ergaunert. Die Aufarbeitung der Geschehnisse kosteten dem Innviertler Unternehmen nochmals 1,7 Millionen Euro. Dabei stellte sich auch heraus, dass interne Richtlinien nicht beachtet worden waren. Beträge über 150.000 Euro hätten ohne die Unterschrift zweier Vorstände niemals überwiesen werden dürfen. Doch es war eben Weihnachten...

Im Visier der Hacker

FACC ist bei weitem nicht das einzige Unternehmen, in dem es Betrügern gelungen ist, mit Hilfe von Tricks und Vortäuschung falscher Identidäten oder Autoritäten Millionen zu ergaunern. Allerdings werden derartige Vorfälle in der Regel unter den Tisch gekehrt, zumindest nach außen. Intern gehen die Unternehmen natürlich der Schuldfrage nach und versuchen Antworten darauf zu finden, wie so etwas denn passieren konnte und wie man in Gottes Namen in Zukunft verhindern kann, dass etwas Ähnliches wieder geschieht.

Dabei sind Cyber-Angriffe auch auf Unternehmen - und auch auf österreichische - durchaus nichts Ungewöhnliches. Einer jüngsten Erhebung des Beratungsunternehmens EY zufolge war in den vergangenen fünf Jahren jedes zweite heimische Unternehmen zumindest einmal Opfer einer Cyber-Attacke. Wobei die Dunkelziffer laut EY noch wesentlich höher liegen dürfte - vor allem bei den kleineren Unternehmen, die oft nicht die Mittel oder das Know-how haben, um Angriffe überhaupt zu entdecken. Ein Indiz dafür ist, dass drei Viertel der Attacken durch interne Kontrollsysteme aufgeflogen sind, die es bei kleinen Unternehmen in der Form gar nicht gibt.

Doch auch komplexe Internet-Security-Einrichtungen bis hin zu Intrusion-Detection- und Prevention-Systemen können, wie das Beispiel der FACC zeigt, keinen effizienten Schutz bieten, wenn dann die Menschen Angreifern Tür und Tor öffnen. Es ist ein wenig wie in klassischen Vampierfilmen, in denen Räume mit Knoblauchzöpfen vollgehängt werden, um die Vampire fernzuhalten und dann das Opfer das Fenster öffnet, um Frischluft ins Zimmer zu lassen.

Die Tricks der Hacker

Eine Kette ist immer nur so stark wie ihr schwächstes Glied, und in einer Zeit, in der weltweit jährlich bereits knapp 100 Milliarden Euro für Internet-Security-Lösungen ausgegeben werden, ist das schwächste Glied oft der Mensch.

Mit Hilfe von Psycho-Tricks werden Menschen ausgenutzt und zu fahrlässigen Handlungen verleitet, die teuer angeschaffte Lösungen aushebeln. Es werden Befugnisse vorgetäuscht und Mitarbeiter geradezu zu bestimmten Handlungen gedrängt. In der Folge werden dann bereitwillig Firewalls deaktiviert, Passwörter oder andere persönliche Daten bekannt gegeben, Zugänge zu Rechnern eingeräumt, Dateien kopiert und verschickt oder schnell ein paar Ausdrucke gemacht und zur Abholung deponiert. Die Gauner müssen dann nur noch zugreifen und die bestellte Ware abholen.

Das Vortäuschen funktioniert auch mittels E-Mails und Webseiten prächtig. Zwar haben Phising-Mails, die Benutzer dazu verleiten sollen, Passwörter und im Idealfall auch Konto- oder Kreditkarteninformationen bekanntzugeben, schon einen ziemlichen Bart, aber sie funktionieren immer noch.

In wieder anderen Fällen bemühen sich die Cyber-Kriminellen, ihren Opfern in der Realität näher zu kommen, Sympathien aufzubauen und so ein Vertrauensverhältnis herzustellen, das in der Folge ausgenutzt wird. Etwa, indem sie "um einen kleinen Gefallen" bitten, ein Dokument auszudrucken und dann zum Beispiel mit Hilfe eines auf einem USB-Stick versteckten Computervirus das IT-System eines ganzen Unternehmens lahmlegen oder ein Programm einschleusen, das in der Folge persönliche Daten sammelt und für kriminelle Zwecke bereithält.

Schutz vor Social Hacking

Wer meint, dass es das nicht gibt, der sollte wissen, dass es einen hundertprozentigen Schutz vor Social Hacking und seinen Folgen niemals geben wird. Aber Unternehmen können natürlich entsprechend vorbauen und das Risiko minimieren. Besonders wichtig sind in diesem Zusammenhang laufende Informationen an die Mitarbeiter, Workshops und Schulungen, in denen über die möglichen Gefahren und den potenziellen Schaden für das Unternehmen - und damit für jeden einzelnen - aufgeklärt wird. Unwissenheit schützt bekanntlich nicht vor Schaden. Ganz im Gegenteil.

Aufzuräumen gilt es auch mit dem Irrglauben, dass es immer nur andere treffen könne, weil man selbst kein lohnendes Ziel sei. Die Realität ist, dass jeder Mensch und jeder Computer, jedes mit dem Internet verbundene Gerät ein lohnendes Ziel ist. Smartphones natürlich, aber auch Drucker, die ohne speziellen Schutz im Netzwerk hängen. Und sei es nur, um Spam-Mails zu verbreiten.

Der beste Schutz gegen Social Hacking ist jedoch wohl ein gesundes Misstrauen gegenüber allzu verlockenden Angeboten, gegenüber Versprechen und auch dem Drängen, in einer Situation nachzugeben und etwas zu tun, dass man sonst nicht tun würde. Selbst wenn man hofft, damit einen schnellen Ausweg aus einer unangenehmen Situation zu finden. Denn genau darauf warten die Gauner. Und dann würde es erst recht unangenehm.


Download

Whitepaper "Umfassende IT-Security trotz knapper Ressourcen"

Whitepaper "Umfassende IT-Security trotz knapper Ressourcen" Zum Download klicken Sie bitte auf die Abbildung.

Zum Download des Whitepapers klicken Sie bitte auf die Abbildung oder den untenstehenden Link.

  • IDC White Paper; sponsored by HP Inc.
  • September 2017
  • Autor: Nick Tahamtan
  • Download


In Kooperation mit HP

Interview
Otto Schell, Vorstand IoT-/Business Transformationen der Deutschsprachigen SAP-Anwendergruppe (DASG)

Digitalisierung: Vorwärts in die Zukunft

„Wir sollten lernen, die Digitalisierung ernst zu nehmen“

SAP-Anwender-Kongress der deutschsprachigen Anwendergruppe (DSAG)

Digitalisierung: Vorwärts in die Zukunft

Digitalisierung: „Wir brauchen einheitliche Datenmodelle“

Digitalisierung: Vorwärts in die Zukunft

Digitale Transformation: Wie bereit sind Unternehmen?