Lade Inhalt...

Wirksamkeit von Standardmaßnahmen gegen Social Engineering

Eine Analyse der Messbarkeit

Bachelorarbeit 2014 70 Seiten

Informatik - Wirtschaftsinformatik

Leseprobe

Inhaltsverzeichnis

1. Einleitung

2. Grundlagen
2.1. Advanced Persistent Threats: Die neue Bedrohung
2.2. Social Engineering: Der Mensch im Mittelpunkt
2.2.1. Eigenschaften von Social Engineering
2.2.2. Beispielfall: Die feindliche Firmenübernahme
2.2.3. Kevin Mitnick - Der bis heute bekannteste Social Engineer
2.2.4. Social Engineering Methoden und deren Typisierung
2.3. Standards und Standardmaßnahmen
2.3.1. Begriffsherkunft und Eigenschaften von Standards
2.3.2. Anforderungen an Standardmaßnahmen

3. Standardmaßnahmen gegen Social Engineering
3.1. Maßnahmen gegen Social Engineering
3.1.1. Maßnahmen gegen Social Engineering und deren Typisierung
3.1.2. Übereinstimmungsanalyse zum BSI-Grundschutz
3.1.3. Journal Impact Analyse
3.1.4. Definition von Standardmaßnahmen
3.2 Eigenschaften der Standardmaßnahmen gegen Social Engineering
3.2.1. Öffentliche Netzzugänge
3.2.2. Rechtevergabe auf Bedarfsbasis
3.2.3. Regelmäßige Awareness Trainings
3.2.4. Protokollierung des Datenverkehrs
3.2.5. Zentrale Meldestelle bei Angriffsverdacht
3.2.6. Notfallplan

4. Frameworks zur Wirksamkeitsmessung in der Informationstechnik
4.1. ISO/IEC 27004:
4.2. ISO/IEC 15408:
4.3. ISO/IEC 21827:
4.4. FIPS 140-
4.5. NIST SP 800-55 Revision 1

5. Gegenüberstellung der Frameworks

6. Fazit

Literaturverzeichnis vi

Anhang

A. Social Engineering Methoden

B. Maßnahmen gegen Social Engineering

C. Übereinstimmungsanalyse BSI-Grundschutz

D. Verteilungsmatrix: Übereinstimmung BSI Grundschutz Gesamt

E. Journal Impact Analyse

F. Maßnahmen-Ranking

Zusammenfassung. Nach den Veröffentlichungen der NSA Dokumente durch Ed- ward J.Snowden im Mai 2013 wurde die Informationssicherheit über Nacht zum publi- kumstauglichen Thema. Veröffentlichungen aller Arten befassten sich von Stund an mit der Frage, wie Privatsphäre geschützt werden könne. Dabei gab es zwei Schlagwörter, die zusammenfassend für alle Gefahren in einer zunehmend digitalisierten Welt verwendet wurden: Advanced Persistent Threat (APT) und Social Engineering (SE). Zu Beginn die- ser Arbeit werden diese Begriffe erläutert und differenziert. Anschließend wird analysiert, ob es Standardmaßnahmen gegen Social Engineering gibt und ob bzw. wie die Wirksam- keit solcher Maßnahmen gemessen werden kann. Dazu werden im ersten Schritt unter Berücksichtigung des Grundschutzkatalogs des Bundesamtes für Sicherheit in der Infor- mationstechnik (BSI) und einer Journal Impact Analyse Standardmaßnahmen gegen So- cial Engineering entwickelt. Anschließend werden ausgewählte Frameworks analysiert, die sich entweder mit Erfolgsmessung in der Informationstechnologie im Allgemeinen oder in der Informationssicherheit im Speziellen befassen.

Stichworte. Advanced Persistent Threat, Social Engineering, Standardmaßnahmen, Messbarkeit, Wirksamkeit, ISO/IEC 27004:2009, ISO/IEC 15408:2009, ISO/IEC 21827:2008, FIPS 140-2, NIST SP 800-55 Revision 1

Tabellenverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

Am 30.05.2013 veröffentlichte der Geheimdienstmitarbeiter Edward Joseph Snowden die ersten von zahllosen internen Dokumenten der National Security Agency (NSA).1 Wurde dem Thema Informationssicherheit zuvor kaum Beachtung geschenkt, so löste die Offen- legung der Überwachungspraktiken des U.S.-Auslandsgeheimdienstes einen regelrechten Sicherheitshype aus. Veröffentlichungen jeder Art, von Forschungsarbeiten bis zu Arti- keln in der Populärpresse, veröffentlichten Tipps, Tricks und Maßnahmen zum Schutz der Privatsphäre. Dabei wurde ein Schlagwort schnell zum Sammelbegriff allen Übels: Advanced Persistent Threats (APTs). Bei APTs handelt es sich um hoch spezialisierte Angriffe bzw. Angreifer, die unter wesentlichem Ressourceneinsatz ein bestimmtes Ziel so lange mit unterschiedlichen Methoden angreifen, bis das gewünschte Ergebnis erreicht ist.2 Zusätzlich wurde im Zusammenhang mit den APT Veröffentlichungen regelmäßig ein weiteres Schlagwort genannt: Social Engineering (SE). Landläufig wird SE als ein Vorgehen verstanden, bei der einem Opfer durch Vorspiegelung falscher Tatsachen Infor- mationen entlockt werden. Allerdings lassen einige Veröffentlichungen vermuten, dass es bei SE um weit mehr geht, als um einfache Manipulation.3 Wie bei den Veröffentlichun- gen zum Thema APTs wurden auch zum Thema SE Maßnahmenkataloge veröffentlicht, die besonders Unternehmen die Möglichkeit geben sollten, ihre Informationsinfrastruk- tur (IIS) zu schützen. Aufgrund der Flut von Veröffentlichungen ist es heute schwierig ge- worden, diejenigen Maßnahmen auszuwählen, die am besten zum Schutz der eigenen IIS geeignet sind. Bei Auswahlentscheidungen stehen in der Regel ähnliche Fragen im Zen- trum des Interesses: Was muss geschützt werden, gegen wen oder was muss es geschützt werden, welche Maßnahmen sind am besten für den Schutz gegen welche Gefährdung ge- eignet, was kostet die Umsetzung einer Maßnahme, welche Maßnahmen sind üblich und woher weiß man, ob die Umsetzung einer Maßnahme überhaupt eine Wirkung auf die Angreifbarkeit der IIS hat? Die letzten beiden Fragen steht im Mittelpunkt dieser Arbeit: Gibt es übliche Maßnahmen gegen SE (sogenannte Standardmaßnahmen) und wie kann die Wirksamkeit der Umsetzung dieser Maßnahmen gemessen werden?

Zur Beantwortung dieser Fragen ist die vorliegende Arbeit wie folgt aufgebaut: Zu- nächst werden in Kapitel 2 die Begriffe Advanced Persistent Threat und Social Enginee- ring erläutert und in Zusammenhang gebracht. Zur Verdeutlichung der vielfältigen Teila- spekte von SE wird ein Beispielfall entworfen, der aufzeigt, wie kleinste Informationen dazu beitragen können, einen Social Engineer an sein Ziel zu bringen. Anschließend wer- den gängige Methoden und die Anforderungen an Standardmaßnahmen beschrieben. Im Anschluss werden in Kapitel 3 Standardmaßnahmen gegen SE definiert. Die Definition erfolgt in drei Schritten. Im ersten Schritt werden auf Grundlage der Veröffentlichungen von Kevin Mitnick, dem bis heute bekanntesten Social Engineer, Methoden und Maßnah- men zur Reduzierung der Angreifbarkeit durch Social Engineering aufgezeigt. Die aus den Veröffentlichungen erlangten Erkenntnisse werden durch weitere Quellen untermau- ert. Darauf folgt eine Übereinstimmungsanalyse der Maßnahmen mit den Maßnahmen des durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Grundschutzkatalogs (genannt: BSI Grundschutz). Auf diese Weise wird sichergestellt, dass ausschließlich grundsätzlich wirksame Maßnahmen betrachtet werden. Abschlie- ßend werden im Rahmen einer Journal Impact Analyse Veröffentlichungen aus den Jahren 2010 bis 2014 auf die Häufigkeit der Nennnung der Maßnahmen hin analysiert. Im Ergeb- nis werden je Maßnahmentyp diejenigen Maßnahmen als Standardmaßnahmen definiert, die von den meisten Maßnahmen des BSI Grundschutzes gestützt und am häufigsten in der Literatur genannt werden. Beide Eigenschaften werden dabei gleich gewichtet. In Ka- pitel 4 werden dann verschiedene Frameworks zur Messung von Wirksamkeiten in der Informationssicherheit beschrieben und auf ihre Anwendbarkeit im Kontext dieser Arbeit hin untersucht. Den Abschluss bilden die Zusammenfassung der Ergebnisse in Kapitel 5 und das Fazit in Kapitel 6.

2. Grundlagen

2.1. Advanced Persistent Threats: Die neueBedrohung

Der Begriff ‘Advanced Persistent Threat‘ als Sammelbegriff für neue Gefährdungen ist seit einigen Jahren regelmäßig in Publikationen zum Thema Informationssicherheit zu finden. Dennoch tut sich die Sicherheitsgemeinschaft schwer, global gültige Eigenschaf- ten von APTs zu definieren.4 Der einzige Konsens, der derzeit in der Literatur zu finden ist ist, dass es keinen Konsens gibt.5 Einige Autoren gehen sogar so weit zu fordern, dass die Eigenschaften von APTs überhaupt nicht definiert werden sollten. Begründet wird diese Forderung damit, dass eine Definition zu einer Art Betriebsblindheit führen könne und daraus resultierend neue Gefahren, die nicht unter die gewählte Definition fallen, un- beachtet bleiben würden. Der Umfang des Gefährdungstyps APT solle vielmehr regelmä- ßig kritisch betrachtet und hinterfragt werden, um der jeweils aktuellen Gefährdungslage gerecht zu werden.6 Ungeachtet der herrschenden Uneinigkeit gibt es drei Definitionsten- denzen.

Angriffsart Bei dem Ansatz, APTs anhand der Angriffsart zu definieren, wird der Be- griff Advanced Persistent Threat in seine Bestandteile zerlegt und über die Bedeu- tung der Teilaspekte definiert. ‘Advanced‘ beschreibt dabei die Eigenschaft, dass ein Angreifer über wesentliche finanzielle und personelle Ressourcen verfügt. ’Persis- tent’ beschreibt die Eigenschaft, dass ein Angreifer geduldig auf eine Schwachstel- le in der Sicherheitsinfrastruktur wartet. Das Warten kann sich über Wochen oder sogar Monate hinziehen. Darin unterscheiden sich APTs deutlich von herkömm- lichen Angreifern bzw. Angriffen. ‘Threat‘ steht für den Angreifer an sich. Dabei wird nach geographischer Herkunft (u.a. China, Russland und USA) und/ oder nach der Art (u.a. staatliche Organisationen oder auch dem organisierten Verbrechen) un- terschieden.7

Angreiferherkunft Die Verfechter der Defintionsfindung anhand der Angreiferherkunft führen regelmäßig die Chinese People’s Liberation Army Unit 61398 als APT 1 (erster APT der Geschichte) an. Die durch die Volksrepublik China gegründete Or- ganisation geriet erstmals im Jahr 2006 in das Interesse der U.S.-amerikanischen Behörden. Die Einheit wurde dadurch bekannt, dass sie unter Nutzung staatlicher Ressourcen private und staatliche Netzwerke in den USA angriff, um Firmen- und Staatsgeheimnisse zu stehlen.8

Marketingargument Einige Veröffentlichungen beschreiben Advanced Persistent Thre- at als ein Schlagwort (’Buzzword’), das lediglich dazu dienen soll, Unternehmen und private Anwender in Panik zu versetzen und hohe Summen in die Absicherung ihrer Informationen bzw. ihrer Privatsphäre zu investieren.9

Abgesehen von den Befürwortern der Definition ’Marketingargument’ scheint trotz aller Uneinigkeit Einigkeit darüber zu bestehen, dass die Methoden von APTs weit über das Ausnutzen einzelner Sicherheitslücken oder den Einsatz bestimmter Technologien hin- ausgehen.10 Es handelt sich vielmehr um eine reale Gefahr in einer digitalen Welt, die sowohl Unternehmen als auch Privatanwender einer möglichen Spionage durch hoch ver- sierte Angreifer aussetzt und keinem typischen Angriffsmuster folgt.11

2.2. Social Engineering: Der Mensch im Mittelpunkt

2.2.1. Eigenschaften von Social Engineering

Während die Bedrohung ’Advanced Persistent Threats’ in den letzten Jahren immer häufi- ger diskutiert und analysiert wurde, erlebte noch ein weiteres Schlagwort eine vergleich- bare Entwicklung: Social Engineering. Ähnlich wie bei APTs gibt es auch hier unter- schiedliche Ansichten über die zu Grunde liegenden Eigenschaften. Das erste Mal wurde der Begriff ’Social Engineering’ Anfang der 1990er Jahre publik, als der bis heute be- kannteste Social Engineer und zu der Zeit gefürchtete Hacker, Kevin Mitnick, die Straf- vollzugsbehören der Vereinigten Staaten über Jahre in Atem hielt (mehr dazu in Kapi- tel 2.2.3).12 Trotzdem ist die Tätigkeit an sich schon deutlich älter. Schon die Bibel be- richtet, wie die Schlange Eva durch Täuschung dazu bringt den Apfel zu essen, weshalb sie und Adam aus dem Paradies verbannt werden. Allerdings wird der Begriff erst seit den 1990er Jahren in unterschiedlichen Zusammenhängen verwendet. Hadnagy 2014 be- schreibt SE als grundsätzlich missverstandene Kunst, was dazu führe, dass die Meinungen über die Natur der Sache weit auseinander gehen würden. Für die einen bestehe SE dar- in, durch einfaches Lügen Vorteile zu erlangen, während es für die anderen das komplexe Zusammenspiel verschiedener Fertigkeiten sei, die es einem Social Engineer ermöglichen würden, andere zu einem von ihm erstrebten Handeln zu bewegen.13 Das BSI beschreibt SE als

” [...] eine Methode, um unberechtigten Zugang zu Informationen oder IT- Systemen durch ’Aushorchen’ zu erlangen.”14

Hadnagy 2014 andererseits definiert SE als den Akt, eine Person zur Ausführung einer Handlung zu manipulieren, die vielleicht, vielleicht aber auch nicht, im besten Interesse des Ziels ist. Damit schafft er eine Definition, die SE nicht als ausschließlich illegale Tä- tigkeit beschreibt. Neben Akteuren, die Social Engineering zu kriminellen Zwecken ein- setzen, nennt er Verkäufer und Ärzte als typische Anwender der Methoden. Während der Verkäufer einen potentiellen Kunden dahingehend manipuliert, ein bestimmtes Produkt zu kaufen, kann ein Arzt durch Manipulation möglicherweise erreichen, dass ein Pati- ent einen gesünderen Lebenswandel anstrebt.15 Unabhängig davon, wie der Wortlaut und Umfang einer Definition gewählt wird, ist das gemeinsame Element aller Definitionen von SE die Manipulation eines Ziels.16 Setzt ein Social Engineer neben seinen Manipulations- fähigkeiten zusätzlich technische Hilfsmittel zu destruktiven Zwecken ein, vervielfältigt sich die Wirkung des Angriffs. In diesem Fall muss auch die Abwehr auf menschlicher und technischer Ebene erfolgen.17 Social Engineers verfügen meist über erhebliche Mittel und Fertigkeiten, die sie einsetzen, um ihr Ziel zu erreichen. Das entspricht den allgemei- nen Eigenschaften von APTs. Eine Untersuchung aus dem Jahr 2011 hat ergeben, dass 64 Prozent der APT Angriffe im Jahr 2010 Social Engineering Methoden verwendet ha- ben und Social Engineering damit einen essenziellen Bestandteil von Advanced Persistent Threats darstellt.18 Dieses Ergebnis wurde im Jahr 2013 im Rahmen einer Untersuchung bestätigt, die SE als ein zentrales Element von APTs identifiziert hat.19 Im Folgenden wird SE als die Gesamtheit der durch einen Social Engineer zur Verfolgung illegaler Zie- le verwendeten Methoden verstanden. Diese Definition verdeutlicht, dass es sich bei SE nicht um eine einzelne Methode, sondern um ein ganzheitliches Vorgehen handelt.

2.2.2. Beispielfall: Die feindliche Firmenübernahme

In der Mitte des Sommerquartals veranstaltet ein börsennotiertes Großunternehmen aus der Automobilbranche ein Sommerfest für Mitarbeiter, Freunde und Familien. Bisher wurden solide Gewinne erwirtschaftet und so herrscht ausgelassene Stimmung. Alle freu- en sich schon jetzt auf die Verkündung der Geschäftszahlen am Quartalsende und die damit verbundenen erwarteten Kursgewinne, da das Vergütungsmodell der Firma unter anderem eine Aktienoption umfasst. Am späten Abend wird der Chief Financial Offi- cer (CFO) von einer jungen Frau in ein Gespräch verwickelt. Sie gibt sich als Mitar- beiterin der Marketingabteilung aus und zeigt sich interessiert an seiner Arbeit. Da sie einen Firmenausweis trägt besteht kein Grund dazu, ihre Geschichte anzuzweifeln. Nach einem langen Gespräch verleiht sie ihrem Wunsch Ausdruck, sein Büro zu besichtigen. Während der Besichtigung erhält er einen Anruf von einem wichtigen Kunden und lässt sie für kurze Zeit alleine in seinem Büro zurück. Nach seiner Rückkehr verabschiedet sie sich mit der Begründung, dass ihr Kind zu Hause warte und verspricht, sich bald zu melden. Am nächsten Tag macht sich der CFO Gedanken darüber, dass er die Frau in seinem Büro alleine gelassen hat. Da aber nichts fehlt und keine weiteren Konsequenzen auftreten, vergisst er die Begegnung. Kurz vor Quartalsende setzen dann plötzlich anhal- tende Leerverkäufe ein. Bis zu diesem Zeitpunkt waren die Kurse konstant geblieben, da die steigenden Gewinne aus dem ersten Halbjahr noch nicht veröffentlicht worden waren. Nachdem der Kurs auf ein historisches Tief gesunken ist, übernimmt eine Investorengrup- pe die Firma. Was ist geschehen?

Die junge Frau war ein von der Investorengruppe angeheuerter Social Engineer mit dem Auftrag, die aktuellen Geschäftszahlen des Unternehmens zu beschaffen. Nachdem sie über den XING-Auftritt des Unternehmens von dem Sommerfest erfahren hatte, benötigte sie einen Unternehmensausweis, um sich glaubwürdig als Mitarbeiterin ausgeben zu kön- nen. Daher verbrachte sie einige Mittagspausen in Cafés und Restaurants im Umkreis der Hauptniederlassung und machte versteckte Aufnahmen von Mitarbeitern, die Ihre Aus- weise offen trugen. Einen authentisch-aussehenden Ausweis mit Photoshop nachzubilden war dann kein Problem mehr. Am Abend des Sommerfestes erreichte sie das Firmenge- lände spät und sprach nach einiger Zeit gezielt den CFO an. Seinen Namen hatte sie zuvor von der Unternehmenswebsite erfahren und hatte sich anschließend über sein Facebook- Profil ein Bild von seinem Charakter und seinen Vorlieben gemacht. Da das Opfer schon einige Gläser Wein getrunken hatte, war es für die junge Frau mit Kenntnissen seiner Vor- lieben ein Leichtes, Zutritt zu seinem Büro zu gewinnen. Dort angekommen schickte sie eine Nachricht an einen Komplizen, der das Opfer unter Nutzung einer App für Caller-ID Spoofing (dem Fälschen der in der Rufnummernerkennung angezeigten Rufnummer) an- rief und sich für einen wichtigen Kunden ausgab. Nachdem er den Raum verlassen hatte, konnte sie einen Hardware-Keylogger (ein Gerät zum versteckten Aufnehmen von Tasta- turanschlägen, die dann über das Internet versendet werden) installieren, über den sie in den nächsten Wochen alle eingegebenen Passwörter abfing. Nachdem der Geschäftsbe- richt auf dem Rechner gespeichert worden war, kopierte sie ihn und übergab ihn an die Investorengruppe, die kurz vor Veröffentlichung der positiven Geschäftsentwicklung den Aktienkurs durch Leerverkäufe drückte und so das Unternehmen übernehmen konnte.

2.2.3. Kevin Mitnick - Der bis heute bekannteste Social Engineer

Anfang der 1990er Jahre ging der Name eines Hackers durch die internationale Presse, der die Strafvollzugsbehörden der Vereinigten Staaten über Jahre in Atem hielt: Kevin Mitnick. Dem über ein Jahrzehnt hinweg als World’s Most Wanted Hacker bekannten Kriminellen gelang es, in die Informationsinfrastruktur vieler großer staatlicher und nicht- staatlicher Institutionen einzudringen. Den Höhepunkt seiner Berühmtheit erreichte er, als bekannt wurde, dass es ihm mehrfach gelungen war, sich durch den Einsatz von Social Engineering Methoden Zugang zum Pentagon in Washington DC zu verschaffen.20 Nach seiner Verhaftung im Jahr 1999 wurde er zu vier Jahren Gefängnis verurteilt, und erhielt zusätzlich die Auflage, drei Jahre nach seiner Entlassung weder Coumputer noch Handys nutzen zu dürfen.21 In seiner Autobiographie ‘Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker‘ beschreibt er, wie er unter Ausnutzung der Schwachstelle Mensch unter anderem in die Systeme von Sun Microsystems, Digital Equipment und in die Systeme zahlloser Telekommunikationsanbieter eindringen konnte.22 Heute ist Kevin Mitnick ein gefragter Sicherheitsexperte, der neben seiner Funktion als Chief Executive Officer (CEO) und Chief ’White Hat’ Hacker der von ihm gegründeten Sicherheitsbera- tung mitnicksecurity.com als Redner und Autor tätig ist. Den Titel ’The World’s Most Famous Hacker’ führt er weiterhin als erste Qualifikation in seinem LinkedIn Profil.23 Wie in Kapitel 2.2.1 erläutert, ist es derzeit nicht möglich, die Eigenschaften und Metho- den von SE allgemeingültig zu definieren. Daher bilden die Veröffentlichungen von Mit- nick, ‘The Art of Deception‘ 24 und ’The Art of Intrusion’ 25 die Grundlage zur Analyse der gängigen Methoden und der Maßnahmen, die gegen die Methoden getroffen werden können. Die aus diesen Veröffentlichungen erlangten Erkenntnisse werden auf Grundlage weiterer Quellen verifiziert und auf ihre Machbarkeit hin analysiert.

2.2.4. Social Engineering Methoden und deren Typisierung

Obwohl die Meinungen über die Natur von Social Engineering auseinander gehen, finden sich in der Literatur zwei grunsätzliche Methodentypen.

P ersönliche Methoden/ Personenbezogene Täuschung Eine Methode wird als per- sönlich klassifiziert, wenn sie eine Vor-Ort Präsenz des Angreifers erfordert.26 Bei diesem Vorgehen gibt sich der Angreifer z.B. als Mitarbeiter eines anderen Stand- ortes oder als Techniker eines Serviceunternehmens aus, um sich Zugang zu Lie- genschaften und IISs zu erschleichen. Dabei nutzt er sogenannte ’Candy Securi- ty’ aus. Der Begriff Candy Security beschreibt ein Sicherheitsperimeter, das ein Eindringen von außen zwar erschwert, einem internen Nutzer aber umfangreiche Rechte einräumt (sinngemäße Übersetzung: Harte Schale, weicher Kern). Ist ein Angreifer erst einmal in das Innere eines Unternehmens gelangt, kann er sich frei bewegen.27 Ein Vorteil persönlicher Methoden ist die Möglichkeit, durch ein klug gewähltes Erscheinungsbild und bestimmte non-verbale Verhaltensweisen einen persönlichen Bezug zum Opfer aufzubauen. Andererseits steigt durch seine An- wesenheit das Risiko, enttarnt und in Gewahrsam genommen zu werden.28

Unpersönliche Methoden/ Technologie-basierte Täuschung Eine Methode wird als unpersönlich klassifiziert, wenn der Angreifer Informations- und Kommunikations- technik (IKT) einsetzt.29 Dabei ist die Wahl des Mediums nebensächlich. Ein An- ruf gilt ebenso als unpersönliche Methode wie Spearphishing, eine gezielte Form des Phishings. Beim Phishing werden E-Mails mit mit Schadprogrammen infizier- ten Anhängen oder Links auf infizierte Websites an viele Empfänger versendet.30 Durch die Menge der versandten E-Mails ist eine Erfolgsquote im Prozent oder sogar im Promille Bereich ausreichend.31 Beim Spearphishing erhalten nur Mitar- beiter eines Unternehmens, einer Abteilung oder einzelne Personen E-Mails mit auf ihre Interessen abgestimmten Inhalten.32 Im Vergleich zu den persönlichen Metho- den bilden die Vorteile des einen Typs die Nachteile des anderen und vice versa. Einem Angreifer ist es kaum möglich, einen persönlichen Bezug zum Opfer auf- zubauen. Dafür reduziert sich im Gegenzug die Gefahr, enttarnt und in Gewahrsam genommen zu werden.33

Diese Form der Typisierung bietet nur wage Anhaltspunkte zur Unterscheidung von Me- thoden. Eine granularere Typisierung ist aber notwendig, um die Wirksamkeit von Maß- nahmen (-gruppen) gegen bestimmte Methoden analysieren zu können. Obwohl sich in der Fachliteratur unterschiedliche Ansätze finden, unterscheiden sich die meisten Vorge- hensweisen nur in der Wortwahl von der oben genannten. Nur das Bundesamt für Sicher- heit in der Informationstechnik (BSI) unterscheidet in seinem Grundschutzkatalog, dem derzeit umfangreichsten Werk zu Gefährdungen in der IKT und Maßnahmen, mit denen die Gefährdungen reduziert werden können, zwischen sieben Maßnahmentypen.34 Die- se Typisierung wird auf Grund des Potentials zur Differenzierung in angepasster Form im Folgenden verwendet. Dabei werden Methoden und Maßnahmen gleichermaßen typisiert. Dadurch soll es möglich werden zu untersuchen, ob Maßnahmen des Typs X (z.B. Typ Infrastruktur) die Gefährdung durch Methoden des Typs X grundsätzlich reduzieren, oder ob zur Reduzierung der Gefährdung durch Methoden des Typs X Maßnahmen der Ty- pen X, Y und Z umgesetzt werden sollten. Die Gefährdung entspricht dabei jeweils dem Produkt aus Eintrittswahrscheinlichkeit und potentieller Schadenshöhe.35 Im Folgenden werden die Methodentypen und einige in der Praxis verwendete Methoden genannt und erläutert. Eine umfassendere Liste der Methoden findet sich in Anhang A.

Infrastruktur Die möglicherweise bekannteste Methode, Schwachstellen der physischen Infrastruktur auszunutzen, ist das Fälschen von Zugangsberechtigungen. Im Zeital- ter von Programmen zur Bildbearbeitung wie Photoshop ist es selbst für Amateu- re ein Leichtes, das Erscheinungsbild von Zugangsberechtigungen, wie z.B. Mit- arbeiterausweisen oder Veranstaltungseinladungen, nachzubilden.36 Gibt es keine elektronische Zugangsüberwachung und ist der Wachdienst unaufmerksam, kann ein Angreifer ungehindert die Liegenschaft betreten. Im Falle einer elektronischen Zugangsüberwachung greift die nächste Methode, das sogenannte ‘Piggybacking‘ (sinngemäße Übersetzung: Huckepack genommen werden). Dabei schließt sich der Angreifer einer Gruppe von zutrittsberechtigten Personen an, die Liegenschaft be- treten und setzt darauf, dass ein anderer seine Zutrittskarte nutzt.37

Organisation Eine häufig zitierte Methode dieses Typs ist das sogenannte ‘Dumpster- diving‘ (sinngemäße Übersetzung: Tauchen in Mülleimern). Dabei durchsucht der Angreifer den Müll des Ziels in der Hoffnung, für ihn relevante Informationen zu finden, die nicht korrekt entsorgt worden sind (z.B. nicht geshreddert wurden).38

Relevante Informationen können Ausdrucke sensibler Daten, aber auch interne Te- lefonlisten und Organigramme sein, die dem Angreifer dabei helfen, sich glaub- würdig als Stakeholder des Ziels auszugeben.39

Personal Einige Definitionen von Social Engineering umfassen ausschließlich Metho- den dieses Typs. Dabei wird der Faktor Mensch als zentrales Sicherheitsrisiko be- trachtet, da sich kein anderer Faktor so einfach manipulieren lässt wie der Mensch.40 Das Methodenspektrum umfasst unter anderem die Einschüchterung von Mitar- beitern, das Schaffen von Schuldverhältnissen und das Ausnutzen von Hilfsbereit- schaft, aber auch den klassischen Identitätsdiebstahl.41

Hard- und Software Die Methoden des Typs Hard- und Software bilden die technische Basis für alle unpersönlichen Methoden. Viele Methoden setzen auf die Nutzung von Schadprogrammen [Malware = Zusammengesetzter Begriff aus den englischen Wörtern ‘malicious‘ (schlecht) und Software].42 Laut des Cisco Annual Security Reports 2014 fielen zuletzt 64 Prozent der verbreiteten Malware auf Trojaner, ge- folgt von Adware mit 20 Prozent, Würmern mit acht Prozent und Viren mit vier Prozent.43 Eine weitere Methode des Typs Hard- und Software ist das Caller ID Spoofing. Dabei wird die Anrufer ID gefälscht und dem Angerufenen vorgegau- kelt, er würde mit einem vertrauenswürdigen Gesprächsteilnehmer, beispielsweise einem Mitarbeiter der Personalabteilung, sprechen.44

K ommunikation Die Methoden dieses Typs sind darauf ausgerichtet, Schwachstellen im Umgang mit Informationen und in der internen Kommunikation auszunutzen. Im Mittelpunkt steht dabei der Wert, der Informationen von den Mitarbeitern bei- gemessen wird. Ist einem Mitarbeiter der Wert einer Information nicht bekannt, gibt er diese möglicherweise aus Hilfsbereitschaft weiter, ohne den Grund einer Anfra- ge zu hinterfragen. Dieses Vorgehen wird als die Methode der scheinbar harmlosen Informationen bezeichnet.45

Notfallvorsorge Der BSI Grundschutzkatalog benennt einen weiteren Typ, die Notfall- vorsorge. Da sich aber in der Literatur keine Methoden dieses Typs finden, wird er erst wieder in Kapitel 3 bei der Maßnahmenfindung betrachtet.

2.3. Standards und Standardmaßnahmen

2.3.1. Begriffsherkunft und Eigenschaften von Standards

Um Standardmaßnahmen gegen Social Engineering definieren zu können, werden im fol- genden Kapitel die Eigenschaften von Standards näher beleuchtet. Das Wirtschaftslexikon Gabler definiert Standards folgendermaßen:

“Typenmuster, Klassenmuster; Ausfallmuster für Kaufabschlüsse, die die Durch- schnittsqualität einer bestimmten Warentype darstellen, festgelegt durch Stan- dardisierung, [. . . ]“ 46

Diese Definition wird vom Duden um eine Reihe von Synonymen erweitert, darunter “auf einen Nenner bringen“, “eichen“, “einheitlich festlegen“, “vereinheitlichen“ und “nor- mieren“.47 Normen werden von Gabler in Rechts- und technische Normen unterschie- den. Rechtliche Normen werden auch als De-Jure-Normen/ -Standards bezeichnet. Sie sind Standards im juristischen Sinne.48 Den Gegensatz von De-Jure-Standards bilden De- Facto-Standards, die von Gabler wie folgt definiert werden:

“Ein nicht von einer offiziellen Standardisierungsorganisation definierter Stan- dard, der sich über die Jahre seiner Nutzung als sinnvoll erwiesen hat und aufgrund seiner Verbreitung gleichwohl weitgehend eingehalten wird. Viele De-Facto-Standards werden später durch internationale Standardisierungsor- ganisationen aufgenommen und in einen offiziellen Standard überführt.“ 49

In der Technologiebranche spielen De-Facto-Standards eine wichtige Rolle. Aufgrund ty- pischerweise kurzer Produktlebenszyklen ist es meist nicht möglich, De-Jure-Standards in einem angemessenen zeitlichen Rahmen den Anforderungen des Marktes anzupassen. Es entstehen so genannte Best Practices. Das Oxford Dictionary beschreibt Best Practices als kommerzielle oder professionelle Prozesse, die allgemein anerkannt sind und sich als kor- rekt oder besonders effektiv erwiesen haben.50 Ein verbreiteter De-Facto-Standard ist die IT Infrastructure Library in der dritten Version (ITIL v3). Ursprünglich wurde ITIL von der britischen Central Computer and Telecommunications Agency (CCTA) entwickelt, um das Office of Government Commerce (OGC) bei der Modernisierung des Einkaufs und der IT Services zu unterstützen. Heute hat sich ITIL auf Grund seiner Effektivität weltweit als De-Facto-Standard im IT Service Management durchgesetzt.51

2.3.2. Anforderungen an Standardmaßnahmen

Der Begriff ’Standardmaßnahme’ stammt ursprünglich aus dem Polizeirecht und beschreibt

” [. . . ] bestimmte polizeiliche Maßnahmen, die wegen der Häufigkeit ihrer Anwendung und der Typizität ihrer Eingriffswirkung in Grundrechte einer über die polizeiliche Generalklausel hinausgehenden besonderen gesetzli- chen Regelung zugeführt wurden.“ 52

Heute wird die Bezeichnung ‘Standardmaßnahme‘ umgangssprachlich für Maßnahmen verwendet, die De-Facto-Standards darstellen. Auf Grundlage der polizeirechtlichen De- finition von Standardmaßnahmen und den Definitionen von Standards, Normen und De- Facto-Standards in Kapitel 2.2.4 gilt eine Maßnahme als Standardmaßnahme im Sinne dieser Arbeit, wenn sie die im Folgenden beschriebenen Eigenschaften aufweist.

Nachweisbar wirksam Die Eigenschaft der nachweisbaren Wirksamkeit ist die Eigen- schaft, die jedes Vorgehen erfüllen muss, um grundsätzlich als Maßnahme zu gel- ten. Ist ein Vorgehen nicht wirksam, ist es weder als Standardmaßnahme noch als Maßnahme im Allgemeinen zu werten.

Allgemein anerkannt Um als Standardmaßnahme zu gelten, muss eine Maßnahme in der Fachwelt allgemein anerkannt sein. Als Richtwert gilt, dass ein wesentlicher Anteil der Fachwelt den Nutzen einer Maßnahme anerkennt. Es bedeutet nicht, dass die Maßnahme von der gesammten Fachwelt anerkannt werden muss.

Reproduzierbar strukturiert Reproduzierbarkeit ist eine Grundanforderung an alle wis- senschaftlichen Methoden. Kann ein Experiment (oder im Kontext dieser Arbeit die Umsetzung einer Maßnahme) nicht reproduziert werden, ist der Grund für das er- zielte Ergebnis nicht erkennbar. Er kann in der gewählten Methodik begründet oder das Resultat äußerer Einflussfaktoren sein.

Regelmäßig verwendet Neben der nachweisbaren Wirksamkeit, der allgemeinen An- erkennung und der reproduzierbaren Struktur sollte eine Maßnahme regelmäßig verwendet werden, um als Standardmaßnahme zu gelten. Als Richtwert gilt die Häufigkeit der Nennung einer Maßnahme in fachlich relevanten Medien. Ein Bei- spiel für eine Maßnahme, die diese Anforderung nicht erfüllt, ist das Abschalten des Internetzugangs. Die Wirksamkeit ist offensichtlich. Dennoch wird diese Maßnah- me selten Anwendung finden, da die meisten IKT Systeme einen Internetzugang benötigen, um ihr volles Potential zu entfalten.

3. Standardmaßnahmen gegen SocialEngineering

3.1. Maßnahmen gegen Social Engineering

3.1.1. Maßnahmen gegen Social Engineering und derenTypisierung

Die Entwicklung der Maßnahmentypen und Maßnahmen erfolgt auf Basis der in Kapitel 1 genannten Quellen. Erachtet man Kevin Mitnick als Autorität auf dem Gebiet des Soci- al Engineerings ist davon auszugehen, dass die von ihm vorgeschlagenen Maßnahmen grundsätzlich gegen eine oder mehrere Methoden wirksam sind. Dadurch wird die erste in Kapitel 2.3.2 definierte Anforderung an Standardmaßnahmen, die nachweisbare Wirk- samkeit, erfüllt. Um den Rahmen dieser Arbeit nicht zu überziehen, wird an dieser Stelle nur die Methodik zur Unterscheidung von Maßnahmentypen und Maßnahmen erläutert. Eine vollständige Übersicht aller betrachteter Maßnahmen findet sich in Anhang B. Die in Kapitel 3.1 ermittelten Standardmaßnahmen werden in Kapitel 3.2 ausführlich beschrie- ben. Die Typisierung der Maßnahmenarten gegen Social Engineering erfolgt strukturana- log zur Typisierung der Methoden in Kapitel 2.2.4. Die verwendeten Typen unterscheiden sich nur in sofern voneinander, dass nun zusätzlich der zuvor unbeachtete Typ ‘Notfall- vorsorge‘ verwendet wird. Die Maßnahmen werden im Kontext dieser Arbeit in ’Policies’ und ’Prozesse’ unterschieden. Diese Unterscheidung ist sinnvoll, da sie einen Rückschluss darauf zulässt, ob Maßnahmen besonders wirksam sind, wenn sie schriftlich festgehalten und für alle Mitarbeiter verbindlich oder in die Prozesse des Unternehmens integriert wer- den. Policies und Prozesse werden wie folgt unterschieden.

Policy Der Begriff ’Policy’ stammt aus dem Englischen und wird vom PONS Wörter- buch mit Strategie oder Grundsatz übersetzt.53 Bezogen auf IKT beschreiben Po- licies unternehmensweite Richtlinien im Umgang mit Technologie. Die Kernfrage, die eine Policy beantworten sollte lautet: Wie soll etwas gemacht werden?

Prozess Ein Prozess beschreibt die

”[. . . ] Gesamtheit aufeinander einwirkender Vorgänge innerhalb eines

Systems.”54

Bezogen auf IKT beschreiben Prozesse die technische Unterstützung der Arbeits- abläufe in einem Unternehmen. Die Kernfrage im Zusammenhang mit Prozessen lautet: Was soll in welcher Reihenfolge gemacht werden?

Im Rahmen der Analyse wurden 39 Maßnahmen gegen im Social Engineering übliche Methoden identifiziert. Dabei waren 6 dem Typ ’Infrastruktur’, 5 dem Typ ’Organisation’, 7 dem Typ ’Personal’, 11 dem Typ ’Hard- und Software’, 8 dem Typ ’Kommunikation’ und 2 dem Typ ’Notfallvorsorge’ zuzuordnen.

3.1.2. Übereinstimmungsanalyse zum BSI-Grundschutz

Die Übereinstimmungsanalyse mit dem BSI Grundschutzkatalog dient der Erfüllung zwei weiterer Anforderungen an Standardmaßnahmen aus Kapitel 2.3.2, der allgemeinen An- erkennung und der regelmäßigen Verwendung. Das Bundesamt für Sicherheit in der Infor- mationstechnik ist als nationale Sicherheitsbehörde in Deutschland für die Belange der In- formationssicherheit zuständig.55 Der BSI Grundschutz ist die zentrale Veröffentlichung zu Risiken in der Informationstechnik und zu der Implementierung von Sicherheitsmaß- nahmen. Durch die zentrale Rolle des BSI Grundschutzes darf angenommen werden, dass alle dokumentierten Maßnahmen sowohl allgemein anerkannt sind, als auch dass sie re- gelmäßig Verwendung finden. Ziel der Übereinstimmungsanalyse ist es zu ermitteln, wel- che Maßnahmen des BSI Grundschutzes Maßnahmen gegen Social Engineering entweder vollständig oder teilweise wiedergeben. Jede in Frage kommende BSI Maßnahme wurde jeweils nur einer SE Maßnahme zugeordnet, nämlich derjenigen mit der größten inhalt- lichen Übereinstimmung. Der BSI Grundschutz gliedert die Maßnahmen in M1 bis M6, wobei M1 für Maßnahmen des Typs Infrastruktur steht, M2 für Organisation, M3 für Per- sonal, M4 für Hard- und Software, M5 für Kommunikation und M6 für Notfallvorsorge. Tabelle 1 fasst die Verteilung der inhaltlichen Übereinstimmungen von BSI Maßnahmen und den entwickelten Maßnahmen gegen SE zusammen. Die Ergebnisse der Gesamtana- lyse finden sich in Anhang D. Wie erwartet existieren zu vielen der entwickelten Maßnah- men Parallelen im Grundschutz. Interessant ist aber, dass Maßnahmen im Bereich Hard- und Software durch eine große Anzahl organisatorischer Maßnahmen abgedeckt werden (54 Maßnahmen aus dem Bereich M2 könnten über Maßnahmen des Typs Hard- und Software abgedeckt werden). Dieses Ergebnis widerspricht dem Grundsatz, dass zum Er- reichen eines größt möglichen Maßes an Sicherheit all das automatisiert werden sollte, was automatisiert werden kann.56 Darüber hinaus ist die Verteilung der Maßnahmen an sich von Bedeutung. Es findet sich bei keinem Maßnahmentyp eine vollständige Über- einstimmung. Da die Maßnahmen gegen SE bezugnehmend auf die gängigen Methoden entworfen wurden bedeutet dies, dass es keinen Maßnahmentypus gibt, der vollständigen Schutz vor den dokumentierten Methoden bietet. Um ein höchst mögliches Maß an Si- cherheit zu gewährleisten, sollten Maßnahmenpakete und nicht nur einzelne Maßnahmen implementiert werden.

Tabelle 1.: Verteilungsmatrix: Übereinstimmung BSI Grundschutz Überblick

Abbildung in dieser Leseprobe nicht enthalten

3.1.3. Journal Impact Analyse

Um die vierte Anforderung an Standardmaßnahmen aus Kapitel 2.3.2, die regelmäßige Verwendung, zu erfüllen, wurden im Rahmen einer Journal Impact Analyse 54 Veröffent- lichungen zu dem Thema ’Advanced Persistent Threats’ auf die Häufigkeit der Nennung von Maßnahmen gegen SE hin untersucht. Social Engineering wurde bewusst nicht als zentrales Thema der Veröffentlichungen gewählt, um bewerten zu können, wie viele Ver- öffentlichungen zur Informationssicherheit SE thematisieren. APTs bieten sich als zen- trales Recherchethema an, da in den letzten Jahren viele Veröffentlichungen über neue Entwicklungen auf diesem Gebiet mit dem Schlüsselwort APT versehen wurden (sie- he Kapitel 2.1). Als Betrachtungszeitraum wurden die Jahre 2010 bis 2014 gewählt, da Veröffentlichungen, die älter als 5 Jahre sind, kaum aussagekräftig sind. In Summe the- matisierten 61,11 Prozent (33 von 54) der Veröffentlichungen zum Thema APT Social Engineering. 62,96 Prozent (34 von 54) nannten übliche Methoden, an einigen Stellen aber nicht im Zusammenhang mit Social Engineering. Ein Beispiel für die Nennung einer Methode ohne direkten Bezug zu SE ist Malware, die in den unterschiedlichsten An- griffsszenarien eingesetzt wird. 73,02 Prozent (39 von 54) der Veröffentlichungen nann- ten Maßnahmen, die gegen eine oder mehrere SE Methoden wirksam sind. Diese Zahlen belegen, dass die Problematik ’Social Engineering’ grundsätzlich bekannt ist und dass auch Maßnahmen der Informationssicherheit, die sich nicht explizit auf SE Methoden be- ziehen, wirksam sein können. Außerdem scheint es grundsätzlich eine zunehmende Zahl von Veröffentlichungen zum Thema APTs zu geben. Während es im Jahr 2010 nur 4 Ver- öffentlichungen waren, enthielt die Grundgesamtheit bereits 13 Veröffentlichungen aus dem Jahr 2011. Nach einem Einbruch im Jahr 2012 auf 9 steigerte sich die Anzahl der Veröffentlichungen im Jahr 2013 auf 20, gefolgt von 8 Veröffentlichungen im laufenden Jahr 2014. Die detaillierten Ergebnisse der Analyse finden sich in Anhang E.

[...]


1 Vgl. ZeitOnline 2013, o.S.

2 Vgl. Blue Coat Systems Inc. 2013, S. 1.

3 Vgl. Hadnagy 2014, S. 1.

4 Vgl. ISACA 2014, S. 1.

5 Vgl. Howie 2011, S. 19.

6 Vgl. Adams-Dixon 2011, S. 3.

7 Vgl. Howie 2011, S. 19.

8 Vgl. Mandiant 2013a, S. 7.

9 Vgl. ISACA 2014, S. 6.

10 Vgl. Blue Coat Systems Inc. 2013, S. 1.

11 Vgl. Smiraus 2011, S. 1589; Fortinet Inc. 2013, S. 2; Booz Allen Hamilton 2012, S. 4.

12 Vgl. Netzwerk Elektronischer Datenverkehr 2010, S. 5.

13 Vgl. Hadnagy 2014, S. 1.

14 Bundesamt für Sicherheit in der Informationstechnik 2014, o.S.

15 Vgl. Hadnagy 2014, S. 10.

16 Vgl. Mitnick 2002, S. 253.

17 Vgl. Mitnick 2002, S. 15.

18 Vgl. Smiraus 2011, S. 1589.

19 Vgl. Fortinet Inc. 2013, S. 5.

20 Vgl. Netzwerk Elektronischer Datenverkehr 2010, S. 5.

21 Vgl. Spiegel Online 1999, o.S.

22 Vgl. Mitnick 2011, S. 602.

23 Vgl. Mitnick 2014, o.S.

24 Vgl. Mitnick 2002, o.S.

25 Vgl. Mitnick 2005, o.S.

26 Vgl. Netzwerk Elektronischer Datenverkehr 2010, S. 9; Gulati 2003, S. 3.

27 Vgl. Mitnick 2002, S. 79.

28 Vgl. Deloitte 2011, S. 4.

29 Vgl. Netzwerk Elektronischer Datenverkehr 2010, S. 9; Gulati 2003, S. 3.

30 Vgl. Hadnagy 2014, S. 49.

31 Vgl. Bütler 2011, S. 32; Trend Micro Incorporated 2012, S. 2.

32 Vgl. Trend Micro Incorporated 2012, S. 2.

33 Vgl. Deloitte 2011, S. 4.

34 Vgl. Bundesamt für Sicherheit in der Informationstechnik 2014, o.S.

35 Vgl. Hintzbergen 2010, S. 15.

36 Vgl. Mitnick 2002, S. 234.

37 Vgl. Mitnick 2002, S. 192.

38 Vgl. Alan 2007, S. 7.

39 Vgl. Lieu 2002, S. 6.

40 Vgl. Mitnick 2002, S. 3.

41 Vgl. Moore 2010, S. 27; Hadnagy 2014, S. 77; Mitnick 2002, S. 112; Lieu 2002, S.4; Netzwerk Elek- tronischer Datenverkehr 2010, S.6.

42 Vgl. Siller 2014, o.S.; Hadnagy 2014, S. 86; Mitnick 2002, S. 94; Howie 2011, S. 20.

43 Vgl. Cisco Systems Inc. 2014, S. 38.

44 Vgl. Hadnagy 2014, S. 86; Mitnick 2002, S. 213.

45 Vgl. Mitnick 2002, S. 27; Netzwerk Elektronischer Datenverkehr 2010, S. 6.

46 Schneider 2014, o.S.

47 Vgl. Duden.de 2014, o.S.

48 Vgl. Voigt 2014, o.S.

49 Lackes 2014, o.S.

50 Vgl. Oxford Dictionary 2014, o.S.

51 Vgl. Axleos 2014, o.S.; Bundesamt für Sicherheit in der Informationstechnik 2005, S. 6.

52 Rechtslexikon.de 2014, o.S.

53 Vgl. Pons.com 2014b, o.S.

54 Winter 2014, o.S.

55 Vgl. Hange 2014, o.S.

56 Vgl. RSA Security Inc. 2011, S. 7.

Details

Seiten
70
Jahr
2014
ISBN (eBook)
9783346049865
ISBN (Buch)
9783346049872
Sprache
Deutsch
Katalognummer
v502136
Institution / Hochschule
Europäische Fachhochschule Brühl
Note
2,0
Schlagworte
Advanced Persistent Threat Social Engineering Standardmaßnahmen Messbarkeit Wirksamkeit ISO/IEC 27004:2009 ISO/IEC 15408:2009 ISO/IEC 21827:2008 FIPS 140-2 NIST SP 800-55 ISMS Informationssicherheitsmanagement Sicherheitsmanagement BSI IT-Grundschutz

Autor

Zurück

Titel: Wirksamkeit von Standardmaßnahmen gegen Social Engineering