Vortrag Human Hacking auf dem BSI-Grundschutz-Tag 2019

Vortrag “Human Hacking” auf dem BSI-Grundschutz-Tag 2019

Im Rahmen des IT-Grundschutz-Tages 2019 am 07. März 2019 in Braunschweig durfte ich einen Vortrag mit dem Titel Human Hacking – Die Kunst des Social Engineerings halten. Sie finden ihn hier.

Bredex-Logo

Darin habe ich herausgestellt, dass Angriffe auf Unternehmen und Institutionen nicht immer nur technischer Natur sein müssen. Stattdessen werden Mitarbeiter ins Visier genommen und mittels geschickter Frage- und Manipulationstechniken zur Herausgabe vertraulicher oder sonstwie nützlicher Informationen gebracht.

Wertvolle Informationen für einen Angreifer können zum Beispiel Passwörter, Telefonnummern oder Abteilungsbezeichnungen sein. Dieses Vorgehen ist Teil der Target Reconnaissance. Zu deutsch: Zielaufklärung.

Erst zu einem späteren Zeitpunkt findet dann ein Angriff auf die technischen Schutzmaßnahmen, Server oder Datenspeicher statt. Tatsächlich gibt es auch Technik-unabhängige Social-Engineering-Attacken etwa durch Love-Scamming oder die Nigeria-Connection.

Social Engineering beinhaltet das Ausnutzen menschlicher Eigenschaften wie Unerfahrenheit, Angst, Gier oder Geltungssucht. Besonders perfide an diesem Vorgehen ist die Tatsache, dass sich auch positive Merkmale der menschlichen Natur ansprechen lassen: Hilfsbereitschaft, Gutmütigkeit, Liebe und Zuneigung.

Je nachdem welche Eigenschaften einer Zielperson angesprochen werden sollen, muss sich der Angreifer anders präsentieren und positionieren. Bei unerfahrenen Mitarbeitern wie Azubis oder Lehrlingen bietet sich ein autoritäres und dominantes Auftreten an, bei dem für den Fall der Nicht-Kooperation mit spürbaren Konsequenzen gedroht wird.

Artikel BSI-GS-Tag-2019, Bild oksmith-Angry Boss

In dem Vortrag habe ich kurz einige Beispiele für Social Engineering vorstellen. Zum Abschluss gab ich eine Empfehlung, wie die Chance eines erfolgreichen Angriffs durch Social Engineering reduziert werden kann.

Ich bedanke mich bei der Firma Bredex und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für einen spannenden Tag mit vielen neuen Kontakten und einem interessanten Austausch.

Sprechen Sie mich immer gerne an!

PS: Irren ist menschlich, vergeben göttlich! Falls zur Überprüfung von Awareness-Maßnahmen anschließend testweise Phishing- oder ähnliche Social Engineering- Angriffe durchgeführt werden, müssen die Erkenntnisse anonymisiert ausgewertet werden. Das Verhalten einzelner Mitarbeiter darf nicht durchleuchtet werden. (Siehe auch EU-Datenschutzgrundverordnung.) Ich bitte meinen Irrtum zu entschuldigen und bedanke mich bei der betreffenden Zuhörerin für den hilfreichen Hinweis.