Abstrakt

Ein Social Engineering Penetrationstest ist ein wichtiger Bestandteil der IT-Sicherheit. Dieser ermöglicht ein Testen der Widerstandsfähigkeit einer Organisation gegen diese Art von Angriffen. (Diogenes und Ozkaya 2018, S. 69)

Der Artikel beschreibt das Standardvorgehen bei einem Social Engineering Sicherheitsaudit, der sich in die Phasen Vorbereitung, Durchführung und Auswertung gliedert. Außerdem werden am Ende einige Vorgehensweisen beschrieben, wie die IT-Sicherheit im Unternehmen erhöht werden kann.

Einführung

Social Engineering-Angriffe sind eine der größten Bedrohungen für die Sicherheit von Unternehmen. Angreifer nutzen menschliche Schwächen aus, um Zugang zu sensiblen Daten und Systemen zu erlangen. Ein entsprechender Sicherheitsaudit dient dazu, mögliche Schwachstellen zu überprüfen und aufzudecken. (Diogenes und Ozkaya 2018, S. 69)

In diesem Text betrachten wir die Vorgehensweise bei einem Social Engineering Sicherheitsaudit. Neben den verschiedenen Arten von Social Engineering behandeln wir auch, welche Methoden gut geeignet sind, um diese Angriffe erfolgreich abzuwehren. Zusätzlich werden wir auf die Vorbereitung, Durchführung und Auswertung eines Audits eingehen.

Vorbereitungsphase

Die Vorbereitungsphase ist von entscheidender Bedeutung für das gesamten Audit. (Hadnagy 2018, S. 17) In diesem Teil des Textes werden wir uns mit wichtigen Schritten auseinandersetzen, die in der Phase der Vorbereitung durchgeführt werden müssen.

Zielanalyse

Bevor wir mit dem Angriff beginnen können, müssen wir uns über das Ziel des Audits im Klaren sein. Sind wir das nicht, können wir keine genaue Analyse betreiben. Dabei sollten wir mit dem Auftragsgeber klären, welche Arten des Angriffs simuliert werden sollen und welche Personen die Zielgruppe bilden.

Ansonsten besteht die Möglichkeit, dass der Auftraggeber eine Phishing-Kampagne erwartet, aber wir als Angreifer auf den Firmenrechnern Schadsoftware installieren, um das gesamte Netzwerk auf Sicherheitslücken zu testen. (Gray 2022, 26–27)

Um sich Informationen über das ausgesuchte Ziel/ die ausgesuchte Zielgruppe zu besorgen, nutzen wir OSINT (Open-Source Intelligence). Das bedeutet, dass wir frei zugängliche Informationen suchen und nutzen. Diese Informationen können wir mithilfe technischer, als auch nicht-technischer Hilfsmittel erlangen.

Onlinesuche

Beginnen wir mit der technischen Möglichkeit der Onlinerecherche. Um die große Datenmenge geeignet zu filtern, bieten Suchmaschinen wie Google Optionen an, die Suchergebnisse zu verfeinern.

Wir können durch die Verwendung von Suchoperatoren, wie beispielsweise „site:“, „filetype:“ oder „inurl:“, nach entsprechenden Seiten, Datentypen oder Bestandteilen einer Webadresse suchen. Zudem können wir Anführungszeichen nutzen, um nach exakten Phrasen zu suchen. Die erweiterte Suche von Google kann auch nach Datentypen, Sprachen, Standorten, dem Datum der letzten Aktualisierung und weiteren Kriterien filtern. (Ozkaya 2018, 159–169)

Auch die Verwendung der Bildersuche kann sich als hilfreich erweisen. Diese Suche kann anhand der Größe, Farbe, den Lizenzbeschränkungen und weiteren Kriterien die Suchergebnisse einschränken.

Mithilfe der Suche kann man auch Profile einer Person oder Organisation auf verschiedenen Social-Media-Plattformen finden und verknüpfen.

Eine wertvolle Quelle für OSINT können daher auch die sozialen Medien sein, weil dort viele Menschen ihre Gedanken, Meinungen und Aktivitäten teilen. (Diogenes und Ozkaya 2018, S. 68) Um diese zu Informationen zu filtern und zu nutzen, können die folgenden Möglichkeiten genutzt werden.

Mit der Suchfunktion der sozialen Netzwerke können wir nach bestimmten Begriffen, Hashtags und Personen suchen. Weiterhin können wir auch Werkzeuge zur Überwachung von Seiten, Gruppen und Benutzerkonten in den sozialen Netzwerken nutzen, um an Informationen über unser Ziel zu kommen.

Neben Überwachungswerkzeugen existieren auch Werkzeuge, die Social-Media-Daten analysieren und Karten und interaktive Visualisierungen erstellen. Damit können wir geografische Verteilungen und Verbindungen zwischen Personen identifizieren.

Die Software Maltego, Recon-ng oder auch TheHarvester helfen bei der Suche nach Informationen auf sozialen Netzwerken.

Beobachtung

Beobachtung ist eine nicht-technische Methode für OSINT, bei der wir Personen, Orte oder Aktivitäten direkt beobachten, um Informationen zu sammeln. Diese kann man durchführen, indem wir, oder jemand von uns Beauftragtes, sich direkt an einem Ort befindet, um die Gegebenheiten, Aktivitäten, Personen und Ereignisse zu beobachten.

Dokumente

Eine weitere nicht-technische Quelle für frei verfügbare Informationen, sind öffentlich zugängliche Dokumente, wie Regierungs- und Finanzberichte, Gerichtsakten, sowie andere Dokumente. Um diese Dokumente zu finden, können wir die schon oben erwähnte Onlinesuche verwenden. Selbst das FBI hat vor diesen umfassenden Google-Suchen gewarnt. (Ragan 2014)

Dumpster Diving

Beim Dumpster Diving durchsuchen wir Müllcontainer nach wertvollen Informationen. Dort können wir vertrauliche oder sensible Daten finden, die entsorgt wurden. Mögliche Fundsachen umfassen Papierdokumente, CDs, USB-Sticks oder andere elektronische Medien, die finanzielle Daten, Kunden- oder Mitarbeiterdaten, Geschäftsgeheimnisse oder andere interne Dokumente enthalten können.

Zu Dumpster Diving muss allerdings gesagt werden, dass es, im Gegensatz zu den vorherig vorgestellten Methoden, illegal ist, weil es sich um privates Eigentum handelt. (Gray 2022, S. 7–8)

Methodenauswahl

Nachdem uns Zielgruppe und Ziel des Angriffs bekannt sind, müssen wir uns für eine geeignete Social Engineering Methode entscheiden. Je nach Zielgruppe und dem generellen Ziel des Audits können unterschiedliche Methoden geeignet sein. Dazu zählen Phishing-E-Mail oder Telefonanrufe oder präparierte und geschickt platzierte USB-Sticks. Besteht das Ziel des Angriffs darin, vertrauliche Informationen zu erlangen, kann zum Beispiel Phishing die beste Wahl sein. Für die Verbreitung von Schadsoftware ist hingegen ein USB-Drop-Angriff besser geeignet.

Beim Phishing versuchen wir als Angreifer über geschickt geschriebene E-Mails oder durchdachtes Nachfragen per Telefonanruf an vertrauliche Informationen zu kommen. Dazu geben wir uns als vertrauenswürdige Instanz aus. (Neil 2020, S. 257)

Zur Auswahl der Methode gehört auch das Risiko-Management. Im Fall von Social Engineering heißt das, wir müssen das Risiko des Angriffs gegen den potenziellen Nutzen abwägen. Einige Angriffe haben ein höheres Risiko, entdeckt zu werden, liefern dafür aber aussagekräftigere Ergebnisse. Andere Angriffe haben ein eher geringes Risiko, liefern dafür aber weniger aussagekräftige Ergebnisse.

Als letzten Punkt bei der Methodenauswahl muss das vorhandene Budget in Betracht gezogen werden. Einige Angriffe sind teurer als andere, daher ist eine Methode zu wählen, die innerhalb des vorhandenen Budgets liegt.

Materialerstellung

Je nach gewählter Methode müssen wir entsprechendes Material vorbereiten. Beispielsweise müssen Webseiten gefälscht, Phishing-E-Mails geschrieben, Dokumente erstellt oder USB-Sticks mit Schadsoftware erstellt werden. Geeignete Softwarewerkzeuge für die Erstellung von Phishing-E-Mails sind Gophish, Phishery oder PhishX. Gophish bietet auch umfassende Statistiken, wie viele Mails versendet wurden, wie oft die E-Mail geöffnet worden ist und wie oft der enthaltene Link geöffnet wurde.

Möchten wir bei Telefonaten die Stimme verstellen, kann ein Stimmverzerrer wie VCSD9 (Voice Changer Software Diamond 9) genutzt werden.

Das Social Engineering Toolkit (SET) oder C2 Framework sind Sammlungen an Werkzeugen, die bei der Vorbereitung und Durchführung des Angriffs helfen können.

Testdurchlauf

Haben wir die Materialien zusammengestellt und vorbereitet, benötigen diese einen Testdurchlauf, um mögliche Fehler festzustellen, bevor diese von potenziellen Opfern bemerkt werden, die sich dann schwerer manipulieren lassen. Eine Phishing-E-Mail senden wir zur Kontrolle erst an uns selbst oder an Kollegen oder Freunde, die diese Nachricht auf Fehler untersuchen können. Auch alle Links sollten nochmals auf Funktion überprüft werden.

Haben wir uns ein Skript für einen Anruf zurechtgelegt, sollte auch hier noch eine weitere Person gegenlesen. Wenn möglich, können wir auch einen Testanruf tätigen.

Auf einem virtuellen oder auch physischen Computer überprüfen wir die vorbereiteten USB-Sticks auf Funktion.

Sollten bei irgendeinem dieser Tests ein Fehler auftauchen, sollten wir die Fehler ausbessern und dann erneut die Tests durchführen.

Auftraggeber informieren

Vor einem Angriff sollten wir den Auftraggeber, meist ein Unternehmen, über verschiedene Punkte in Kenntnis setzen, wie die Ziele und die zu erwartenden Ergebnisse des Tests. Dies kann beinhalten, welche Schwachstellen im Unternehmen aufgedeckt werden sollen. Ebenfalls wichtige Informationen sind die gewählte Methode und die damit verbundenen Risiken für Systeme und Daten des Unternehmens. Außerdem informieren wir, wie die Datenschutzrechte der betroffenen Personen gewahrt werden. Als letzter Punkt ist über den Zeitplan und das geplante Budget zu informieren. (Gray 2022, S. 31)

Berichtsvorlage erstellen

Für die spätere Auswertung und Berichterstellung sollten wir alle Ereignisse umfassend dokumentieren. Dazu eignet sich eine vorab erstellte Vorlage, in der wir die Auditergebnisse zusammentragen können. Bei der Speicherung der Berichtsdaten muss auch beachtet werden, wo wir diese speichern. Teilweise sind äußerst sensible Daten enthalten. (Hadnagy 2018, S. 21)

Dienliche Berichttools sind Microsoft Word und Excel, einige SIEM-Tools (Security Information and Event Management), die automatisch Berichte über Angriffe und fehlgeschlagene und erfolgreiche Anmeldeversuche erstellen, oder spezielle Berichtgeneratoren wie Metasploit Pro oder Nessus Professional. Diese helfen bei der Erstellung von Berichten über Penetrationstests und können Berichte teilweise automatisiert erstellen.

Durchführungsphase

Auf die Vorbereitung folgt die Durchführungsphase des Audits. Dabei setzen wir die vorbereiteten und vorher getesteten Angriffe in die Tat um. Die Ergebnisse und ermittelten Informationen werden von uns in der erstellten Berichtsvorlage zusammengetragen. Diese Phase ist der tatsächliche Test der Widerstandsfähigkeit des Unternehmens gegen Social Engineering-Angriffe.

Angriffsdurchführung

Wir starten mit dem Angriff. Dazu versenden wir die erstellten Phishing-E-Mails, führen unsere Telefonanrufe oder platzieren die präparierten USB-Sticks an geeigneten Orten. Der Erfolg dieser Phase hängt von den während der Vorbereitungsphase gesammelten Informationen ab. Je zuverlässiger die gesammelten Informationen, desto eher sind aussagekräftige Ergebnisse zu erwarten. (Hadnagy 2018, S. 17)

Ergebniserfassung

Während des Angriffs fallen viele Daten an, die wir erfassen müssen. Zu diesen Daten gehören die Menge der geöffneten E-Mails, die erhaltenen Informationen am Telefon, die eingegebenen Daten, wie Benutzername und Passwort oder die mit Schadsoftware infizierten Rechner im Unternehmen.

Alle diese mit den Angriffstechniken und Zielgruppen verknüpften Daten helfen bei der späteren Auswertung.

Für eine qualifizierte Empfehlung zur Verbesserung der IT-Sicherheit sind besondere Vorkommnisse, wie gefährliche Schwachstellen, aber auch äußerst sicherheitsbewusstes Verhalten der Mitarbeiter, zu dokumentieren.

Auswertung

Nachbereitung

Ist der Angriff erfolgreich durchgeführt, fassen wir die Ergebnisse zusammen. Diese Ergebnisse werden später ausgewertet.

Außerdem müssen wir jegliche installierte Software oder Hardware wieder deinstallieren und abbauen, die während des Angriffs verwendet wurde. Dies stellt den weiteren Betrieb der Firma sicher, da keine externen Beeinträchtigungen durch uns als Auditoren vorliegen. Es existiert so keine weitere Angriffsfläche für externe Angreifer.

Kommunikation mit dem Auftraggeber

Sollte bei der Auswertung auffallen, dass sich jemand Fremdes im Firmennetzwerk befindet, sollten wir umgehend den Auftraggeber informieren. In diesem Fall ist die spätere Berichtserstellung nicht die zielführende Maßnahme. Der Schutz der Daten und des Unternehmens hat daher eine höhere Priorität als die Berichtserstellung. (Gray 2022, S. 130)

Berichterstellung

Zum Schluss erstellen wir den Abschlussbericht. Dort sind dann detailliert alle eingesetzten Methoden mit Erfolgsrate und alle identifizierten Schwachstellen zu dokumentieren. Wurden Softwarelösungen hinzugezogen, die automatisch Berichte erstellen, so steigert dies die Effizienz bei der Berichtserstellung, birgt aber die Gefahr einer Überladung mit Informationen oder einem Bericht mit zu wenig Informationen. Abgesehen von Detailgrad und Effizienz sollte der Bericht auch über Empfehlungen zur Verbesserung der IT-Sicherheit des Unternehmens enthalten.

Sicherheitsempfehlungen

Um die IT-Sicherheit im Unternehmen zu steigern, nutzen wir mehrere Maßnahmen, um so viele Angriffsvektoren wie möglich abzudecken. Dadurch erreichen wir einen besseren Schutz und ein geringeres Risiko angegriffen zu werden. (Gray 2022, S. 137)

Schulung

Eine wichtige Verteidigungslinie eines Unternehmens sind die Mitarbeiter. Diese müssen über die verschiedenen Arten von Social Engineering Angriffen sensibilisiert werden und darüber, welche Schutzmaßnahmen gegen solche Angriffe helfen.

Dazu gehört auch die Schulung in sicherem Verhalten beim Umgang mit verdächtigen Anfragen und Aktivitäten. Damit das Wissen zum korrekten Verhalten nicht in Vergessenheit gerät, sollten Schulungen regelmäßig oder sogar kontinuierlich stattfinden. (Gray 2022, S. 138–139)

Richtlinien

Damit die Mitarbeitenden genau wissen, wie sie sich bei einer möglichen Attacke und sonstigen verdächtigen Aktivitäten zu verhalten haben, müssen verständliche und gut umsetzbare Verhaltensregeln und Richtlinien abgesteckt werden. Diese Richtlinien sollten zusätzlich regelmäßig aktualisiert werden, um neue Angriffsmöglichkeiten ebenso abwehren zu können, wie lang bekannte Vorgehensweisen. (Gray 2022, S. 139)

Technische Schutzmaßnahmen

Auch wenn wir uns in diesem Text viel mit Social Engineering Angriffen auseinandergesetzt haben, sollten wir bei der Empfehlung auch technische Maßnahmen empfehlen, wenn diese die simulierten Angriffe hätten abwehren können.

Zu diesen Maßnahmen zählen der Einsatz von Firewalls, Anti-Viren-Software und E-Mail-Filter, sowie die Trennung verschiedener Netzwerkgeräte und ein Berechtigungskonzept, das die Benutzer nur mit den Rechten versorgt, die sie für die Ausübung ihrer Arbeit benötigen. (Häcki 2005, S. 11)

Multi-Faktor-Authentifizierung

Um die Sicherheit beim Anmeldeverfahren zu erhöhen, empfiehlt sich die Nutzung eines zweiten oder dritten Anmeldefaktors. Diese können ein generiertes Einmalpasswort oder ein Token, wie eine Smartcard oder Sicherheits-USB-Stick, sein. Mit der aktivierten Multi-Faktor-Authentifizierung (MFA) ist es für einen Angreifer, der Benutzer und Kennwort kennt, nicht möglich, eine erfolgreiche Anmeldung durchzuführen. (Neil 2020, S. 90–91)

Regelmäßige Tests

Regelmäßige Penetrationstests und Social Engineering Sicherheitsaudits helfen zusätzlich, um eine Bestandsaufnahme der IT-Sicherheit zu erlangen und die vorhandenen Sicherheitslücken aufzudecken und Gegenmaßnahmen zu ergreifen. (Ozkaya 2018, 289)

Überwachung

Eine umfassende und kontinuierliche Überwachung von fehlgeschlagenen und erfolgreichen Anmeldeprozessen, Logdateien von Firewalls und Anti-Viren-Software und weiteren sicherheitsrelevanten Prozessen kann dabei helfen, Angriffe zu erkennen und zu verhindern. (Neil 2020, S. 95–101)

Überprüfung von Drittanbietern

Lieferanten und Dienstleister des Unternehmens stellen ein Sicherheitsrisiko für die IT-Sicherheit dar. Die gesendeten E-Mails dieser Fremdfirmen sind von einem vertrauenswürdigen Absender und werden daher nicht unbedingt verdächtigt, Schadsoftware oder gefährliche Links oder Anhänge zu enthalten.

Für die Absenkung des Risikos, das von diesen Firmen ausgeht, können deren Sicherheitsverfahren überprüft und überwacht werden. (Gray 2022, S. 140–142)

Notfallplan

Sollte es doch zu einem Sicherheitsvorfall kommen, der nicht mehr abgewehrt werden konnte, muss organisiert sein, wie reagiert werden soll. Dabei geht es meist um Schadensbegrenzung, aber teilweise auch um eine Aufrechterhaltung des Unternehmensbetriebs. Oft können Firmen mit einem Verlust der IT-Infrastruktur den Ausfall nur wenige Tage bis Wochen überleben.

Fazit

Ein Social Engineering Sicherheitsaudit ist wichtiger Teil der IT-Sicherheit von Unternehmen. Mit diesem Vorgehen kann die Widerstandsfähigkeit der Firma gegen verschiedene Arten von Angriffen auf die Probe gestellt werden. Das hier beschriebene Standartvorgehen eines Angriffs umfasst in der Regel die Phasen Vorbereitung, Durchführung und Auswertung.

Die Vorbereitungsphase teilt sich in die Zielanalyse, die Methodenauswahl, Erstellung der benötigten Materialien inklusive Dokumentationsvorlage und einen Testlauf. Die meiste Zeit nimmt während der Vorbereitung die Zielanalyse und das Suchen nach Informationen in Anspruch.

In der Durchführungsphase werden dann die vorbereiteten Angriffe auf die identifizierte Zielgruppe durchgeführt. Dabei wird die Erfolgsrate ermittelt und dokumentiert.

In der Auswertungsphase wird der Angriff nachbereitet. Die Ergebnisse werden ausgewertet. Die Auswertung wird dann in einem Abschlussbericht für die Präsentation beim Auftraggeber aufbereitet. Dabei werden auch Empfehlungen zur Verbesserung der IT-Sicherheit erarbeitet, die auch in dem Bericht aufgeführt werden.

Um sich gegen Social Engineering Angriffe zu schützen, sollte sich ein Unternehmen auf mehrere Arten absichern. Die Schutzmaßnahmen sollten sowohl technischer Natur sein als auch die Schulung von Mitarbeitern und Anpassung von Prozessen umfassen.

Literatur

Diogenes, Yuri; Ozkaya, Erdal (2018): Cybersecurity - Attack and Defense Strategies. Infrastructure security with Red Team and Blue Team tactics. 1st ed. Birmingham, Mumbai: Packt Publishing.

Gray, Joe (2022): Practical Social Engineering. A Primer for the Ethical Hacker. New York: No Starch Press.

Häcki, Markus (2005): Kostenanalyse von präventiven IT-Sicherheitsmassnahmen. Online verfügbar unter https://pub.tik.ee.ethz.ch/students/2005-So/SA-2005-25.pdf, zuletzt geprüft am 27.01.2023.

Hadnagy, Christopher (2018): Social engineering. The science of human hacking. Second edition. Indianapolis IN: Wiley.

Neil, Ian (2020): CompTIA Security+. SY0-601 Certification Guide - Second Edition. 2nd edition, Boston, MA: Packt Publishing; Safari.

Ozkaya, Erdal (2018): Learn Social Engineering. Learn the art of human hacking with an internationally renowned expert. 1. Aufl. Birmingham: Packt Publishing Limited.

Ragan, Steve (2014): FBI issues warning about creative Google searches. Google Hacking flagged as potential risk. Online verfügbar unter https://www.csoonline.com/article/2597556/fbi-issues-warning-about-creative-google-searches.html, zuletzt aktualisiert am 25.10.2014, zuletzt geprüft am 27.01.2023.

Einführung¶

Vorbereitungsphase¶

Zielanalyse¶

Onlinesuche¶

Social Media¶

Beobachtung¶

Dokumente¶

Dumpster Diving¶

Methodenauswahl¶

Materialerstellung¶

Testdurchlauf¶

Auftraggeber informieren¶

Berichtsvorlage erstellen¶

Durchführungsphase¶

Angriffsdurchführung¶

Ergebniserfassung¶

Auswertung¶

Nachbereitung¶

Kommunikation mit dem Auftraggeber¶

Berichterstellung¶

Sicherheitsempfehlungen¶

Schulung¶

Richtlinien¶

Technische Schutzmaßnahmen¶

Multi-Faktor-Authentifizierung¶

Regelmäßige Tests¶

Überwachung¶

Überprüfung von Drittanbietern¶

Notfallplan¶

Fazit¶

Literatur¶