Social Engineering: Mit Angst und Langeweile Hirne hacken
In der öffentlichen Wahrnehmung seien Hacker meist Halbgötter in Schwarz, die irgendwie in die Geräte reinkommen - wie das vonstattengeht, sei den Menschen dabei meist völlig unklar, sagte der CCC-Pressesprecher und Diplompsychologe Linus Neumann auf dem Hackerkongress 36C3. Die Forschung zu IT-Sicherheit sei ebenfalls Avantgarde und drehe sich um Exploits und Remote Code Execution - auch auf dem Chaos Communication Congress. Dabei finde die reale Cyberkriminalität eher auf der Ebene von Hütchenspielen statt, so Neumann. Auf diese realen Probleme gebe es aber keine Antworten.
"Jedes praktisch relevante Problem der IT-Sicherheit ist theoretisch gelöst," erklärte Neumann. Die Praxis der IT-Sicherheit sei dennoch ein einziges Desaster. Eines dieser ungelösten Probleme sei Schadsoftware, die mit Word-Makros auf die Systeme gelange, wie aktuell Emotet. "Solche Angriffe mit Word-Makros funktionieren seit 1999. Damals war das Melissa-Virus die große Nummer," sagte Neumann. "Jeden Bug und jedes Problem, das wir haben, lösen wir sofort, aber dieses halten wir einfach nur aus und tun überhaupt nichts." Aber warum funktionieren solche Angriffe und Scams eigentlich?
Angst und Langeweile
Nach dem Psychologen Daniel Kahneman denken die Mensch in zwei Systemen. "Das erste System arbeitet schnell, intuitiv und automatisch - also Standardhandlungsabläufe," erklärt Neumann. Beispielsweise funktioniere das Abschließen der Tür, wenn man das Haus verlasse, automatisch, ohne dass darüber nachgedacht werden müsse.
"Das System 1 ist aktiv, wenn wir Angst haben, also schnell handeln müssen oder wenn wir uns langweilen und wie immer handeln müssen," sagte Neumann. Das System 2 hingegen sei langsam, analytisch und dominiert von Vernunft. "Die Angreifer nutzen natürlich Situationen, in denen sie auf System 1 setzen können," erklärte Neumann. Beispielsweise einen Ablauf, den wir antrainiert haben und aus Langeweile automatisiert durchführten.
Allerdings würden die Erklärungen, wie sich gegen solche Angriffe geschützt werde könne, das System 2 ansprechen. Das System 2 versteht dann auch, worauf geachtet werden muss, aber wenn System 1 aktiv ist, beispielsweise weil der Nutzer gerade gelangweilt vor dem Computer sitzt, helfen die Erklärungen wenig.
Die Frage, warum sich eigentlich niemand um das Problem kümmert, erklärt Neumann organisationspsychologisch. Technische Angriffe seien sehr schwierig. "Nur wenige Menschen können technische Angriffe durchführen und unser Schutz dagegen ist enorm gut," sagte Neumann. Die Schutzmaßnahmen können zudem granular definiert und gemessen werden.
Mit der Technik und den Daten arbeiten jedoch Admins und Angestellte, die sehr viel einfacher über Social Engineering angegriffen werden können. Ein Schutz gegen solche Angriffe ist meist nicht vorhanden oder minimal. Das liegt laut Neumann am Risiko-Management, bei dem es darum geht, die Verantwortung zu tragen und deshalb alles unternehmen zu müssen, um nicht zur Verantwortung gezogen zu werden - aber auch nicht mehr. Daher würden die Probleme, die sich lösen lassen, gelöst, während bei den anderen die Verantwortung zurückgewiesen werde: "Was kann ich dafür, dass der Nutzer falsch klickt?" Doch wie lassen sich diese Sicherheitsprobleme lösen? Auch dazu hat sich Neumann Gedanken gemacht.
Mehr Sicherheit mit System
Letztlich nutzten die Angreifer immer wieder die gleichen Prozesse aus, so Neumann. Er habe daher nach Lösungsmöglichkeiten gesucht, wie man Menschen dazu bringen könne, nicht zu klicken, sondern einen möglichen Angriff an die IT zu melden, die dann Gegenmaßnahmen ergreifen könne . Bei einem asiatischen Unternehmen mit 30.000 Mitarbeitern hat Neumann eine Beispielstudie durchgeführt. Dabei habe sich gezeigt, dass verschiedene Awareness-Maßnahmen wie Rundmails, Poster, Onlinequiz mit Text oder Video keinerlei messbare Auswirkungen gehabt hätten. Mit all diesen Maßnahmen werde ohnehin System 2 angesprochen, so Neumann.
Erst wenn die Mitarbeiter auf ein testweise durchgeführtes Phishing hereingefallen waren und darüber aufgeklärt wurden, habe sich ein Effekt gezeigt. Dieser sei etwas besser gewesen, wenn den gephishten Mitarbeitern ein Aufklärungsvideo gezeigt wurde. "Selbsterfahrung hat einen starken Lerneffekt," betont Neumann. Allerdings sei diese Erfahrung sehr spezifisch, beispielsweise lernten die Nutzer, dass sie nicht auf eine Passwort-Reset-E-Mail klicken sollen, fielen dann dennoch auf eine Phishing-Mail herein, bei der die Kreditkartendaten eingegeben werden sollen. Zudem nehme der Lerneffekt mit der Zeit wieder ab.
Bei einer zweiten Studie mit 2.000 Personen bei einem internationalen Unternehmen habe sich gezeigt, dass Phishing-Angriffe deutlich schlechter funktionieren, wenn sie nicht auf bekannte Arbeitsabläufe setzen können und dadurch die Mitarbeiter aus den gewohnten Abläufen (System 1) herausholen. Das Unternehmen habe zum einen externe E-Mails mit einem Tag markiert, zudem hatte es den Passwortwechsel nicht über das Web abgebildet - entsprechend habe die Phishing-Mail, die die Mitarbeiter im Namen der IT-Abteilung zum Ändern des Passwortes aufforderte, nur bei 10 Prozent anstatt der erwarteten 35 bis 55 Prozent funktioniert. Diese konnten durch weitere Durchläufe und damit einhergehende Aufklärung um 66 Prozent reduziert werden. Die Zahl sei aus psychologischer Sicht zwar beeindruckend - nach einmaliger Intervention eine derartige Reduktion! - aber aus der Perspektive der IT-Sicherheit sei das immer noch desaströs, so Neumann.
Eine weitere Erkenntnis aus der Studie sei gewesen, dass die meisten Angriffe auf das Unternehmen von der IT-Abteilung verhindert werden konnten, wenn der Angriff von den Mitarbeitern schnell gemeldet wurde. "Die Mitarbeiter müssen ermutigt und belohnt werden, wenn sie bei der IT-Abteilung anrufen," sagte Neumann.
Wir können uns nicht auf System 2 verlassen
"Wir müssen unsere IT-Systeme so bauen, dass sie dafür nicht anfällig sind, dass wir automatisierte Sicherheitsprozesse lernen," fasst Neumann zusammen. Denn wir können uns nicht auf System 2 verlassen, wie es die meisten Schutzmaßnahmen machen, beispielsweise indem sie wegklickbare Warnungen einblenden. Beispielsweise Word mit seiner Makro-Warnung. "Es gibt eine Möglichkeit, das Problem mit Microsoft Word in den Griff zu bekommen und das ist, Makros zu deaktivieren - allerdings kommt dann bei vielen Unternehmen der Geschäftsbetrieb zum Erliegen," so Neumann. Eine zweite Möglichkeit sei das Signieren der Makros. Das könne man per Gruppenrichtlinie ausrollen.
Statt auf System 2 zu setzen, müsse System 1 abgesichert werden, indem intuitive Handlungen als Teil der Sicherheitsmechanismen antizipiert würden, sagte Neumann. Beispielsweise solle Nutzern nicht angewöhnt werden, Passwörter einzutippen und Sicherheitsprozesse nicht per E-Mail oder Browser abgebildet werden. Zudem sollte die Software-Installation auf vertrauenswürdige Quellen, beispielsweise App-Stores, eingeschränkt werden, damit Leute nicht irgendwelche heruntergeladenen .exe-Dateien ausführen. Zudem werde die Passwortsituation durch Fido2 , hardwarebasierte Sicherheitsmechanismen und Zwei-Faktor-Authentifizierung langsam besser.