• IT-Karriere:
  • Services:

Social Engineering: Mit Angst und Langeweile Hirne hacken

Warum funktionieren Angriffe mit Word-Makros seit 20 Jahren? Der CCC-Sprecher Linus Neumann erklärt auf dem Hackerkongress, warum es so schwer fällt, sich dagegen zu schützen. Dabei gibt es viele Ansatzmöglichkeiten, die IT wirklich sicherer zu machen.

Artikel von veröffentlicht am
Kann leicht gehackt werden: Das Gehirn.
Kann leicht gehackt werden: Das Gehirn. (Bild: Gerd Altmann/Pixabay)

In der öffentlichen Wahrnehmung seien Hacker meist Halbgötter in Schwarz, die irgendwie in die Geräte reinkommen - wie das vonstattengeht, sei den Menschen dabei meist völlig unklar, sagte der CCC-Pressesprecher und Diplompsychologe Linus Neumann auf dem Hackerkongress 36C3. Die Forschung zu IT-Sicherheit sei ebenfalls Avantgarde und drehe sich um Exploits und Remote Code Execution - auch auf dem Chaos Communication Congress. Dabei finde die reale Cyberkriminalität eher auf der Ebene von Hütchenspielen statt, so Neumann. Auf diese realen Probleme gebe es aber keine Antworten.

Inhalt:
  1. Social Engineering: Mit Angst und Langeweile Hirne hacken
  2. Mehr Sicherheit mit System

"Jedes praktisch relevante Problem der IT-Sicherheit ist theoretisch gelöst", erklärte Neumann. Die Praxis der IT-Sicherheit sei dennoch ein einziges Desaster. Eines dieser ungelösten Probleme sei Schadsoftware, die mit Word-Makros auf die Systeme gelange, wie aktuell Emotet. "Solche Angriffe mit Word-Makros funktionieren seit 1999. Damals war das Melissa-Virus die große Nummer", sagte Neumann. "Jeden Bug und jedes Problem, das wir haben, lösen wir sofort, aber dieses halten wir einfach nur aus und tun überhaupt nichts." Aber warum funktionieren solche Angriffe und Scams eigentlich?

Angst und Langeweile

Nach dem Psychologen Daniel Kahneman denken die Mensch in zwei Systemen. "Das erste System arbeitet schnell, intuitiv und automatisch - also Standardhandlungsabläufe", erklärt Neumann. Beispielsweise funktioniere das Abschließen der Tür, wenn man das Haus verlasse, automatisch, ohne dass darüber nachgedacht werden müsse.

"Das System 1 ist aktiv, wenn wir Angst haben, also schnell handeln müssen oder wenn wir uns langweilen und wie immer handeln müssen", sagte Neumann. Das System 2 hingegen sei langsam, analytisch und dominiert von Vernunft. "Die Angreifer nutzen natürlich Situationen, in denen sie auf System 1 setzen können", erklärte Neumann. Beispielsweise einen Ablauf, den wir antrainiert haben und aus Langeweile automatisiert durchführten.

Stellenmarkt
  1. MBDA Deutschland, Schrobenhausen
  2. KION Group AG, Frankfurt am Main

Allerdings würden die Erklärungen, wie sich gegen solche Angriffe geschützt werde könne, das System 2 ansprechen. Das System 2 versteht dann auch, worauf geachtet werden muss, aber wenn System 1 aktiv ist, beispielsweise weil der Nutzer gerade gelangweilt vor dem Computer sitzt, helfen die Erklärungen wenig.

Die Frage, warum sich eigentlich niemand um das Problem kümmert, erklärt Neumann organisationspsychologisch. Technische Angriffe seien sehr schwierig. "Nur wenige Menschen können technische Angriffe durchführen und unser Schutz dagegen ist enorm gut", sagte Neumann. Die Schutzmaßnahmen können zudem granular definiert und gemessen werden.

Mit der Technik und den Daten arbeiten jedoch Admins und Angestellte, die sehr viel einfacher über Social Engineering angegriffen werden können. Ein Schutz gegen solche Angriffe ist meist nicht vorhanden oder minimal. Das liegt laut Neumann am Risiko-Management, bei dem es darum geht, die Verantwortung zu tragen und deshalb alles unternehmen zu müssen, um nicht zur Verantwortung gezogen zu werden - aber auch nicht mehr. Daher würden die Probleme, die sich lösen lassen, gelöst, während bei den anderen die Verantwortung zurückgewiesen werde: "Was kann ich dafür, dass der Nutzer falsch klickt?" Doch wie lassen sich diese Sicherheitsprobleme lösen? Auch dazu hat sich Neumann Gedanken gemacht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Mehr Sicherheit mit System 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Berthold Moeller 07. Jan 2020 / Themenstart

Aus meiner Sicht ist die schlichte Dummheit von Anwender UND von Administratoren das...

MFGSparka 07. Jan 2020 / Themenstart

Ich habe vor einier Zeit in einem Unternehemen gearbeitet in dem die IT-Abteilung so gut...

Karmageddon 04. Jan 2020 / Themenstart

... oder warum kann man sich mit Word-Makros Admin-Rechte verschaffen und ganze Netzwerke...

AntonZietz 02. Jan 2020 / Themenstart

...wäre nett. Entweder bin ich blind oder Golem ver-hyperlinkt sich im Text nur selber...

Kommentieren


Folgen Sie uns
       


Asus Expertbook B9 - Hands on (CES 2020)

Das Expertbook B9 von Asus ist ein sehr leichtes, leistungsfähiges Business-Notebook. Im ersten Kurztest macht das Gerät einen guten Eindruck.

Asus Expertbook B9 - Hands on (CES 2020) Video aufrufen
Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

    •  /