• IT-Karriere:
  • Services:

Social Engineering: Mit Angst und Langeweile Hirne hacken

Warum funktionieren Angriffe mit Word-Makros seit 20 Jahren? Der CCC-Sprecher Linus Neumann erklärt auf dem Hackerkongress, warum es so schwer fällt, sich dagegen zu schützen. Dabei gibt es viele Ansatzmöglichkeiten, die IT wirklich sicherer zu machen.

Artikel von veröffentlicht am
Kann leicht gehackt werden: Das Gehirn.
Kann leicht gehackt werden: Das Gehirn. (Bild: Gerd Altmann/Pixabay)

In der öffentlichen Wahrnehmung seien Hacker meist Halbgötter in Schwarz, die irgendwie in die Geräte reinkommen - wie das vonstattengeht, sei den Menschen dabei meist völlig unklar, sagte der CCC-Pressesprecher und Diplompsychologe Linus Neumann auf dem Hackerkongress 36C3. Die Forschung zu IT-Sicherheit sei ebenfalls Avantgarde und drehe sich um Exploits und Remote Code Execution - auch auf dem Chaos Communication Congress. Dabei finde die reale Cyberkriminalität eher auf der Ebene von Hütchenspielen statt, so Neumann. Auf diese realen Probleme gebe es aber keine Antworten.

Inhalt:
  1. Social Engineering: Mit Angst und Langeweile Hirne hacken
  2. Mehr Sicherheit mit System

"Jedes praktisch relevante Problem der IT-Sicherheit ist theoretisch gelöst", erklärte Neumann. Die Praxis der IT-Sicherheit sei dennoch ein einziges Desaster. Eines dieser ungelösten Probleme sei Schadsoftware, die mit Word-Makros auf die Systeme gelange, wie aktuell Emotet. "Solche Angriffe mit Word-Makros funktionieren seit 1999. Damals war das Melissa-Virus die große Nummer", sagte Neumann. "Jeden Bug und jedes Problem, das wir haben, lösen wir sofort, aber dieses halten wir einfach nur aus und tun überhaupt nichts." Aber warum funktionieren solche Angriffe und Scams eigentlich?

Angst und Langeweile

Nach dem Psychologen Daniel Kahneman denken die Mensch in zwei Systemen. "Das erste System arbeitet schnell, intuitiv und automatisch - also Standardhandlungsabläufe", erklärt Neumann. Beispielsweise funktioniere das Abschließen der Tür, wenn man das Haus verlasse, automatisch, ohne dass darüber nachgedacht werden müsse.

"Das System 1 ist aktiv, wenn wir Angst haben, also schnell handeln müssen oder wenn wir uns langweilen und wie immer handeln müssen", sagte Neumann. Das System 2 hingegen sei langsam, analytisch und dominiert von Vernunft. "Die Angreifer nutzen natürlich Situationen, in denen sie auf System 1 setzen können", erklärte Neumann. Beispielsweise einen Ablauf, den wir antrainiert haben und aus Langeweile automatisiert durchführten.

Stellenmarkt
  1. eQ-3 AG, Leer
  2. Hays AG, Dortmund

Allerdings würden die Erklärungen, wie sich gegen solche Angriffe geschützt werde könne, das System 2 ansprechen. Das System 2 versteht dann auch, worauf geachtet werden muss, aber wenn System 1 aktiv ist, beispielsweise weil der Nutzer gerade gelangweilt vor dem Computer sitzt, helfen die Erklärungen wenig.

Die Frage, warum sich eigentlich niemand um das Problem kümmert, erklärt Neumann organisationspsychologisch. Technische Angriffe seien sehr schwierig. "Nur wenige Menschen können technische Angriffe durchführen und unser Schutz dagegen ist enorm gut", sagte Neumann. Die Schutzmaßnahmen können zudem granular definiert und gemessen werden.

Mit der Technik und den Daten arbeiten jedoch Admins und Angestellte, die sehr viel einfacher über Social Engineering angegriffen werden können. Ein Schutz gegen solche Angriffe ist meist nicht vorhanden oder minimal. Das liegt laut Neumann am Risiko-Management, bei dem es darum geht, die Verantwortung zu tragen und deshalb alles unternehmen zu müssen, um nicht zur Verantwortung gezogen zu werden - aber auch nicht mehr. Daher würden die Probleme, die sich lösen lassen, gelöst, während bei den anderen die Verantwortung zurückgewiesen werde: "Was kann ich dafür, dass der Nutzer falsch klickt?" Doch wie lassen sich diese Sicherheitsprobleme lösen? Auch dazu hat sich Neumann Gedanken gemacht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Mehr Sicherheit mit System 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. (-73%) 15,99€
  2. (-70%) 17,99€
  3. (-67%) 6,66€

Berthold Moeller 07. Jan 2020

Aus meiner Sicht ist die schlichte Dummheit von Anwender UND von Administratoren das...

MFGSparka 07. Jan 2020

Ich habe vor einier Zeit in einem Unternehemen gearbeitet in dem die IT-Abteilung so gut...

Karmageddon 04. Jan 2020

... oder warum kann man sich mit Word-Makros Admin-Rechte verschaffen und ganze Netzwerke...

AntonZietz 02. Jan 2020

...wäre nett. Entweder bin ich blind oder Golem ver-hyperlinkt sich im Text nur selber...


Folgen Sie uns
       


DLR Istar vorgestellt - Bericht

Die Falcon 2000LX des DLR hat weltweit einzigartige Eigenschaft: sie kann so tun, als wäre sie ein anderes Flugzeug.

DLR Istar vorgestellt - Bericht Video aufrufen
    •  /