Erst kürzlich wurde ich von einem Kollegen gefragt, welches Hackertool ich präferieren würde, wenn ich die Intention hätte etwas zu hacken und das nicht unbedingt mit den besten Absichten. Meine Antwort darauf war überraschend un-technisch, denn ich nannte als Antwort: das Telefon.
Back to the basics
Damit meinte ich aber nicht ein modernes und sogenanntes smart-mobile-Device mit iOS oder Android Betriebssystem, das man mit relativ überschaubarem Aufwand in eine digitale Waffe verwandeln kann, sondern das «klassiche» Telefon, das wir anno dazumal noch dazu benutzt haben, um mit anderen Menschen über Distanzen verbal zu kommunizieren. Wobei der Fokus in meiner Antwort ganz klar auf «KOMMUNIZIEREN» abzielte.
Kommunikation mit Menschen ist im Kontext des Hackings eine wunderbare Waffe wenn sie richtig angewendet wird. Als ich noch intensiv meiner „Hacker-Leidenschaft“ nachging, nannte ich diese Vorgehensweise mit Vorliebe «Dummy-Modus».
Das Dummy-Modus Prinzip
Das Konzept basiert darauf, einem nicht-technischen Menschen in kürzester Zeit ganz viele hochtechnische Wörter entgegenzuschleudern. Hierbei spielt es noch nicht einmal eine grosse Rolle, ob diese technischen Wörter überhaupt Sinn machen. Wichtig ist nur, das sie schnell und kompetent präsentiert werden. Der technisch unbedarfte Gesprächspartner schaltete dann recht schnell und zuverlässig in den Dummy Modus, indem er einfach zu allem «JA» sagt, da er ja nicht als unwissende Technik-Laie entlarvt werden möchte. Wenn der Dummy Modus erst einmal einsetzt, kann man ganz frech Forderungen stellen, die dann meistens nicht mehr all zu gross in Frage gestellt werden, beispielsweise nach dem Passwort zum Email System (Office 365 öffnet damit auch die Tür zur Dateiablage).
Selbstverständlich ist das beschriebene Szenario ein stark vereinfachtes bzw. überspitztes Beispiel und dank Multi Faktor Authentifizierung und weiteren technischen Hilfsmitteln sind solche Attacken heute relativ leicht zu unterbinden.
Auch ist das ganze Konzept in der IT Security nicht neu und hat sich über Jahre unter dem Begriff «Social Engineering» etabliert und weiterhin verfeinert.
Was ich mit diesem Beispiel aber aufzeigen möchte, ist die sicherheitstechnische Schwäche des jedes Einzelnen im Allgemeinen. Selbst wenn wir auf allen technischen Ebenen der Informations-Technologie viel Sicherheit einbauen, bleibt am Ende der Kette der Faktor «Mensch», der vor irgendeiner Form von Information sitzt und damit recht viel Unfug treiben kann. Sei es nun bewusst oder unbewusst und genau das kann man auf technischer Ebene nicht lösen.
Sicherheit End-to-End
Um Sicherheit End-to-End zu realisieren ist es darum zwingend notwendig den End-User zu einem kompetenten Teil der Sicherheitslösung zu machen.
Dies erreicht man aber nicht, indem man den End-User als «Volldeppen» behandelt und ihm einfach alles wegnimmt, das irgendwie gefährlich sein könnte. Denn dies resultiert in praktisch jedem Fall in einer ungeahnten Kreativität seitens der End-User. Der Computer Benutzer möchte sein Werkzeug nicht so nutzen wie es ihm vorgeschrieben wird, sondern so wie er es sich angeeignet hat, sprich so wie er es sich gewohnt ist. Stellt man den End-User zu viele Hindernisse in den Weg seinen eigenen Produktiv-Flow umzusetzen, wird er einen Weg finden diesen Flow zu realisieren. Meistens erfolgt so ein Vorgehen in der Umgehung von Sicherheitstechnologien, sei es nun die Firewall, den Proxy Server oder die Endpoint Protection, was auf mehreren Ebenen zur Bedrohung werden kann. Erstens, weil der Nutzer nun Dinge unternimmt, die wahrscheinlich nicht bemerkt werden, weil man nicht damit rechnet. Zweitens, weil man als Betreiber der IT-Infrastruktur davon ausgeht, das ein Schutz implementiert ist, was aber nicht (mehr unbedingt) der Fall ist und dementsprechend ein Risiko darstellt, Und drittens verliert der End-User das Vertrauen in die zur Verfügung gestellte IT-Umgebung und kümmert sich dementsprechend auch nicht aktiv um deren Schutz.
Dazu kommt das jeder Betreiber einer IT-Umgebung früher oder später akzeptieren muss, dass er den Endanwender nicht mehr zu 100% kontrollieren kann. Die Zeiten in denen wir ein einziges Main Frame hatten auf den alle Nutzer sehr kontrolliert Zugriff haben sind dank der Cloud Revolution definitiv vorbei. Im Endeffekt bleibt dem Betreiber nichts anders mehr übrig als seine Benutzer zu einem kompetenten Teil seiner Sicherheitsstrategie zu machen. Das Zauberwort hierfür heisst auf neudeutsch: «User Awareness».
Der Ansatz kann einerseits «top» funktionieren, aber anderseits auch in die Hose gehen. Mässig wäre hier der Einsatz des «Tick-the-Box»-Prinzip, indem aus Compliance Gründen dafür gesorgt werden muss, dass jeder Benutzer mindestens einmal die Security Policy des Betriebes gelesen hat. Eine beliebte Methode dies zu realisieren sind mehr oder minder gut gemachte Online Schulungen via Webbrowser. Eine Kontrolle, ob der User den Schulungsstoff verstanden hat, wird mit Fragen am Ende des Kurses umgesetzt. Früher oder später wird in diesem Fall meistens eine Liste mit richtigen Antworten unter den Benutzern zirkulieren, was dem End-User die Gelegenheit gibt auch den Kurs selber nicht mehr seriös absolvieren zu müssen.
User Awareness
User Awareness richtig umgesetzt vermittelt ein Erlebnis an das man sich gerne erinnert und zwar für den Endnutzer, den Instruktor und den Betreiber der IT Anlage.
Das Ganze muss vor allem auf einer menschlichen Ebene stattfinden, weil nur so sichergestellt wird, dass der Stoff der behandelt wird, tatsächlich auch verstanden wird. Auch ist es wichtig eine bidirektionale Kommunikation zu etablieren und dem End-User somit die Möglichkeit zu geben, allfällige Zweifel am Konzept direkt dem Anbieter kommunizieren zu können.
Als erfolgreiches Prinzip hat sich hier die «Gamification» etabliert. Hierbei wird das nötige Wissen um Social Engineering im spielerischen Umfang vermittelt.
T-Systems hat dazu Brettspiele entwickelt, die auch in der Schweiz von Magenta Security bezogen werden können.
