Social Hacking: Ausnutzung des menschlichen Verhalten

Um Computersysteme soweit es geht abzusichern, muss man Sicherheitslücken schließen, die Angreifer potenziell missbrauchen könnten. Dabei sollte man den Begriff "Sicherheitslücke" jedoch nicht nur auf den technischen Aspekt beschränken. Es bedeutet nämlich nicht immer, dass irgendein Gerät oder irgendeine Software eine Schwachstelle hat, die ausgenutzt werden kann.

Es kann z.B. auch bedeuten, dass Menschen aufgrund von Unwissenheit, falsch gesetztem Vertrauen oder durch Unterschätzung von Gefahren sich so verhalten, dass ein Missbrauch der technischen Systeme vereinfacht wird und dadurch die Sicherheitslücken erst entstehen.

Da technische Systeme auch im Hinblick auf die Sicherheit ständig weiterentwickelt und verbessert werden, versuchen viele Hacker, die technischen Hürden dadurch zu überlisten, indem sie das menschliche Verhalten ausnutzen oder diese durch gewisse Methoden, zum Teil mit psychologischen Tricks, zu bestimmten Handlungen zu bewegen, z.B. die Preisgabe von Passwörtern und anderen persönlichen Daten, die Überweisung von Geld oder die Erbringung von Dienstleistungen.

Der Missbrauch fremder Systeme, der unter Zuhilfenahme des Faktors Mensch erreicht wurde, wird Social Hacking genannt. Es stellt für einen Hacker einen sehr wichtigen Baustein dar und das kann auf vielerlei Wegen erfolgen. Einige Beispiele:

• Vortäuschung falscher Identität: Ein beliebter Trick ist, eine falsche Identität vorzutäuschen. Ein Anrufer kann z.B. angeben, Administrator des Unternehmens zu sein und wichtige Informationen und evtl. sogar Passwörter entlocken.
• Vortäuschung von Autoritäten: In Kombination mit einer falschen Identität wird auch häufig versucht, eine Autoritätsperson vorzutäuschen, z.B. eine Person mit Befugnissen.
• Vortäuschung von E-Mails und Webseiten: Viele Hacker versuchen, zum Teil mit gefälschten E-Mails, sogenannten Phishing E-Mails, die Menschen auf Webseiten umzuleiten, die täuschend echt wie die originalen Webseiten aussehen. Dort wird dann mit verschiedenen Methoden versucht, sensible Daten wie z.B. Benutzernamen, Passwörter, PIN's und TAN's in Erfahrung zu bringen.
• Vortäuschung von Interessen und Gemeinsamkeiten: Menschen mit ähnlichen Interessen und Gemeinsamkeiten kommen schnell ins Gespräch und finden sich häufig sympathisch. Um näher an ein Opfer zu kommen, können ähnliche Interessen und Gemeinsamkeiten auch lediglich vorgetäuscht werden.
• Ausnutzung angenehmer Situationen: Wenn Menschen sich wohl fühlen, dann reden sie tendenziell mehr. Darunter auch scheinbar unwichtige Dinge, die für einen Hacker jedoch sehr wertvoll sein können.
• Ausnutzung unangenehmer Situationen: Menschen mögen naturgemäß keine unangenehme Situationen und wollen solche Situationen schnellstmöglich beenden. Darauf setzen manche und versuchen, unangenehme Situationen herbeizuführen und die Menschen zu schnellen und unüberlegten Handlungen zu bewegen.
• Ausnutzung von Vertrauen: Vielfach wird das Vertrauen von Menschen ausgenutzt, um an Informationen zu gelangen und deren technischen Systeme zu missbrauchen. Beispielsweise könnte eine vermeintlich "nützliche Software" sich als das genaue Gegenteil von dem entpuppen und Schäden auf dem Rechner anrichten.
• Ausnutzung von Nachlässigkeit: Die Absicherung von IT-Systemen und ein sicherheitsbewusstes Verhalten erfordert viel Disziplin und ist anstrengend. Manchmal wird das vernachlässigt, was wiederum ausgenutzt wird, z.B. die Anbringung des Passworts unter der Tastatur oder leicht zu erratende Passwörter.

Das sind nur einige Beispiele und es gibt praktisch viele weitere Möglichkeiten im Bereich des Social Hackings. Die Fälle nehmen in der Anzahl und der Qualität zu und es werden immer wieder neue Tricks bekannt. Da Menschen von Natur aus nicht ständig über die Gefahren nachdenken, wird Social Hacking häufig unterschätzt und das wird vielfach ausgenutzt, um allerlei Unheil auf dem Rechner oder sonstigen IT-Systemen anzustellen. Folgende Umstände begünstigen dabei Social Hacking:

• Unwissenheit: Vielfach wissen die Anwender nicht, welche technischen Möglichkeiten es gibt und das wird wiederum gnadenlos ausgenutzt. Hat man z.B. einen neuen Rechner gekauft und möchte man für den alten Rechner noch etwas Geld bekommen, wird der gebrauchte PC häufig im Internet angeboten. Hacker haben hier leichtes Spiel. Denn, selbst wenn die Daten auf der Festplatte gelöscht werden, gelingt es ihnen mit den entsprechenden Tools oft, die Daten wiederherzustellen. Samt persönlichen Daten und Passwörtern zu allerlei Diensten und Programmen.
• Zu viel Vertrauen: Ist der Rechner mal kaputt und muss das System neu aufgespielt werden, wird schnell der Ruf nach einem "IT-Experten" laut. In solchen und ähnlichen Fällen ist Vertrauen fehl am Platz und man sollte generell niemandem leichtfertig den PC übergeben. Denn, es kann durchaus vorkommen, dass hinter dem vermeintlich freundlichen IT-Experten ein Freizeithacker verbirgt. Sicherlich muss man manchmal jemandem Vertrauen, wenn man nicht mehr weiterkommt. Dabei sollte man jedoch ganz genau abklären, was gemacht wird und so wenig wie möglich an persönlichen Daten übergeben. Im Falle eines defekten Rechners könnte man z.B. den Rechner ohne die Festplatte übergeben oder darauf bestehen, dass die Reparatur vor Ort geschieht, selbst wenn es mehr kostet.
• Unterschätzung der Gefahren: Oft werden die Gefahren unterschätzt. Man nimmt an, dass man doch kein lohnenswertes Ziel für einen Hacker darstellt. Die Wirklichkeit sieht jedoch so aus, dass jeder Mensch ein Ziel darstellen kann. Und sei es nur, den E-Mailaccount zum spammen zu missbrauchen.
• Nichterkennung von Täuschung und Tarnung: Genauso wie ein Einbrecher nicht entdeckt werden möchte, möchten auch Hacker nicht entdeckt werden. Schließlich können ihre Taten geahndet werden. Zu diesem Zweck tarnen sie sich häufig und täuschen die Mitmenschen. In der öffentlichen Meinung hat sich ein Bild etabliert, das Hacker als einsame Wesen in einem dunklen Raum vor dem PC sitzend zeigt. Es gibt zwar auch solche Menschen, jedoch nicht nur. Manche haben ganz normale Berufe mit Familie und Kindern und ein ganz normales Leben.
• Leichtfertiger Umgang mit der Technik: Hat man z.B. einen DSL-Anschluss bestellt und den Router erhalten, sind viele Menschen einfach nur froh, endlich ins Internet zu gelangen. Dabei wird häufig unterlassen nachzuschauen oder nachzufragen, ob das Gerät mit einem Passwort geschützt ist, wie das aktuelle Kennwort lautet, wie man an die Konfiguration des Routers gelangt, wie die aktuelle Konfiguration ist, ob das Gerät evtl. Sicherheitslücken enthält etc. Das Standardpasswort ist z.B. bei allen Routern aus den Handbüchern zu entnehmen und somit bekannt. Diese müssen manuell geändert werden. Tut man das nicht, haben fremde Personen leichtes Spiel, sich Zugang zum Router zu verschaffen und z.B. die Benutzer auf gefälschte Webseiten zu leiten oder die Daten auszulesen.

All diese Dinge begünstigen den Missbrauch und vielfach wird den Hackern die Arbeit unnötig erleichtert. Ein bekannter Hacker erzählte einmal nach seiner Verhaftung in den Vernehmungen, dass es wesentlich einfacher war, die Menschen zu überlisten, statt die Soft- oder Hardware. Er konnte sich reihenweise in fremde Netzwerke und Rechner einklinken, ohne dass er hierfür großen Aufwand betrieb oder eine besondere Schadsoftware programmieren musste.