Social Engineering benutzt Techniken der Beeinflussung und Überredungskunst zur Manipulation oder zur Vortäuschung falscherTatsachen, über die sich ein Social Engineer eine gefälschte Identität aneignet. Damit kann der Social Engineer andere zu seinem Vorteil ausbeuten, um mit oder ohne Verwendung von technischen Hilfsmitteln an Informationen zu gelangen. (2)

"Die Kunst der Täuschung" von Kevin Mitnick (3) ist nicht nur spannend geschrieben, sondern kann als das Standardwerk zum Thema mit der Einschränkung angesehen werden, dass es sich vorrangig um eine Fallstudie handelt, die nur begrenzt verallgemeinerungsfähig ist.

Mitnick stellt seinem Buch von 2003 eine Definition voran, mit der er das Social Engineering (SocEng) (4) klar von den technischen Methoden des Hackings, dem er sein zweites Buch gewidmet hat (5), und den Überredungstechniken in Spam-Mails und auf Website-Pharmen abgrenzt.
 

Sie sind wegen ihrer Ähnlichkeiten als SocEng im weiteren Sinne zu betrachten, so dass wir unterscheiden können ( Grafik)

die kommunikative (sozialpsychologische) Erkundung und Kombination vertraulicher Daten mit dem Ziel, diese zu missbrauchen (SocEng im engeren Sinne),

den Einsatz von Abhörtechniken und

den Einsatz von Manipulationsstrategien, um EDV-Anwender ohne persönliche Ansprache durch Online-Informationsträger zur Offenbarung vertraulicher Informationen (z.B. Phishing) oder zur unbedarften ( Malware) oder heimlichen Installation von schädlichen Programmen [ Crimeware, (6)] zu veranlassen.

 
Den Anlass für diesen Aufsatz gibt das jüngste Security Journal von McAfee, das sich dem Schwerpunkt SocEng widmet und jetzt auch auf Deutsch (ZIP-Datei) erschienen ist.

Die White Papers und sonstigen Publikationen von McAfee werden etwas versteckt im Threat Center präsentiert, aber nicht weiter beworben. Das Security Journal ist die Fortsetzung der jährlichen Berichte über die globalen Sicherheitsbedrohungen, die mich im vergangenen Jahr mit spannenden Länderberichten überrascht haben. Sie sind mit dafür ausschlaggebend gewesen, dass ich zunächst die Theorie von der modularen Cybercrime entwickelt und dann für die modulare Kriminalität verallgemeinert habe. Die Erfahrungen zeigen (leider), dass ich damit Recht gehabt habe.
 

 
Zuletzt erschien von McAfee der Jahresbericht zur Entwicklung der Virtuellen Kriminalität (6a). Auf seine weiteren  Ergebnisse wird noch eingegangen.

Nach einer Einführung in die Methoden des SocEng folgt eine Auseinandersetzung mit dem Security Journal von McAfee. Einige Passagen in diesem Text habe ich aus meinem Arbeitspapier aus dem Jahr 2007 (7) übernommen und aktualisiert.

Der Artikel ergänzt die technischen Erklärungen, die zunächst die allgemeine IT-Sicherheit, die Angriffspunkte für eine Online-Durchsuchung und die Malware zum Gegenstand hatten.

 
Mehr als 60 oder 70 Prozent aller Angriffe gegen Datenverarbeitungssysteme erfolgen nicht von außen, sondern von innen, also von den eigenen Mitarbeitern, die selten aus Böswilligkeit, sondern aus Unwissenheit, aus Unbekümmertheit oder aus Bequemlichkeit Betriebs- und Sicherheitsvorgaben missachten, umgehen oder aushebeln (8). Dasselbe gilt für Betriebs- und Unternehmensgeheimnisse, die nirgendwo so unüberlegt ausgeplaudert werden wie am Telefon oder in E-Mails an Geschäftspartner.

Maßnahmen gegen das SocEng gehören deshalb inzwischen zum Grundschutzstandard für die IT-Sicherheit (9).

Dieser Erkenntnis folgend hat sich bereits in vielen US-amerikanischen Firmen eine Sicherheitsphobie entwickelt, die zu massiven (illegalen) Überwachungen des Telefon- und E-Mailverkehrs geführt hat (10). Das größte Echo in der Öffentlichkeit erfuhr die interne Untersuchung bei Hewlett-Packard wegen Insiderinformationen aus dem Verwaltungsrat, die an die Medien weitergegeben wurden (11).

In jüngerer Zeit häufen sich aber auch vergleichbare Beispiele aus Deutschland (13).

Als die vier wichtigsten Ursachen, die dem Social Engineering von innen heraus den Boden bereiten, gelten schlechtes Betriebsklima, keine Karrierechancen, Lohndumping sowie mangelnde Fort- und Weiterbildungskonzepte. (14)
 

 
Dem SocEeng geht es um die Informationsbeschaffung und nicht zwingend darum, die Datenverarbeitung zu stören. Ihr Arsenal besteht aus allen Methoden der Manipulation und Suggestion: „Täuschung, Bestechung, Erpressung, Einschüchterung, Bedrohung, Appellieren an die Hilfsbereitschaft oder Ausnutzen der Arglosigkeit des Opfers“ (15).

Die dazu entwickelten Angriffsmethoden reichen vom Durchstöbern von Abfällen nach interessanten Aufzeichnungen bis hin zu psychologisch geschickten Befragungen (16). Dabei handelt es sich um klassische Methoden der Detektiv- und Spionagearbeit, die an die heutigen Bedürfnisse angepasst werden (17).

Ihr Anwendungsfeld reicht von der klassischen Industriespionage (18) über das Ausforschen behördlicher Geheimnisse (19) und das Abwerben besonders qualifizierter und kenntnisreicher Mitarbeiter (20) bis hin zur Erstellung von Persönlichkeitsprofilen (21), die über Bewerber, Konkurrenten oder potentielle Opfer Auskunft geben (22).

Die Prognosen von Sicherheitsfachleuten für 2009 gehen davon aus, dass sich Hacking- und Malware-Angriffe verstärkt auf einzelne Gruppen, Organisationen und Unternehmen konzentrieren werden (23). Sie werden gepaart sein mit den Überredungstechniken des SocEng, sei es, um Zugang zu geschützten Organisationen zu bekommen, ihre innere Struktur und ihre Schwachstellen zu erkunden oder um Überwachungstechnik oder Malware zu platzieren (24).
 

 
Vorsorge gegen das SocEng ist aber keine reine IT-Aufgabe, sondern eine Maßnahme zur Unternehmenssicherheit. Die Sicherheitskultur, die dazu geschaffen werden muss, lässt sich mit wenigen Regeln (siehe links außen) formulieren (25).

Philipp Schaumann, der zur Sicherheitskultur und Informationssicherheit eine interessante Webseite betreibt (26), gibt die Regeln in der Form von Merksätzen wieder ( mittlere Spalte). Sie reichen bis in den privaten Bereich hinein und stammen ursprünglich von der Secorvo (27).

Ganz wichtig dabei ist, dass Sicherheit nicht als Kontrolle der Mitarbeiter ausgerichtet wird, sondern als Identität und gemeinsames Anliegen. Dazu gehört auch der kritische Blick auf das auffällige Handeln anderer Kollegen.

Eine richtig verstandene und sensibel organisierte Sicherheitskultur schützt gleichermaßen die IT-Infrastruktur, vor Datenmissbrauch und Korruption. Sie erfordert Schulungen und ein funktionstüchtiges Meldesystem mit geregelten Zuständigkeiten. Ihre Methoden sind die Motivation und der Lob. Sie muss gemeinsam von allen Beteiligten als selbstverständlich gelebt werden (28).
 

 
Sven Vetsch (29) beschreibt das Vorgehen beim SocEng in sechs typischen Schritten:
 

	Informieren Informationen über das Ziel der SocEng-Attacke sammeln, z.B. Im Internet oder per „Dumpster diving“, also das Durchwühlen von Abfällen auf der Suche nach betriebsinternen Informationen wie Organigramme, Telefonverzeichnisse, persönliche Aufzeichnungen. Andere öffentliche Quellen sind z.B. Bibliotheken, Patentschriften, Museen und öffentliche Auftritte auf Messen.
	Kontakt aufbauen mit Anruf, persönlichem Besuch, Brief, E-Mail, Newsgroup, Weblog.
	Vortäuschung einer Identität In eine andere Rolle schlüpfen, z.B. als Vorgesetzter der Kontaktperson, als Endanwender, als Kunde oder als Interviewer bei einer Telefonumfrage.
	Zielinformationen erarbeiten Sich durch verschiedene Fragen an die Zielinformationen herantasten. Beispiele:
		Ich bin neu in der Systemverwaltung und muss Ihre Anwenderdaten überprüfen. Wie war noch Ihre Zugangskennung? Und das Passwort?
		Hier arbeitet doch die Frau Sowieso (Information aus einem Organigramm aus dem Vorjahr). Arbeitet die hier gar nicht mehr?
		Hier Meier, PI Garbsen. Ich habe von meinem Kollegen den Vorgang wegen des Verkehrsunfalls (dort und dort) übernommen. Ist der Vorgang mit dem Führerschein schon bei Ihnen?

 

Kontakt halten Wenn man die Zielinformationen hat, soll man den Kontakt möglichst nicht “verlieren“. Die Kontaktperson darf nicht merken, dass sie sensible Daten an einen Social Engineer weitergegeben hat. Gute Kontakte kann man immer wieder verwenden. Der Zugang zu ihm ist leichter, weil man auf die zurückliegenden Kontakte Bezug nehmen kann und die Kommunikation bereits vertraut ist. Der geschickte Angreifer lässt dabei auch immer wieder persönliche Informationen einfließen, die er bei den früheren Kontakten gesammelt hat.

Informationen zusammensetzen Die Teilantworten müssen sinnvoll miteinander kombiniert werden. Meistens hat man nur nach Teilinformationen gefragt und auch nur solche erhalten. Sie mögen noch so banal erscheinen, können jedoch häufig zu sensiblen Informationen verbunden werden.

Der Social Engineer ist ein intellektueller Angreifer. Er muss nicht nur über Einfühlungsvermögen verfügen, sondern auch gebildet sein. Er muss sein Handwerk verstehen. Dazu gehören nicht nur Kenntnisse über die Zielorganisation, sondern auch über die Sprach- und Handlungsgewohnheiten ihrer Mitarbeiter. Schließlich muss der Social Engineer die Informationen, die er erhalten hat, bewerten, verbinden und wieder feinfühlig bewerten und hinterfragen.

Das ist ein kriminalistisches Vorgehen, das identisch mit der Prüfung des Verdachts im Zusammenhang mit Straftaten ist.
 

 
Das Security Journal - SJ - befasst sich mit der heimtückischsten und allgegenwärtigen Bedrohung – dem Social Engineering (S. 3). McAfee ist kein Consulter für die Unternehmensorganisation, sondern ein Anbieter von Sicherheits- und Anti-Malware-Software. Seine Aussage überrascht, weil sie so gar nichts mit dem Vertrieb des Unternehmens zu tun hat.

McAfee's Blickrichtung ist jedoch eine andere als die von Mitnick oder Veitsch, weil die Studie die technischen Angriffsszenen in den Vordergrund stellt und dann erst nach den betrügerischen Strategien fragt, mit denen sie umgesetzt werden. Dieser Blick auf das SocEng im weiteren Sinne ist genau richtig, weil wir nach den Bedrohungen im Zusammenhang mit der IT fragen und nicht danach, wie man Leute überhaupt betrügen kann (31).

Einen amüsanten Einstieg liefert Hiep Dang, indem er überlieferte Beispiele für das SocEng aus der klassischen Sagenwelt und der Bibel beschreibt (32). Anschließend zeigt er die Entwicklungen bei der Malware und der Sicherheitstechniken auf.
 

 
Die Aufsätze im übrigen beschäftigen sich mit den Erscheinungsformen und Techniken des SocEng.

 
Karthik Raman beschäftigt sich mit den medizinischen und psychologischen Grundlagen für menschliche Entscheidungen und deren Missbrauch (33).

Dazu geht er zunächst auf die Bedeutung emotionaler Entscheidungen ein, die nicht zwangsläufig im Einklang mit rationalen Erwägungen stehen. Unredliche Politiker, Spione und Hochstapler wissen nur zu gut, dass sie ihre Ziele sehr effizient erreichen können, wenn sie an Emotionen – insbesondere an die Angst – appellieren, um eine emotionale Reaktion auszulösen. Diese Tradition setzen Social Engineers nun fort. (S. 10)

Raman widmet sich sodann verschiedener Spielarten des SocEng. Viele seiner Beispiele sind von Mitnick übernommen worden, was die Darstellung nicht schmälert. Ihm geht es darum, die bekannten Techniken auch bekannt zu machen, um sie durch Sicherheitskonzepte und Schulungen abzuwehren.

Emotionen manipulieren
Hierbei wird auf universale Gefühle wie Angst, Neugier, Gier und Mitgefühl abgezielt. Das Beispiel links oben zeigt, wie die Angst instrumentalisiert werden kann. Die Neugier der Mitmenschen wurde im April 2007 ausgenutzt, als die Angreifer auf einem Parkplatz in London USB-Sticks "verloren". Die glücklichen Finder infizierten ihre PCs mit Phishing-Malware (S. 10).
 

 
Darunter versteht Raman ein Vorgehen, bei dem die Faustregeln des Alltagslebens (Heuristik) durch kognitive Verzerrungen durcheinander gebracht werden.

Entscheidungsstützende Verzerrung
Sie zielt auf Gewohnheiten und Erfahrungen der Anwender. Nachgemachte Webseiten, Spam-Mails, die bekannte Unternehmensinformationen oder Newsletter nachahmen, und Nachrichten von angeblich vertrauten Kommunikationspartner nutzen diese Methode, um das Opfer zur Preisgabe persönlicher Informationen zu bewegen.

Bestätigungsfehler
Als Beispiel nennt Raman die in vielen Unternehmen übliche Uniformierung von Mitarbeitern. Ein Angreifer in derselben oder in einer nachgemachten Uniform wird vom Opfer ohne Nachfrage als Mitarbeiter jenes Unternehmens identifiziert. Eschbach spricht insoweit von der Magie von Visitenkarten (34) (siehe Text links unten).

Mere-Exposure-Effekt
Der "Effekt der bloßen Darstellung" nutzt die Sensationslust bei spektakulären Ereignissen wie Katastrophen und Unglücke (34a). In ihrer Folge steigt die Zahl der Phishing-Seiten an, die sich dem Thema widmen und ihre Malware platzieren sollen.

Ankerheuristik
Dabei geht es um ins Auge springende Identifikationsmerkmale (Bank-Logo, Kennzeichen von Marken, Corporate Identity), die Vertrautheit bewirken und die Kritikfähigkeit schwächen (nachgeahmte Bankseiten).
 

 
Sozialpsychologen definieren ein „Schema“ als Abbild der Realität, auf das wir uns beziehen, um Schlussfolgerungen zu unserer Umgebung ziehen zu können (S. 11). Schemata sind danach aus der Erfahrung gebildete Schablonen für Verhaltensweisen, die als "normal" oder "unauffällig" betrachtet werden. Der Angreifer nutzt sie, um in der Menge unterzutauchen. (37)

Attributionsfehler
Hierbei geht es um gut geübte Schauspielerei. Angreifer können sich sympathisch verhalten, wenn sie eine Bitte äußern, oder dominierend auftreten, wenn sie ihre Opfer zu einer bestimmten Handlung nötigen. (S.11)

 
 Salienzeffekt
Die Angreifer fügen sich unauffällig wie ein Chamäleon in ihre Umgebungen ein, schließen sich Gruppen an, die verschlossene Eingänge nutzen, und lösen sich von ihnen ebenso unauffällig. Sie geben sich vielleicht als Kunde im Anzug oder als Betreuer in Arbeitskleidung aus, aber nicht als Gaukler auf Stelzen. Die Integration ist dabei nicht nur auf die Kleidung oder das Erscheinungsbild beschränkt – sie kann sich auch auf die Kenntnis von unternehmenseigenem Jargon, firmeninternen Ereignissen sowie Mitarbeitern des Unternehmens und sogar auf die Beherrschung des lokalen Dialekts erstrecken. (S. 11)

 Konformität, Nachgiebigkeit und Gehorsam
Auch hier geht es um das Auftreten, jedoch gepaart mit Eindruck schindenden Elementen wie Herablassungen, Drohungen oder Versprechungen. So könnte sich ein Social Engineer als Führungskraft auf Geschäftsbesuch ausgeben und sich gegenüber einem jungen Sicherheitsbediensteten durchsetzen, dass er ihm Zugang zum Firmengelände gewährt, obwohl er kein Namensschild trägt. (S. 11)
 

 
Die Zeit der Unschuld ist vorbei (38). Das legt auch Markus Jakobsson zugrunde und beschreibt die aktuelle und künftige Cybercrime als geschäftsmäßige Aktivitäten (39).

Die Methoden des Betruges im Internet betrachtet Jakobsson als eine Mischung aus IT und SocEng. Wegen der zunehmenden Strafverfolgung meint er, dass die Cyber-Kriminellen verstärkt dazu übergehen werden, ihre Spuren zu verwischen.

Dazu blickt er zunächst zurück auf den Trojaner Archiveus, eine "Lösegeld-Ware" (Ransomware), mit der die Daten der Opfer verschlüsselt wurden. Anschließend kam die erpresserische Forderung, dass gegen Geld der Schlüssel für die Entschlüsselung geliefert werde. Das Scheitern des Trojaners hatte aber nicht nur technische Gründe: Es gab für die Kriminellen keine Möglichkeit, an das erpresste Geld heranzukommen, ohne dass man ihnen auf die Spur gekommen wäre (S. 14). (39a)

Sodann geht Jakobsson auf die Vandalware ein. Bevor sie zum Einsatz kommt, erwirbt der Angreifer Put-Optionen gegen ein Handelsunternehmen, also Wettscheine auf die Erwartung, dass der Handelswert des Unternehmens sinkt. Dann folgt der Angriff mit dem SocEng, um in dem Unternehmen über Mitarbeiterkontakte die Vandalware zu verbreiten. Wenn das erfolgreich war, dann folgt der zerstörerische Angriff, der zum Beispiel zur Veröffentlichung von Kundendaten auf der Unternehmenshomepage, zum Zusammenbruch der Webshops oder zum Ausfall des Rechnungswesens führt. Die Börsen reagieren darauf unmittelbar, seine Put-Optionen gewinnen an Wert und der Angreifer macht Gewinn (S. 14).

Dieses Szenario ist grob und entdeckungsgefährdend gegenüber dem, das der Cyberfahnder bereits beschrieben hat (40).
 

 
Schließlich stellt Jakobsson den Klickbetrug vor. Wenn ein Käufer auf eine Werbung klickt, zahlt der Inserent sowohl an den Betreiber der Website, auf der die Werbung angezeigt wird, als auch an das Portal, das die Website mit der Werbung bereitgestellt hat, eine Gebühr. Allein schon bei der Auswahl der Referenzwörter können  mehr oder weniger hohe Kosten zu Buche schlagen (Suchwort-Arbitrage). Aber das ist noch kein Betrug (Szenario 2, S. 15)

Mit angeworbenen Klickern, also Menschen, automatischen Website-Weiterleitungen und Klick-Robotern, also Programmen, die den Seitenaufruf permanent durchführen, können jedoch die Klickzahlen in die Höhe getrieben werden ... und der Gewinn.

Noch besser dazu geeignet sind Botnetze. Jeder Zombie klickt einmal und die Klickzahl geht ins Unermessliche .. dann folgt die nächste Runde. Das zahlungspflichtige Unternehmen hat kaum eine Chance zu beweisen, dass es mit kaufdesinteressierten Zombies betrogen wurde.

Ein feinsinniges Beispiel liefert Jakobsson dafür, wie Preisunterschiede bei den Klickwörtern aus genutzt werden können. Das Suchwort "Asthma" ist verbreitet und eine Platzierung bei Google kostet etwa 0,10 US-$. Wenn der Täter auf seiner Webseite zum Thema Asthma einen Artikel einstellt, in der die sachlich blödsinnige Frage gestellt wird: „Wussten Sie, dass bei zehn Prozent der Asthmatiker das Risiko besteht, an einem Pleuramesotheliom zu erkranken?“, kann er erwarten, dass sehr viele besorgte Besucher die Werbung zum Suchwort Pleuramesotheliom anklicken. Jeder Klick bringt etwa 63 US-$ (S. 15).
 

 
An Jakobbsons Vandalware schließt Anthony Bettini wegen der Schwachstellen an den Aktienmärkten an (41). Er betrachtet zyklische und vorhersehbare Aktienkursschwankungen sowie andere Besonderheiten des Aktienmarktes. Am Rande berührt er Spam-Mails, die zum Kauf von Penny-Stocks. Wenn sich der Spammer selber eingedeckt hat, dann kann er durch seine Werbung vorübergehend die Kurse ansteigen lassen und rechtzeitig bei (erwartetem) Höchststand verkaufen. Diese Methode ist nicht ganz so brutal wie die von mir geschilderte (42).

Elodie Grandjean analysiert im einzelnen die Spam-Mails und Malware-Angriffe, die 2008 die Olympischen Spiele in China und die politischen Auseinandersetzungen um den politischen Status von Nepal zum Gegenstand hatten (43).

Wir haben bereits erlebt, dass einzelne Mitglieder von Pro-Tibet-Gruppen E-Mails erhielten, die eine mit der Situation in Tibet, China im Allgemeinen oder der Olympiade in Verbindung stehende CHM- (kompilierte Hilfe), PDF-, PPT-, XLS- oder DOC-Datei als Anlage enthielten. Sämtliche dieser E-Mails schienen von einer vertrauenswürdigen Organisation oder Person zu stammen. Die Empfänger waren es gewohnt, solche Dokumente von ihren Unterstützern zu erhalten, und waren deshalb wohl nicht allzu wachsam. Die Anlagen jedoch waren bösartig (S. 17).
 

 
Craig Schmugar hebt die zunehmende Bedeutung von sozialen Netzwerken hervor und weist besonders auf ihre Werbe- und Marketingmöglichkeiten hin (44). Er beschreibt sodann ihre Anfälligkeit gegen Malware (45) und ihre künftigen Entwicklungen: Integration von GPS für standortabhängige Dienste, Datamining und Auswertung der besonderen Nutzerinteressen.

Social-Websites werden auch cleverer werden und Benutzerinformationen im Web sammeln. Social-Bookmarking-Funktionen wie Digg werden mit sozialen Netzwerken kombiniert und mit selbstlernenden Technologien wie Pandora oder StumbleUpon und Tagging-Funktionen wie Flickr aufgewertet werden. Im Endergebnis steht der Community ein noch umfangreicherer und detaillierterer Strom an relevanten Informationen zur Verfügung, als dies derzeit der Fall ist. Auf Ihrem iPhone werden Sie Empfehlungen zu Filmen aus Ihrem Netzwerk erhalten können. ... (S. 29)

Ob das alles wünschenswert ist, ist eine zweite Frage. Diese Dienste vergläsern die Anwender und lassen eine genaue Platzierung von Werbung zu. Die von ihnen gesammelten Daten und ihre Auswertungen eröffnen aber auch dem Missbrauch Tür und Tor.

Das verkennt auch Schmugar nicht, der breit die "Zunahme von Risiken" anspricht (S. 30).
 

 
Rahul Kashyap zeigt die Entwicklung der Malware auf und vor allem ihre zunehmende Individualisierung für gezielte Angriffe gegen Unternehmen und Behörden (46).

Er weist zunächst auf die seit 2004 stagnierende und seit 2006 abnehmende Zahl von Malware-Angriffen gegen Server-Produkte von der Firma Microsoft hin, was deren Strategie bestätigt, regelmäßig automatische Updates bereit zu stellen, mit denen Programmfehler und festgestellte Sicherheitslücken (Exploits) behoben werden. Gleichzeitig stieg jedoch die Zahl der Angriffe gegen die Arbeitsplatzrechner (Clients), wobei weniger die Betriebssysteme als die gebräuchlichen Anwenderprogramme missbraucht werden. Das beschränkt sich nicht auf die weit verbreiteten Produkte im Ofice-Paket von Microsoft, sondern betrifft auch z. B. Adobe, Mozilla und Apple (S. 32). (47)

Für die Ausnutzung von Client-Schwachstellen sind jedoch Benutzerinteraktionen entscheidend. Malware-Autoren mussten deshalb Wege finden, wie sie Benutzer zum Klicken auf Links und Herunterladen von Bildern sowie Dokumenten aus dem Internet verleiten konnten. Und damit sind wir wieder beim SoEng.

Gleichzeitig habe sich auch die Methodik der Malwareschreiber zur Spionage hin verändert, berichtet Kashyap. Waren die Angriffe zunächst breit angelegt, roh und zerstörerisch, so seien sie immer feiner auf einzelne Einrichtungen, Unternehmen und Behörden ausgerichtet worden (48).

Zwei weitere Trends stellt Kashyap vor: Manipulierte Webserver (49) und Angriffe gegen Router in privaten Heimnetzwerken (50).
 

 
Daran schließt Benjamin Edelman an, der sich dem Typosquatting widmet (51).

Zur Vorbereitung dieser schon länger bekannten Methode (52) registrieren die Angreifer für sich Domänennamen mit leichten Abweichungen gegenüber bekannten Markennamen und Internetanbietern. Dazu ist es besonders beliebt, Buchstaben mit solchen auszutauschen, die auf der Tastatur unmittelbar daneben angeordnet sind (z.B. "giiple.com") und damit Erfolg bei "Vertippern" versprechen. Auch das Weglassen von Zeichen gehört dazu, z.B. des Punktes bei "wwwmcafee.com" (S. 34).

Im Auftrag von McAfee hat Edelmann 80.000 Typosquatting-Domänen allein für die Top 2.000-Websites gefunden [Mai 2008, siehe auch (52)]. Für besonders gefährlich erachtet er solche Vertipper-Seiten, die sich auf besonders von Kindern besuchten Seiten beziehen und ihrerseits pornographische Bilder publizieren.

David Marcus greift eine Studie von McAfee aus dem Juni 2008 auf und stellt die gefährlichsten Domains vor (53), die mit einer Häufung als Spam-Versender, Malware-Depots oder manipulierten Webseiten auffallen (54). Die beiden Spitzenreiter sind die USA und Polen.
 

 
Adware und Spyware sind potentiell unerwünschte Programme - PUP, die wegen ihrer Verbreitung den Begriff "Trojaner" bekannt gemacht haben (55). Sie waren in aller Regel in selbständiges Programm eingebettet, mit denen die Funktionen des PCs erweitert werden konnten (z.B. MP3-Player, Übersetzungsprogramme, Spiele).

Mit ihrer Geschichte und Funktion setzt sich Aditya Kapoor auseinander (56).

Als Adware werden Programme bezeichnet, die neben ihrer nützlichen Funktion unvorhergesehen Werbung anzeigen (57).

Im engeren Sinne steht der Begriff Spyware für Überwachungssoftware, die ohne angemessene Kenntnisnahme, Zustimmung oder Kontrolle durch den Benutzer installiert wird. (S. 38) Im weiteren Sinne wird Spyware als ein Synonym für (Technologien) verwendet, die ohne entsprechende Zustimmung des Benutzers installiert und/oder implementiert werden ... (S. 38)

Es gibt auch Mischtypen davon, etwa Adware, die gleichzeitig das Nutzerverhalten überwacht und auswertet, um dann gezielt ausgewertete Werbung zu übermitteln.

Die PUPs erschienen erstmals 2000, hatten 2005 den höchsten Grad ihrer Verbreitung und gehen seither zurück (S. 39). Bei ihrer Verbreitung werden zunehmend die Methoden des SocEng genutzt.
 

 
Ihre Verbreitung finden die PUPs wegen eines besonderen Vergütungssystems, dem Pay-Per-Installation - PPI, bei dem für jedes installierte PUP eine Provision bezahlt wird. Kapoor nennt ein Beispiel: ZangoCash zahlt ... für jede installierte Adware in den USA zwischen 0,75 und 1,45 US-Dollar (S. 39). Die Installation wird vermittels eines Refferers (Nachverfolger) signalisiert.

Für den Verbreiter kommt es also darauf an, möglichst viele Installationen zu erwirken, so dass sie in häufigen Fällen auf die Anzeige der Endbenutzer-Lizenz verzichten oder die PUPs gleich mit Malware verbreiten.

Ein anderes Vergütungssystem ist das Pay-Per-Click - PPC.

Einige der gebräuchlichsten Transportmechanismen für PPC-Inhalte sind:
• Bannerwerbung: Werbeanzeigen werden innerhalb eines Banners oder vordefinierten Bereichs eingeblendet. Wechselnde Inhalte sind möglich.
• Pop-Up- oder Pop-Under-Werbung: Die Werbung wird in eigenen Fenstern angezeigt, was von den Benutzern meist als störend empfunden wird.
• Flash-basierte Werbung: Ist der Bannerwerbung ähnlich, es werden jedoch Flash-Animationen verwendet, um wechselnde Inhalte anzuzeigen. (S. 40)

Im Weiteren referiert Kapoor verschiedene Methoden und Vorfälle der missbräuchlichen Verbreitung von PUPs über Spam-Mails, soziale Netzwerke, Suchmaschineneinträge und gefälschte Webseiten.
 

 
Die Ergebnisse der Studien wurden bereits in der Meldung über die englischsprachigen Ausgabe veröffentlicht und werden links wiederholt.

Der Ansatz von McAfee, im Zusammenhang mit dem SocEng einen besonders intensiven Blick auf die Malware zu werfen, ist sicherlich berechtigt, verkürzt aber das Thema als solches. Richtig daran ist, dass die Verbreitung von Malware und das Locken auf manipulierte Webseiten ohne die mittelbaren sozialpsychologischen Überredungsmethoden des SocEng nicht mehr möglich sind oder jedenfalls nicht in dieser Häufung funktionieren würden. "Mittelbar" deshalb, weil hier vor allem mit Texten, Bildern und dem Layout umgegangen wird, um den Anwender in Vertrauen zu wiegen oder zu übertölpeln.

Das echte und unmittelbare SocEng benutzt keine Medien, sondern findet in sozialer Kommunikation statt. Es wird immer auch Mischformen geben, in denen der Social Engineer auch Medien einsetzt oder Abhörtechnik und die Methoden des Hackings ( siehe Grafik oben).

Die Auseinandersetzung mit dem echten SocEng, die Karthik Raman nach einer nicht geglückten Einleitung über die medizinischen und psychologischen Grundlagen vollführt, beschränkt sich auf die von Mitnick bekannten Fallstudien und findet keine Verbindung zu den Themen im Security Journal im übrigen. Sein Verdienst ist es, dass er die Methoden der Manipulation in den Zusammenhang zu sozialpsychologischen Schemata stellt und damit besser systematisiert.
 

 
Die übrigen Aufsätze liefern gute Zusammenfassungen zu einzelnen Themen und Aspekten. Ihnen fehlt jedoch der Zusammenhang und besonders fehlt eine Systematik der Methoden des mittelbaren SocEng.

Außerdem weisen die Aufsätze Lücken auf, weil sie Botnetze und ihre Betreiber unerwähnt lassen und die verschiedenen Formen der Cybercrime sowie die dabei verwendeten Methoden nicht analysieren und systematisieren.
 

Das Security Journal ist eine wichtige und zum Lesen empfohlene Veröffentlichung. Es bleibt aber hinter meinen Erwartungen zurück.

Der letztjährige Report über die globalen Sicherheitsbedrohungen war nicht nur spannender und exotischer, sondern auch Erkenntnis fördernder. Schade, dass er keinen Nachfolger bekommen hat.

Dabei ist McAfee inzwischen viel weiter, als das Security Journal erkennen lässt.

Der Jahresbericht zur Entwicklung der Virtuellen Kriminalität 2008 hat deutliche Worte zur Strafverfolgung, zum Cyberwar und zum kriminellen Zahlungsverkehr gefunden. Diese Gesichtspunkte werden im Security Journal nur gestreift, was die Vermutung entstehen lässt, dass sie auch nicht hintergründig eingeflossen sind.
 

 
Auch die Prognosen von McAfee sind erheblich härter und punktgenauer geworden.

Die Voraussagen über die Bedrohungen in 2009 (59) begrüßen den nachhaltigen Rückgang des Spammings nach dem Abschalten der IP-Adressen der als Spammer berüchtigten McColo Corporation und fordern weitere solche Aktionen von Regierungen und Zugangsprovidern (S. 10) (60). Darüber hinaus erwarten sie neue Formen gefälschter Webseiten mit angeblichen Finanz- und staatlichen Dienstleistungen (S. 5).

Wünschenswert wäre eine Auseinandersetzung mit dem SocEng als Bestandteil der Erscheinungsformen der Cybercrime insgesamt gewesen. Das könnte ein zu stark wissenschaftlicher Anspruch sein, weil dazu, jedenfalls wegen der aktuellen Ausprägungen, mehr Erfahrungswissen über die Datenspionage und den Cyberwar erarbeitet, gewürdigt und bewertet werden muss.

Aber auch Mitnicks Werk besteht aus Fallstudien und Balduans Bericht musste ich mit anderen Quellen verbinden, bis ich daraus die Theorie von der modularen Cybercrime entwickeln konnte.

Die analytische Arbeit muss wohl doch an anderer Stelle geleistet werden.
 

 
Die von Mitnick und dem Security Journal gelieferten Fallstudien zeigen, dass das Social Engineering keine eigenständige Erscheinungsform der Cybercrime ist. Seine Ursprünge liegen in den Methoden der Rhetorik, der Manipulation und der Suggestion und können ganz verschiedenen Zwecken dienen.

Seine ersten konkreten Ausformungen bezieht das Social Engineering aus den Erfahrungen und Praktiken der Trickbetrüger. Seine selbständige Ausrichtung hat es jedoch durch die Spionage bekommen, die von Kundschaftern, Diplomaten, Spionen und Agenten entwickelt wurden. Wenn sie gut sein und unentdeckt bleiben wollten, mussten sie technisches und sonstiges Wissen mit sozialer Kompetenz und Abgebrühtheit verbinden. Genau das zeichnet den "echten" Social Engineer aus.

Seine Methoden und Machenschaften unterscheiden sich vom Grundsatz her nicht von denen anderer Tätigkeiten, denen es um die Beschaffung geheimer Informationen und den Schlüssen geht, die aus ihnen und öffentlichen Informationen gezogenen werden. Darin unterscheidet er sich überhaupt nicht von Informationsbrokern, Geheimdienstlern und Ermittlern.
 

 
Das Social Engineering darf eine gewisse Eigenständigkeit nur in dem Bezug beanspruchen, dass es ihm um die Penetration informationstechnischer Systeme und Daten geht. Seine Ausrichtung geht auf die Informationstechnik und ihre Besonderheiten bestimmen die Ausprägung der sozialpsychologischen Methoden und eingesetzten Techniken.

Die künftige Entwicklung, die vermehrt individualisierte Angriffe und Spionage gegen Einrichtungen, Unternehmen und Behörden erwarten lässt, wird das Social Engineering als eigenständige Erscheinungsform im Zusammenhang mit der Informationstechnik vernichten. Alle anderen Spionage- und Ermittlungsformen werden sich wegen ihrer Methoden angleichen, schnöde und IT-Technik miss- und gebrauchen ähnliche Gedankengänge wegen der Auswertung von Informationen entwickeln.

Das gilt besonders auch für staatliche Ermittler, die technische und soziale Kompetenz verbinden müssen - und bei ihren Methoden an Recht und Gesetz gebunden bleiben.

Das will ich auch nicht anders.
 

(1) unbelegt

(2) Kevin Mitnick, William Simon, Die Kunst der Täuschung. Risikofaktor Mensch, Heidelberg (mitp) 2003, IT-Sicherheit,
Zitat: Vorbemerkung im Buch;
Bestellung bei

(3) Kevin Mitnick;
siehe auch: Lothar Lochmaier, Risikofaktor Mensch: Die Kunst des Social Engineering, ZDNet.de 27.02.2007

(4) Social Engineering

(5) Kevin Mitnick, William Simon, Die Kunst des Einbruchs. Risikofaktor IT, Heidelberg (mitp) 2006, IT-Sicherheit,
Bestellung bei

(6) siehe gewandelte Angriffe aus dem Netz, Phishing mit Homebanking-Malware, Missbrauch fremder Identitäten, Nummertricks

(6a) virtuelle Kriminalität 2008

(7) Cyberfahnder, Social Engineering, 17.06.2007

(8)  IT-Sicherheit: "Interne Mitarbeiter größte Schwachstelle", tecchannel 16.04.2008;
Schnittstellen zur Datenübertragung

(9) Gefährdungskataloge im Grundschutzhandbuch der BSI: G 5.42 Social Engineering

(10)  Wolf-Dieter Roth, Sicherheitsrisiko Mitarbeiter, Telepolis 12.06.2006;
Peter Mühlbauer, Trojaner vom Chef, Telepolis 04.04.2006;
Peter Mühlbauer, Anonymisieren oder Pseudonymisieren, Telepolis 18.04.2006.
 

 
(11) Beschuldigungen gegen Ex-HP-Verwaltungsratsvorsitzende aufgegeben, Heise online 15.03.2007

(12) Zahlen (siehe links) aus der Studie "IT-Security 2005", zitiert nach Angriffe auf IT-Sicherheit: Störfälle nehmen zu, tecchannel 06.10.2005

(13) siehe viel Feind, viel Ehr, illegaler Datenhandel, abgehobener Jargon

(14) Lochmaier (3), "Human Firewall" beginnt mit klaren Regeln

(15) Christoph Baumgartner, Social Engineering – trau schau wem, computerworld.ch 05.08.2005/p>

(16) Philipp Schaumann,, Sicherheitsrisiko Mensch. Psychologische Aspekte des Social Engineerings, 31.08.2006/p>

(17) Schnittstellen zur Datenübertragung, siehe auch die Schlussfolgerungen, die allein aus frei zugänglichen Beobachtungen gezogen werden können: (7).

(18) erhebliche Schäden durch Industriespionage;
siehe auch Eschbach, Der Nobelpreis.

(19) filigraner Angriff

(20) Kopfjäger (Headhunter)
 

 
(21) Preisgabe des Privaten

(22) siehe auch Sicherheitskultur im Unternehmen, securitymanager.de,, besonders das Kapitel "Datenklau für Dummies", S. 58

(23) stärkere Ausrichtung auf Neigungsgruppen

(24) Tarnung und Täuschung

(25) wider dem Tratsch, Sicherheit durch Monitoring

(26) Philipp Schaumann, Sicherheitskultur und Informationssicherheit, Schutz gegen Social Engineering - neue psychologische Ansätze, Dezember 2008

(27) Secorvo Security Consulting, Video "Social Engineering"

(28) statt vieler: (22)

(29) Sven Vetsch, Social Engineering, 21.01.2006, disenchant.ch; nicht mehr abrufbar.

(30) unbelegt

(31) Trickbetrüger, Proll-Skimming
 

 
(32) Hiep Dang, Die Anfänge des Social Engineering, SJ, S. 4

(33) Karthik Raman, Bittet, dann wird euch gegeben, SJ, S. 9

(34) Andreas Eschbach, (18), S. 291

(34a) Auch andere Ereignisse sind dazu gut, z.B. die Wahl von Obama zum US-Präsidenten: McAfee, February 2009 Spam Report, 02.02.2009

(35) Andreas Eschbach, (18), S. 189

(36) ebenda, (18), S. 373

(37) Die automatische Erkennung unüblichen menschlichen Verhaltens wird versucht, steckt aber noch in den Kinderschuhen: Überwachungskameras. Prävention und Aufklärung, biometrische Erkennungsverfahren.

(38) Hacker: Moral und Unmoral

(39) Markus Jakobsson, Social Engineering 2.0: Was bringt die Zukunft? SJ, S. 13

(39a) siehe auch teure Placebo-Software: Scareware

(40) Aktienkursmanipulation
 

 
(41) Anthony Bettini, Schwachstellen an den Aktienmärkten an, SJ, S. 22 ;
siehe auch merkwürdiger Markt.

(42) (40)

(43) Elodie Grandjean, Ein ideales Ziel für Social-Engineering-Malware, SJ, S. 16 ; siehe auch olympische Angriffe

(44) Craig Schmugar, Die Zukunft von Social-Networking-Websites, SJ, S. 28

(45) prominente Verführung & Sex, Angriffe aus dem Internet, leichtfertiger Umgang mit sozialen Netzen, harte Realität

(46) Rahul Kashyap, Das neue Gesicht
der Schwachstellen, SJ, S. 31

(47) siehe gewandelte Angriffe aus dem Netz

(48) siehe Massenware und gezielte Spionage, Cyberwar, filigraner Angriff, Umleitungen zu manipulierten Webseiten

(49) Angriffe gegen Webserver, SQL-Würmer, Gegenspionage wider 'ZeuS' und 'Nethell', Kollisionsangriff gegen Webseitenzertifikat

(50) Malware. Betriebssystem ( rechte Spalte), Angriffe auf DSL-Router
 

 
(51) Benjamin Edelman, Unfreiwillige Abenteuer beim Surfen im Internet, SJ, S. 34

(52) Typo-Squatting, Abzocke mit Domain-Tasting, Domain-Namen-Inflation

(53) Schurkenstaaten, gefährliche Lokale

(54) David Marcus, Wie gefährlich sind Top-Level-Domains? SJ, S. 44

(55) Heute werden als "Trojaner" vor allem Trägerdateien mit eingebetteten Malware-Funktionen bezeichnet, siehe Malware. Tarnung und Täuschung.

(56) Aditya Kapoor, Was ist aus Adware und Spyware geworden? SJ, S. 38 ;
siehe auch: Anna Stepanov, Spyware: Beständiger Wandel, McAfee 02.12.2007

(57) Die letzte bekannt gewordene Spielart davon dürfte die Nörgelsoftware (Nagware) sein.

(58) Die Grafik wurde nach einer Idee von fortiguardcenter.com erstellt.

(59) McAfee, 2009 Threat Predictions, 13.01.2009

(60) Das Geschäftsfeld wurde inzwischen von Botnetzen übernommen: McAfee, January Spam Report, 08.01.2009 (S. 4)