Bei allen Netzwerksicherheitsproblemen kann man unter dem Strich folgendes Fazit ziehen: Hacken geschieht, weil man es zulässt. Die meisten Betrugsfälle wären vermeidbar gewesen, wenn einfach sinnvolle Protokolle eingehalten und die verfügbaren Sicherheitslösungen ordnungsgemäß implementiert worden wären. Man kann nicht oft genug betonen, dass das größte Problem in der IT-Sicherheit der Mensch ist - Sie, ich und die große Mehrheit der Weltbevölkerung, die in irgendeiner Form mit IT-Systemen interagiert.

Es ist sehr viel einfacher, wichtige Informationen von einer Person zu erschleichen, als sie aus einem gut organisierten und geschützten Computersystem zu holen. Das klingt unglaublich, ist aber absolut wahr. Wenn eine umfassende Sicherheitsarchitektur eingerichtet, gepflegt und befolgt wird, kann man von außen nur sehr schwer in die Systeme eindringen. Die große Schwachstelle ist der Mensch.

Das absolute Vertrauen in ein Sicherheitssystem kann zu seiner größten Schwäche werden, wenn sich die Mitarbeiter blind darauf verlassen und ihrerseits nicht ebenso große Sorgfalt walten lassen. In jeder Mauer gibt es ein Tor, durch das man hindurchgehen kann, und eben dieses Tor wird beim konventionellen Hacken durchbrochen. Der Trick beim Social Engineering ist hingegen, sich vom Türhüter mit einem Lächeln durchwinken zu lassen.

Um die Tragweite dieses Problems zu verdeutlichen, möchte ich Ihnen eine Geschichte erzählen, die natürlich frei erfunden ist. Ähnlichkeiten mit lebenden Personen sind rein zufällig.

Vor aller Augen und doch unsichtbar

Sagen wir, ich werde von einem Unternehmen gebeten, einige Internet-Anwendungsserver zu konfigurieren. Es handelt sich dabei um ein hochrangiges Hacker-Ziel: ein Online-Finanzinstitut.

Ich werde hinzugezogen, um an einer Serverfarm zu arbeiten. Nachdem ich mich den Mitarbeitern vorgestellt und ein paar erste Meetings abgehalten habe, gehe ich an einer Konsole zu Werk, die mir im Hauptbereich der IT zur Verfügung gestellt wurde. Ich bringe meinen eigenen Laptop mit, konfiguriere ihn für DHCP und stöpsele ihn einfach ins System ein. Aus Gewohnheit führe ich eine kurze Überprüfung durch und suche nach anderen Geräten, die im Verborgenen (Sniffing) das System überwachen. Das könnte auf einen früheren oder jetzigen anderen Besucher oder auf eine Sicherheits-Software des Unternehmens hindeuten, die nach illegalen Aktivitäten im Netzwerk sucht.

Der Serverraum befindet sich in einem der oberen Stockwerke, und für alle Türen und Aufzüge benötigt man eine Sicherheits-Zugangskarte, ähnlich einer Kreditkarte. Damit ich Zugang zu diesem Bereich erhalte, muss ich jemanden im Unternehmen bitten, mich zu begleiten und mich mit seiner Karte hineinzulassen. Das wiederholt sich je nach Bedarf mehrmals täglich.

Nachdem ich eine Weile dort gearbeitet habe, haben es alle satt, mich ständig durchs Haus eskortieren zu müssen, um mir mit ihrer Schlüsselkarte Türen und Fahrstühle zu öffnen. Vertrauen wächst mit der Bekanntheit, und nach nur zwei Wochen kann ich die Karte meiner Mitarbeiter ausleihen. Kurze Zeit später habe ich meine eigene temporäre Schlüsselkarte.