Die internationale Sicherheitskonferenz DeepSec die vom 17. bis 20. November in Wien zum dritten Mal die Weltelite aus den Bereichen Network-Security und Hacking versammelt, widmet sich der Spionage und ihrer Abwehr. Social Engineering ist dabei ein wichtiges Thema: “Aktuelle Datendiebstähle in Social Networks, aber auch bei Finanzdienstleistern und Telekommunikationsunternehmen können weitreichende Folgen in Form von Social Engineering-Attacken haben, die nicht absehbar sind”, warnt René Pfeiffer, Organisator der DeepSec. Jeder gezielte Social Engineering-Angriff setzt eine Periode intensiver Aufklärung voraus. “Alle Informationen, seien es Namen, Informationen über Schule oder Arbeitsort, Alter, Geschlecht, Vorlieben und Aussehen liefern Ansatzpunkte, um dem Betreffenden oder seinem Umfeld zu schaden”, sagt Sicherheitsexperte Pfeiffer.
Social Engineering umfasst alle auf zwischenmenschlicher Ebene versuchten Beeinflussungen mit dem Ziel, unberechtigt an Daten, Dinge oder Dienstleistungen zu gelangen. Dazu spionieren Social Engineers das persönliche Umfeld ihres Opfers aus, um Ansatzpunkte zu finden. Schon Informationsfetzen wie Telefonnummern werden zum Vortäuschen von falschen Identitäten und fingierten Anrufen im privaten und geschäftlichen Umfeld genutzt. Dabei gibt sich der Social Engineer etwa als Mitarbeiter einer Behörde, Familienangehöriger oder auch als Techniker aus, der für wichtige Arbeiten vertrauliche Zugangsdaten benötigt. Die Verwendung von Fachjargon und stark zur Schau gestelltem Selbstbewusstsein kombiniert mit einer oft vorhandenen Autoritätshörigkeit der Opfer führt oft zur Herausgabe von geheimen und wertvollen Informationen. Die Abwehr von Social Engineering ist nicht einfach: Leichtgläubige haben so gut wie keine Chance, anfänglichen Zweiflern wird gern mit Konsequenzen gedroht, um deren Widerstand zu brechen.
“Alle Nutzer von Social Networks, von Schülern über Studenten bis hin zu Angestellten sind gut beraten, nicht leichtfertig mit Informationen umzugehen und zu viel über sich bekannt zu geben. Jedes zusätzliche Detailwissen erhöht die Glaubwürdigkeit des Social Engineering-Angreifers und damit seine Erfolgsaussichten”, so Pfeiffer.
In einem zweitägigen Workshop analysieren die Experten Sharon Conheady und Martin Law von First Defence Information Security, welche Social Engineering-Strategien es gibt, wie diese funktionieren und durchgeführt werden. Ebenso sind Verteidigungsstrategien für IT-Profis gegen Social Engineering ein Teil des Workshops.
Während der Konferenz, die unter anderem vom Microsoft Security Team, Sourcefire.com, British Bookshop, Global Knowledge und der Wirtschaftskammer Österreich unterstützt wird, geben Spezialisten Einblicke in heutige Sicherheitsrisiken und deren Abwehrmöglichkeiten. Weitere Themen sind DoS-Attacken auf GSM-Netze, Datenklau über Twitter, eVoting, Stoned Bootkit, Cloud Computing, Datenbankangriffe, das Aushebeln von Smart Cards, angreifende USB-Treiber, Gefahr durch manipulierte Drucker-Firmware, und Sicherheitsaspekte von Software-Entwicklung.
Die DeepSec bringt als neutrale Plattform die Hacker-Community, IT-/Security-Unternehmen, Behördenvertreter sowie Forscher zum Gedanken- und Erfahrungsaustausch in Vorträgen und Workshops zusammen. Die Konferenz will aber auch dem verbreiteten Vorurteil entgegen wirken, dass Hacker zwangsläufig Kriminelle sind. “Vielen geht es eher darum, Sicherheitslücken aufzuzeigen und bekannt zu machen. Erst dann können sie geschlossen werden”, so Pfeiffer.
