Risikofaktor Mensch: Die Kunst des Social Engineering

Die Biographie Kevin Mitnicks liest sich wie das Drehbuch zu einem Kinofilm. In einem ähnlichen Katz-und-Maus-Spiel mit dem Originaltitel „Catch me if you can“ brillierte Leonardo di Caprio neben vielen hübschen Stewardessen. Erfolgreiches Social Engineering entspricht ganz diesem Filmklischee.

Die Geschichte des Films beruht auf einer wahren Begebenheit in den sechziger Jahren.
Die Hauptfigur Frank Abagnale maskierte sich bereits als 19-Jähriger mit selbstbewusst zur Schau getragenem Ego, etwa als falscher Flugkapitän, ausgestattet mit einem ganzen Waffenarsenal gefälschter Identitäten bis hin zu Kreditkarten. Damit erschlich er sich geschickt das Vertrauen von Fluggesellschaften, Bank- und Hotelangestellten. Jahrelang wurde er erfolglos von den Strafverfolgungsbehörden gejagt, weil er sich geschickt tarnte. Nach Verhaftung und Gefängnisstrafe arbeitete er im späteren bürgerlichen Leben als Fälschungsexperte für Banknoten beim FBI.

Ziemlich ähnlich erging es Mitnick – er bezeichnet seine Biographie als „Catch me if you can“ des Cyberspace. Mitte der neunziger Jahre war er der meistgesuchte Computerhacker. Nach einer mehrjährigen Gefängnisstrafe, bei der er sich als ausgewähltes Opfer einer Medienkampagne sowie der rigiden US-amerikanischen Rechtssprechung ansah, brilliert er heute mit Krawatte und Anzug. Der Berater gibt Tipps für probate Schutzmaßnahmen in der IT. Er ist korrekt gekleidet und gefragter Gastredner auf Kongressen.

Bald will er in seiner Autobiographie eine andere Sicht des Katz-und-Maus-Spiels in der IT-Sicherheit darlegen. Zum ersten Mal präsentierte sich Mitnick im Februar anlässlich der IT-Defense dem deutschen Publikum.

Offenbar sind seine Ratschläge auch hierzulande gefragt. Selten musste ein Referent auf einem Security-Kongress so vielen Autogrammwünschen nachkommen. Ein Grund dafür dürfte sein, dass Mitnick nicht wie einige andere IT-Ikonen aus der Pionierzeit des Hackings von seinem verblassten Stern lebt. Hinzu kommt, dass Social Engineering aktueller denn je ist, obwohl ein Großteil der IT-Professionals das Thema eigentlich in all seinen Spielvarianten zu kennen glaubt.

Bis heute hat Mitnick jedenfalls nichts eingebüßt von seinen kreativen Fertigkeiten. Und er lässt auf der IT-Defense mit einigen simplen Demonstrationen sein altes Können aufblitzen, etwa mit einem Live-Anruf bei der Telefonhotline des Weißen Hauses oder der Citibank. Sein Repertoire ist immer noch vielfältig, etwa mittels Caller-ID-Spoofing oder mit Voice-over-IP-Raffinessen. Er versucht, durch menschliche Verführung an relevante Daten und Informationen zu gelangen.

Nur setzt Mitnick sein Wissen heute nicht mehr als Egoshooter für das eigene Privatvergnügen ein, oder um Anerkennung in der Hacker-Community zu erheischen, sondern praktiziert seine Techniken bloß zur Demonstration. „Social Engineering kostet nichts und überwindet alle technologischen Barrieren, weil es geschickt das Vertrauen und die Neugier der Menschen ausnutzt“, definiert der Experte.