Risikofaktor Mensch: Die Kunst des Social Engineering

Die Biographie Kevin Mitnicks liest sich wie das Drehbuch zu einem Kinofilm. In einem ähnlichen Katz-und-Maus-Spiel mit dem Originaltitel „Catch me if you can“ brillierte Leonardo di Caprio neben vielen hübschen Stewardessen. Erfolgreiches Social Engineering entspricht ganz diesem Filmklischee.


Kevin Mitnick

Die Geschichte des Films beruht auf einer wahren Begebenheit in den sechziger Jahren.
Die Hauptfigur Frank Abagnale maskierte sich bereits als 19-Jähriger mit selbstbewusst zur Schau getragenem Ego, etwa als falscher Flugkapitän, ausgestattet mit einem ganzen Waffenarsenal gefälschter Identitäten bis hin zu Kreditkarten. Damit erschlich er sich geschickt das Vertrauen von Fluggesellschaften, Bank- und Hotelangestellten. Jahrelang wurde er erfolglos von den Strafverfolgungsbehörden gejagt, weil er sich geschickt tarnte. Nach Verhaftung und Gefängnisstrafe arbeitete er im späteren bürgerlichen Leben als Fälschungsexperte für Banknoten beim FBI.

Ziemlich ähnlich erging es Mitnick – er bezeichnet seine Biographie als „Catch me if you can“ des Cyberspace. Mitte der neunziger Jahre war er der meistgesuchte Computerhacker. Nach einer mehrjährigen Gefängnisstrafe, bei der er sich als ausgewähltes Opfer einer Medienkampagne sowie der rigiden US-amerikanischen Rechtssprechung ansah, brilliert er heute mit Krawatte und Anzug. Der Berater gibt Tipps für probate Schutzmaßnahmen in der IT. Er ist korrekt gekleidet und gefragter Gastredner auf Kongressen.

Bald will er in seiner Autobiographie eine andere Sicht des Katz-und-Maus-Spiels in der IT-Sicherheit darlegen. Zum ersten Mal präsentierte sich Mitnick im Februar anlässlich der IT-Defense dem deutschen Publikum.

Offenbar sind seine Ratschläge auch hierzulande gefragt. Selten musste ein Referent auf einem Security-Kongress so vielen Autogrammwünschen nachkommen. Ein Grund dafür dürfte sein, dass Mitnick nicht wie einige andere IT-Ikonen aus der Pionierzeit des Hackings von seinem verblassten Stern lebt. Hinzu kommt, dass Social Engineering aktueller denn je ist, obwohl ein Großteil der IT-Professionals das Thema eigentlich in all seinen Spielvarianten zu kennen glaubt.

Bis heute hat Mitnick jedenfalls nichts eingebüßt von seinen kreativen Fertigkeiten. Und er lässt auf der IT-Defense mit einigen simplen Demonstrationen sein altes Können aufblitzen, etwa mit einem Live-Anruf bei der Telefonhotline des Weißen Hauses oder der Citibank. Sein Repertoire ist immer noch vielfältig, etwa mittels Caller-ID-Spoofing oder mit Voice-over-IP-Raffinessen. Er versucht, durch menschliche Verführung an relevante Daten und Informationen zu gelangen.

Nur setzt Mitnick sein Wissen heute nicht mehr als Egoshooter für das eigene Privatvergnügen ein, oder um Anerkennung in der Hacker-Community zu erheischen, sondern praktiziert seine Techniken bloß zur Demonstration. „Social Engineering kostet nichts und überwindet alle technologischen Barrieren, weil es geschickt das Vertrauen und die Neugier der Menschen ausnutzt“, definiert der Experte.

Page: 1 2 3 4 5 6

ZDNet.de Redaktion

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

6 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

21 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago