Hej Christian,

Wenn der physische Zugriff einfacher ist, als der über das Netz, dann wird sich Zugang verschafft. Entweder mit einem nachgemachten Schlüssel und Monteurs-Outfit oder per Social Engineering...

Und zweitens ist dieses Szenario insofern unrealistisch, als dass man halt lokal vor Ort sein muss. Das ist bei den heutigen Angreifern aus mehreren Gründen oft nicht mehr der Fall: man will nicht verhaftet werden.

Ich arbeite ja in einer BSI-zertifizierten Behörde mit Rechenzentrum.

Wer zertifiziert wird (und das Zertifikat behalten will) muss unter anderem seine Mitarbeiter sensibilisieren.

Daher habe ich bereits mehrere solcher Schulungen mit Angriffsszenarien hinter mir. Social Engineering ist demnach keine so seltene Methode. Es ist natürlich nicht das massenhafte Abgrasen von Bots durch das Internet auf der Suche nach bekannten Schwachstellen, sondern ein gezielter Angriff mit einem ganz bestimmten Zweck. Aber in so einem Fall, wird es durchaus häufig angewendet. Das reicht von ganz plump (hübsche, junge Frau mit den Armen voller Akten kann selber die Tür nicht öffnen und bittet um Hilfe beim Betreten des Gebäudes), über frechdreist (zwei Menschen gehen durch alle Räume und geben sich als Bäckereiverkäufer aus. Einer fragt, ob jemand und Brötchen haben will und wie viel, der andere notiert - nicht Brötchen, sondern wer wo sitzt, mit wem zusammen, ob und wann jemand Urlaub hat oder auch mal ein Passwort, wenn jemand dumm genug ist, dass auf einem Post-It am Monitor zu haben) bis hin zu ziemlich ausgeklügelt, wenn es denn lohnt. Das geht dann beispielsweise so, dass man in einem Bus mitfährt, der zu einer Firma fährt und Mitarbeiter im Gespräch belauscht. Später wendet man sich dann mit den erworbenen Insider-Informationen an Mitarbeiter, gibt sich la sVerwandter oder Bekannter aus, täuscht einen Notfall vor, erzählt Dinge, die offenbar nur nahe Bekannte oder Verwandte wissen können und erschleicht sich so Vertrauen um an mehr Informationen zu kommen. Oft muss man auch für solche Angriffe nicht vor Ort sein. Ein Wegwerf-Handy reicht und ob der Angreifer nun in einem Bus, in einer Bahn, an einer Haltestelle oder wo sonst an die Infos gekommen ist, lässt sich später auch nicht feststellen und die Gefahr einer Inhaftierung ist auch eher gering.

Ein Fall, den ich selber miterlebt habe. Einer Bekannten wurde aus dem Portemonnaie die Kreditkarte gestohlen. Dazu hat sich der Dieb mittels gestohlener Zugangskarte Zutritt zu ihrem Büro verschafft (und zu anderen), hat aus der Handtasche das Portemonnaie genommen, nur die Karte und einen Ausweis mit Lichtbild entwendet (kein Bargeld, damit das Fehlen möglichst lange unbemerkt bleibt). Das wurde in mehreren Büros gemacht.

Dann ist ein Mann und eine Frau (je nachdem ob der bestohlene männlich oder weiblich war) zu Banken gegangen mit Mütze und Sonnenbrille und hat mit Ausweis und Karte die Konten alle bis zur Grenze des Dispolimits abgeräumt - obwohl die Betrüger nicht einmal eine entfernte Ähnlichkeit mit den Geschädigten aufwiesen, wurden sie auch von den Mitarbeiten nicht aufgefordert Kopfbedeckung oder Sonnenbrille abzunehmen.

Diese Masche hat das Pärchen über mehrere Jahre durchgezogen, bevor sie letztendlich geschnappt wurden.

Die Sicherheitsmerkmale (beispielsweise Lichtbild) wurden schlichtweg von Dutzenden oder hunderten Mitarbeitern sämtlicher Kreditinstitute nciht kontrolliert. Erschreckend einfach und erschreckend risikoarm. Denn wenn ihnen das Geld nicht ausgezahlt wurde (was durchaus auch vorgekommen ist), sind sie einfach gegangen.

Warum ich das sage? — Es ist kein so unwahrscheinliches Risiko. In dem Krankenhaus, in dem ich gearbeitet habe, gab es ein Schwesternwohnheim mit Waschmaschinen im Keller. eines Tages kamen "Handwerker" und haben die am helllichten Tag alle in einen großen Lastwagen geladen. Das ging zwei, drei Stunden so. Dann sind sie damit weggefahren. Als keine neuen Waschmaschinen kamen (die von den Handwerkern angekündigt wurden), haben sich die Bewohner beschwert über die lange Ausfallzeit, weil sich die Wäsche stapelte. Nach einer Woche oder so. Da hat die Verwaltung des Krankenhauses zum ersten Mal davon erfahren, dass sämtliche Waschmaschinen gestohlen worden waren.

Also zwei Fälle, die ich persönlich miterlebt habe und viele, viele Fälle, die in den doch inzwischen allerhand Schulungen, die ich so mitgemacht habe, beschrieben wurden und die auch plausibel klingen…

Marc