Das Telefon klingelt, der Azubi der IT-Abteilung hebt ab. An der anderen Leitung: Hektik, Aufregung. "Hier ist Erich Erfunden, der Leiter des Rechenzentrums 'RZ Erfunden', wo eure Server stehen. Wir haben ein ernstes Problem mit den Festplatten und brauchen dringend euer ftp-Passwort um eure Daten zu sichern, sonst gibt es einen massiven Datenverlust!"

Der Lehrling erkennt den Ernst der Lage und gibt das Passwort heraus, von dem er weiß, dass es in der Schublade des Nachbarschreibtisches liegt. Gut gemacht, den Firmenserver vor einer teuren Panne bewahrt? Im Gegenteil, auf einen plumpen Trick hereingefallen.

Sicherheit wird im Netz groß geschrieben. Laut des Lageberichts der IT-Sicherheit 2007 des Bundesamt für Informationssicherheit, nutzen 90 Prozent der Anwender einen Virenscanner, immerhin die Hälfte eine Firewall. Diese verschaffen dem Nutzer ein beruhigendes Gefühl. Meist ist aber der Mensch vor dem Bildschirm selbst das größte Sicherheitsrisiko.

Soziales Hacken

Für kreative Hacker gibt es schier unendlich viele Möglichkeiten. Dabei sind die Methoden in der Praxis meist längst nicht so direkt und durchschaubar wie in unserem Beispiel. Geschickte Schnüffler spionieren ihre Opfer sehr unauffällig aus, sodass diese nicht merken, dass sie gerade mit bösen Absichten umgarnt werden. Diese Methoden sind einfach, aber effektiv. Denn mit ein wenig Hintergrundwissen wie dem Namen einiger Kollegen oder des aktuellen Projektes ist schnell ein vertrauenswürdiger Anschein geschaffen. Der Unbedarfte merkt nicht einmal, dass er gerade Informationen preisgegeben hat.

"Social Hacking" nennt man dieses Prinzip oder auch "Social Engineering". Die Angreifer gehen dabei oft äußerst perfide vor. Sie schaffen ein Vertrauens- oder Respektverhältnis zu ihrem Opfer und nutzen dieses zu ihren Gunsten. Wenn es um eine vermeintlich wichtige Angelegenheit geht oder der Mensch am anderen Ende der Leitung vorgibt, in einer wichtigen Position zu sein, fällt es vielen Menschen schwerer, dieses Anliegen in Frage zu stellen. Dabei geht es längst nicht immer darum, auf direktem Wege eine sensible Information herauszukitzeln. Oft sind es gerade die kleinen Dinge, die in Kombination miteinander zu einem großen Sicherheitsrisiko werden können.

Vereinfacht gesagt: Wenn der Hacker weiß, mit wem er telefoniert, wie dessen Kollegen heißen und woran dieser Angestellte momentan arbeitet, wird dieser kaum skeptisch sein, wenn das Gegenüber beim Gespräch hin und wieder eine Frage zur Arbeit fallen lässt. Ein normales Gespräch, fast wie unter Kollegen.

Massenphänomen Phishing

Die einfachste Art des Social Hackings ist wohl jedem schon einmal begegnet, der eine Emailadresse besitzt. "Phishing" nennt sich das Spielchen, wenn Bank oder ein anderer vermeintlicher Anbieter wie eBay wegen einer technischen Begebenheit Benutzername und Passwort oder Kontonummer, PIN und TAN "verifiziert" haben möchte. Einfache Falle, oft erfolgreich.

Bei anderen Beispielen geben sich die Spammer noch mehr Mühe. Es komme darauf an: "Wie gut ist die Story gemacht?" sagt Matthias Gärtner, Pressesprecher des Bundesamtes für Sicherheit in der Informationstechnik. "Diese Fälle nehmen quantitativ und qualitativ zu", erläutert Gärtner.

Die Trickser benutzten menschliche Schwächen wie Neugier, Angst vor finanziellen Verlusten oder vor Strafverfolgung, erklärt Gärtner. Noch wesentlich gewitzter werden die Tricks, wenn Gauner gezielt auf Informationsjagd gehen. Anders als beim Gießkannenverfahren per Spam-Email werden Opfer und Methoden bewusst individuell gewählt.

Unternehmen im Fadenkreuz

"Dabei sind eher Unternehmen das Ziel", sagt Gärtner. "Es handelt sich oft um Erpressung oder Industriespionage. Informationen werden gezielt gesammelt, um Schwachstellen aufzudecken." Die Methoden sind so skurril wie effektiv. Per Telefon oder persönlich sind kleine Informationshappen schnell herausgeplaudert. Vielleicht klebt gar ein Zettel mit dem Zugangspasswort zum Netzwerk an einem der Monitore im Büro. Besonders schmutzig: Wenn das Ziel lohnend wirkt, machen Trickgauner auch vor dem so genannten "Dumpster Diving" nicht halt. Dahinter steckt nichts anderes als den Müll der Opfer zu durchwühlen.

Sicherheitspuzzle

Denn aus Zetteln mit weggeworfenen Adressen, Telefonnummern, vielleicht gar Passwörtern oder internen Memos kann sich der Angreifer ein feines Mosaik aus Informationen zurecht legen. Sicherheitsberater gehen davon aus, dass im Schnitt fünf einzelne unnütze Informationen zusammen eine sicherheitsrelevante Info ergeben. Ein Puzzlespiel mit der Sicherheit des Unternehmens.

Auch der kurzfristig leerstehende Arbeitsplatz kann Zugriff auf wichtige Unterlagen oder Zugangsdaten verschaffen. Akten sind schnell fotografiert, Dateien in kürzester Zeit auf einen USB-Stick kopiert. Schon hat der Eindringling etwas mehr in der Hand, mit dem er sein destruktives Spiel weiterspielen kann.

Schutzmaßnahmen

Was hilft gegen solche Angriffe? Grundsätzlich: "Man sollte sich ein gesundes Misstrauen bewahren", rät Matthias Gärtner vom Bundesamt für Informationssicherheit. Die Frage an sich selbst müsse lauten: "Was würde ich denn im wahren Leben tun?" Liegen zu Hause wichtige Dokumente einfach so auf dem Schreibtisch herum? Vertraut man Fremden persönliche Daten an? Führt man wichtige Telefonate mitten in der Straßenbahn per Handy?

Firmen brauchen ein sorgsames Sicherheitskonzept, das über Sicherheitssoftware hinaus geht. Mitarbeiter müssen geschult sein, damit sie sich ihrer Verantwortung bewusst sind. Denn was nützt das feuerfeste, einbruchsichere Rechenzentrum, wenn die Wachmänner hin und wieder nicht an ihrem Platz sitzen oder Mitarbeiter einen Seiteneingang für die Zigarettenpausen permanent offen lassen? Klare Vorgaben, wer welches Passwort wissen darf, verhindern, dass sich sicherheitsrelevantes Wissen unkontrollierbar verbreitet.

"Gesunde Skepsis"

Schulungen helfen das Bewusstsein zu schärfen, denn "schließlich sind es die Mitarbeiter, die die Sicherheit praktisch umsetzen müssen", so Gärtner. Sensible Unterlagen gehören in den Shredder statt in den Papierkorb. Private Webnutzer sollten die gleichen Maßstäbe anlegen. Möchte meine Bank wirklich meine TAN per E-Mail haben? Ist es realistisch, dass ich tatsächlich einen reichen Onkel in Afrika habe, von dem ich noch nie etwas gehört habe?

All dies ist kein Grund, paranoid zu werden und jeden Fremden am Telefon für ein möglichen Spion zu halten. Doch die theoretische Möglichkeit sollte in sicherheitsrelevanten Firmenbereichen nie ausgeschlossen sein. Einfache Tricks können helfen, Schwindler zu enttarnen. Beispielsweise als Gegenmaßnahme einen gemeinsamen Kollegen erfinden und nach dessen Befinden erkundigen.