Nicht jeder, der ein Freund zu sein scheint, ist es auch: Manchmal handelt es sich um einen simplen Social-Engineering-Angriff. Nicht der private Kontakt ist das Ziel, sondern Firmen-Informationen, zu denen z. b. ein Mitarbeiter Zugang hat. So agieren Cyberkriminelle. Weil diese Methode gut funktioniert – besser und schneller als die langwierige Suche nach technischen Schlupflöchern – setzt sich die Social Engineering Masche weltweit immer mehr durch und passt sich immer besser der jeweiligen Zielgruppe an.
„Wie dumm kann man denn sein, um auf so etwas reinzufallen!“, denken viele. Wahrscheinlich dachten das auch die rund 2500 Probanden, die bei einem international angelegten Test an ihrem Arbeitsplatz auf einen ähnlich simplen Trick hereinfielen: 2500 von insgesamt rund 12.000, also gut jeder Fünfte. Die Schwelle, gutgläubig solchen Fishing-Mails nachzugeben, erhöht sich mit der Zeit vermutlich, so dass Hacker gerne auf den Schein des Vertrauten setzen: Besitzt er bereits eine geringe Menge an Informationen über die anzugreifende Person, vertraut ihm diese umso eher.
In diesem Zusammenhang werden Verbindungsdaten, auch als Metadaten bekannt, zum Schlüssel. Ein Beispiel: Wer würde skeptisch reagieren, wenn kurz nach dem Absenden einer Mail an einen DAX-30-Vorstand dessen angebliche Assistenz anruft und bittet, die Mail noch einmal an dessen private Mail-Adresse vorname.nachname@irgendwas.de zu schicken, weil sich der Anhang auf dem Gerät des Chefs angeblich nicht öffnen lässt? In diesem Beispiel genügen die Metadaten einer einzigen Mail (Absender, Empfänger, genaue Zeit, Dateinamen und -größen), um ohne weiteres einen erfolgversprechenden Social Engineering Angriff zu starten und wertvolle Informationen zu stehlen. Metadaten verraten genug, um auf ihrer Basis Vertrauen zu gewinnen.
Wie lassen sich Metadaten schützen?
Nach heutigem Stand der Forschung lassen sie sich auf drei verschiedene Arten schützen:
1. wenn die Botschaft nicht an einen, sondern an eine Gruppe von Empfängern geht, wobei nur einer den richtigen Schlüssel zum Öffnen besitzt. Das Freenet-Projekt folgt dieser Methode und lässt sich privat gut nutzen, für Firmen ist es aber weniger geeignet.
2. mit dem Einsatz von Mix-Netzen. Hier werden Nachrichten über mehrere Zwischenstationen (Mix-Knoten) geleitet. Auch damit lässt sich die Anonymisierung der Kommunikationsbeziehung erreichen. Die Sicherheitssoftware TOR nutzt diese Technik, die so gut schützt, dass die National Security Agency (NSA) annimmt, dass jeder, der einen Server dieses Netzwerks betreibt, terrorverdächtig ist, und deshalb in Echtzeit die Kommunikation desselben rastert. Je engmaschiger aber ein Raster ist, desto einfacher wird es, die Anonymität wieder zu zerstören.
3. mit der in Deutschland entwickelten Sealed-Cloud-Technologie. Sie setzt an zwei Punkten an: Zum einen sichert sie ein Rechenzentrum so ab, dass die Daten nicht nur beim Transport zum und vom Datenzentrum und im Speichersystem in der Datenbank geschützt sind, sondern auch während ihrer Verarbeitung. Zum Zweiten werden die ein- und ausgehenden Datenströme nach Volumen und Zeit verschoben (de-korreliert), so dass sich zwischen den Verbindungen keine Bezüge herstellen lassen. Eine beispielhafte Anwendung der Sealed Cloud Technologie ist der Online-Speicher- und -Kommunikationsdienst IDGARD, der den Schutz von Metadaten auch für kleine und mittlere Unternehmen erschwinglich macht.
Für Anwälte, Wirtschaftsprüfer, Ärzte und Datenschutzbeauftragte, die zu den sogenannten Geheimnisträgern gehören, ergibt sich aus diesem Wissen und dem §203 StGB sogar eine Pflicht, Verbindungs- oder Metadaten als personenbezogene Daten besonders zu schützen. Ähnliches gilt nach § 353b StGB für den öffentlichen Dienst. Inzwischen sehen Rechtsexperten im Ansatz der Sealed Cloud Technologie einen gangbaren Weg, um sogar den Geheimnisträgern den Einsatz von Cloud Computing rechtlich zu ermöglichen. Denn diese Technologie kann sowohl Inhalte als auch Metadaten schützen.
