Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)

Vertreter.»
    «Nein, nein. Vielen Dank. Ist etwas Persönliches. Nochmals vielen Dank, und Ihnen eine schöne Woche.»
    «Ihnen auch, auf Wiederhören.»
    Zweiter Anruf (bei irgendeiner Nebenstelle des Unternehmens):
    «Hallo? Guten Tag. Schindel mein Name, vom Computermagazin
c’t
. Jetzt bin ich wohl völlig falsch herausgekommen!»
    «Wen wollten Sie denn sprechen?»
    «Herrn Sennfeld aus der IT .»
    Der Mann von der Nebenstelle lacht: «Ja, da sind Sie wirklich völlig falsch, Herr Sennfeld hat die Durchwahl  274 . Soll ich Sie verbinden?»
    «Gern. Vielen Dank.»
    Nach einer kurzen Warteschleifenmusik meldet sich der stellvertretende IT -Leiter.
    «Sennfeld?»
    «Guten Tag, Herr Sennfeld, Schindel, von der
c’t
. Tut mir leid, ich hatte mir wohl Ihre Nummer falsch notiert, aber Ihr Kollege war so nett, mich weiterzuvermitteln.»
    «Kein Problem, was kann ich für Sie tun?»
    «Nun, Herr Sennfeld, wie gesagt, ich bin Redakteur bei der Zeitschrift
c’t
, und Sie wurden mir von meinem letzten Interviewpartner als ausgesprochener Experte empfohlen.»
    «Tatsächlich, von wem?»
    «Das kann ich Ihnen nicht sagen, da die Umfrage zu hundert Prozent anonym stattfindet, aber offenbar kennt Sie jemand aus einem anderen Unternehmen recht gut. Auf jeden Fall sprach er sehr begeistert über Sie. Hätten Sie einen Augenblick Zeit für ein paar kurze Fragen? Ich recherchiere gerade für einen Artikel zum Thema Cloud-Anbieter.»
    Im Laufe des Interviews, das sich nun eher zu einem netten Gespräch entwickelt, kommen auch Themen rund um die Anbieter von Sicherheitssoftware zur Sprache. Es werden Erfahrungswerte abgefragt und Probleme diskutiert, die es immer wieder mit unterschiedlichen Herstellern gibt. Geschickt gefragt, erhält der Angreifer so peu à peu Informationen, die für einen späteren Einbruch in die Computersysteme wertvoll und äußerst nützlich sind. Dass Herr Schindel weder Journalist ist noch von einem der am meisten angesagten Computermagazine stammt, erfährt Herr Sennfeld nie.
    Im Sommer 2012 berichtete mir ein Sicherheitsverantwortlicher eines weltweit tätigen Maschinenherstellers aus München folgenden Social-Engineering-Fall: Am frühen Vormittag klingelte bei einer Mitarbeiterin der indischen Niederlassung das Telefon. Am anderen Ende der Leitung war ein Kollege aus der bayerischen Landeshauptstadt, der behauptete, am Flughafen in Mumbai Opfer eines Trickdiebes geworden zu sein. Sein gesamtes Handgepäck sei heute gestohlen worden, inklusive des Firmenlaptops. Er selbst sei von der Pressestelle des Unternehmens in München und anlässlich eines wichtigen Meetings in Mumbai. Gott sei Dank habe er noch sein privates Telefon, mit dem er wenigstens telefonieren könne. Allerdings sei aufgrund der Zeitverschiebung zu Hause niemand erreichbar, den er um Hilfe bitten könne. Zwar sei er in der Lage, mit seinem privaten Handy wichtige E-Mails für das Meeting zu schreiben oder zu empfangen, allerdings fehle ihm die globale Adressliste des Unternehmens. Die bräuchte er jetzt dringend.
    Der Anrufer stellte die indische Zentrale gleichsam als seine letzte Rettung dar. Die Mitarbeiterin bat er dann, diese Datei an seine private E-Mail-Anschrift zu schicken. Sie erwiderte dem Kollegen aus München, dass sie ihm wirklich gern weiterhelfen würde, die Adressliste aber als «intern» eingestuft sei und deshalb aus Sicherheitsgründen nicht an private E-Mail-Accounts verschickt werden dürfe. Die Richtlinie des Unternehmens würde das schließlich verbieten. Anderseits habe sie durchaus Verständnis für die missliche Situation. Sie fragte nach, ob sie auf andere Weise helfen könne. Der Pressemensch nahm dankend an.
    «Ja», sagte er, «ich verstehe Sie vollkommen, für Sie bin ich auch ein Unbekannter. Ich hätte da eine Idee. Ist Ihnen mein Chef ein Begriff?»
    «Meinen Sie Herrn Breuninger? (Anmerkung: Herr Breuninger ist der Pressesprecher des Konzerns.) Ja, den kenne ich, zumindest dem Namen nach.»
    «In Ordnung. Was halten Sie von folgendem Vorschlag? Tippen Sie in Ihren Computer ‹Facebook› ein und suchen Sie dort nach meinem Namen. So viele dürfte es dort nicht geben. Schicken Sie mir eine Freundschaftsanfrage, ich bestätige die sofort. Im Anschluss finden Sie in meinem Profil meinen Arbeitgeber – also unseren. Und unter meinen Facebook-Freunden werden Sie auch meinen Chef entdecken, Herrn Breuninger. Mein Vorschlag: Schicken Sie mir die Datei doch an die dort hinterlegte E-Mail-Anschrift. Herrn