29.02.2008 | Autor / Redakteur: Stefan Schumacher / Ulrike Ostler
Kevin Mitnick, der legendäre Meister des Social Engineering, hat mit William Simon ein Buch über den Risikofaktor Mensch geschrieben. Das günstige und handliche Buch „Die Kunst der Täuschung“ befasst sich in vier Teilen mit den Tricks von Angreifern sowie mit Präsenzangriffen. Im letzten Teil werden Elemente vorgestellt, die in jede Sicherheitsrichtlinie gehören.
Das Buch ist uneingeschränkt empfehlenswert für jeden, der mit Computer-Sicherheit zu tun hat, vom einfachen Anwender, über Administratoren und Manager hin zum Pförtner und auch der Putzkolonne. Alle können aus dem Buch wichtige Erkenntnisse ziehen. Diese werden zudem von zwei wahren Fachmännern verständlich präsentiert.
Mit dem letzten Teil über Schutzmaßnahmen bekommen Administratoren und Sicherheitsbeauftragte einen brauchbaren Werkzeugkasten an die Hand. Und mit gerade mal 10 Euro kostet das Buch auch nicht die Welt. Hoffentlich hilft es, das weit verbreitete Technozentrische Weltbild geradezurücken und den Fokus wieder auf den Menschen zu lenken.
Hier ein paar Details: Der Schreibstil ist sehr angenehm zu lesen, weder zu trocken noch zu flapsig. Mitnick und Simon ergehen sich nicht in Technobabble, sondern erläutern alle technischen Fachbegriffe, von der IP-Adresse bis zum Modem.
Das ist für die Zielgruppe der Sicherheitsverantwortlichen und Systemadministratoren sicherlich nicht notwendig, macht das Buch aber eben auch für IT-ferne Entscheider und sonstig Interessierte lesbar. Man kann es also auch einem Manager oder einer Sekretärin in die Hand drücken, ohne dass diese vom Techie-Jargon entnervt aufgeben.
Die Kapitel sind didaktisch gut aufgebaut: Nach einer kleinen Einführung folgt ein Hack, der meist aus mehreren Sichten (Opfer, Angreifer, evtl. Helfer) dargestellt wird. Die Vorgeschichte kommt dabei nicht zu kurz. Womit man erfährt, warum ein Angriff stattgefunden hat.
Nach der Vorstellung analysieren die Autoren den gesamten Hack. Sie zeigen die Schwachstellen in der Sicherheit in der Trickanalyse auf und stellen entsprechende Schutzmaßnahmen vor. Daneben diskutiert das Gespann Varianten und Variationen des Angriffs, sodass die einzelnen Kapitel nicht an einem einzigen erfolgreichen Angriff kleben und den Horizont für andere Spielarten erweitern.
Besonders interessant für diejenigen, die Sicherheit bisher nur als technische Maßnahme betrachten, sind die psychologischen Ausführungen. Mitnick erklärt bei einigen Hacks sehr ausführlich wie der Social Engineer seine Opfer manipulieren konnte, indem er beispielsweise einen teuren Anzug trug und mit wichtigen Kontakten protzte (bekannt auch unter der Bezeichnung „Name Dropping“) oder einen Admin (!) dazu brachte, ihm am Telefon ein Einmalpasswort zu verraten, indem er ihn aufforderte, seine angeblich vergessene Passwortliste zu bringen statt von ihm zu holen.
Im letzten Teil ist ein kurzer Abriss über die psychologischen Taschenspielertricks der Social Engineers zu lesen. Dies ist notwendig, um einige Hacks im Buch besser zu verstehen.
Allerdings fallen diese Ausführungen definitiv zu knapp aus, wenn man eine Sicherheitsschulung und -richtlinie für eine größere Organisation aufbauen will. Dazu benötigt man weiterführendes psychologisches Material sowie pädagogisch-didaktische Maßnahmen, die die Schulung effizient und effektiv gestalten. Zu ersterem gehört zum Beispiel Robert Cialdinis grandioses Die Psychologie des Überzeugens.
Auf den zuletzt folgenden gut 90 Seiten stellen Mitnick und Simon Maßnahmen vor, die in eine Sicherheitsrichtlinie gehören. Dabei wird kurz ein Beispieltext für die Richtlinie angegeben und danach der Text erläutert.
Dies ist notwendig um die Maßnahmen selbst zu verstehen und auch an die betroffenen Mitarbeiter weiterzugeben. Bei einigen aufwändigeren Maßnahmen werden verschiedene Ansätze für verschiedene Organisationsgrößen gezeigt, so dass man sich passend zur Situation eine Maßnahme heraussuchen kann.
|
Stefan Schumacher befasst sich seit über 12 Jahren mit den verschiedenen Aspekten der IT-Sicherheit. Er führt als selbständiger Unternehmensberater in den Bereichen Sicherheit, IT und Kommunikation/Organisation die Agentur Kaishakunin.
Er veröffentlicht regelmäßig Fachartikel und hält Vorträge sowie Workshops auf Veranstaltungen, wie dem Frühjahrsfachgespräch der GUUG, den Chemnitzer Linux-Tagen, dem LinuxTag, dem Chaos Communication Congress, den LinuxDays Luxembourg sowie verschiedenen lokalen Veranstaltungen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2011188)
