goSecurity BLOG

«Samel, hast Du Lust ‘James Bond’ zu spielen?», fragt mich Andreas (Inhaber goSecurity AG).

Ich antworte «Wie meinst Du das? Muss ich einen Kriminellen jagen oder wie?».

«Nein, Nein… Der Sicherheitsbeauftragte einer Bank hat mich angefragt, ob wir einen physischen ‘Social Engineering-Angriff’ bei ihnen durchführen könnten. Dabei soll eine Person von uns versuchen, in die Bank ‚einzubrechen‘ und bestenfalls Zutritt zum Serverraum erlangen. Dabei geht es nicht ums ‚Einbrechen‘ im eigentlichen Sinn. Du sollst den Menschen (in diesem Fall das Sicherheitspersonal am Empfang) dazu bewegen, dich freiwillig in den Serverraum zu lassen – ohne dass du physischen Schaden anrichtest».

…

Zuerst brauche ich zwei bis drei Sekunden, um zu verstehen, was Andreas von mir hier wirklich will… «Wie soll das funktionieren, Andreas? Ich kann doch nicht einfach fröhlich bei der Bank vorbeigehen und nach einem Zutritt fragen. Zudem habe ich keine schauspielerische Grundausbildung.», witzle ich nebenbei.

Andreas erwidert: «Mach dir keinen zu grossen Kopf. Der Auftrag wird höchstens 45 Sekunden dauern, dann wirst du sowieso auffliegen.»

…

Auch hier brauche ich wieder zwei bis drei Sekunden und denke mir «Moment, jetzt wollte er mir doch so einen spannenden Auftrag geben, spricht mich sogar mit „Lust James Bond zu spielen“ an und das soll jetzt doch nur 45 Sekunden dauern? Und was meint er mit diesen 45 Sekunden? Meint er, dass das Sicherheitspersonal der Bank so gut ist, dass ich sowieso innerhalb von 45 Sekunden auffliegen werde, unabhängig davon, wie gut ich es mache? Oder war doch sein Gedanke, dass ich kein «Berufseinbrecher» bin, und somit keine Erfahrung habe und damit innerhalb von 45 Sekunden auffliegen werde?

Nun gut, das spielt für mich gar keine Rolle mehr… Was ich weiss ist, dass er mit der Aussage «Mach dir keinen zu grossen Kopf. Der Auftrag wird höchstens 45 Sekunden dauern, dann wirst du sowieso auffliegen.» mein Ego getriggert hat und ich nun mehr wissen wollte. Später sollte ich erfahren, dass er mich mit dieser Aussage absichtlich „provoziert“ hatte.

Vorbereitung

Andreas: «Der Auftrag soll am Mittwoch in drei Wochen ausgeführt werden.»

Ich: «Gut. Hat Dir der Sicherheitsbeauftragte vorgängig Informationen zugestellt, welche für mich nützlich sein könnten?»

Andreas: «Folgendes: In dieser Woche, in der Du den Angriff ausführen solltest, ist die zuständige Person im Urlaub. Zudem arbeitet die Bank mit einem externen IT-Dienstleister. Des Weiteren werden Personen, welche in die Räumlichkeiten der Bank Zutritt haben müssen, entsprechend vorgängig angemeldet. Das Sicherheitspersonal am Empfang erhält zu jeder Person, (z.B. Post-Mitarbeiter, Elektriker, Handwerker etc.), eine schriftliche Bestätigung, dass diese zum entsprechenden Zeitpunkt eintrifft. Nur dann darf der Zutritt durch das Sicherheitspersonal gewährt werden. Gut zu wissen ist auch, dass zwischen 07:30 Uhr und 08:30 Uhr ‚Rush-Hour‘ bei der Bank ist. Das heisst, dass viele Personen während dieser Zeit ein- und ausgehen. Ach ja: Deine ID darfst Du nicht vergessen!»

Ich: «Okey, folgendes nochmals zusammengefasst: zuständige Person im Urlaub, sie arbeiten mit einem externen IT-Dienstleister, Einlass nur nach schriftlicher Voranmeldung, zwischen 07:30 Uhr 08:30 Uhr ‚Rush-Hour’».

Andreas: «Genau, mit diesen Informationen kannst Du jetzt arbeiten.»

Der Tag ist vergangen und ich mache mich auf den Heimweg. Viele Gedanken wie «mein Gott, wie soll ich das nur anstellen» oder «Habe ich überhaupt den Mumm dazu? Bin ich so abgebrüht, wenn es dann darauf ankommt – also genau dann, wenn ich vor dem Sicherheitspersonal stehe und ich diese Person ‘bearbeiten’ muss?». Auf jeden Fall beflügelt mich der Gedanke, legal in eine Bank «eingebrochen» zu sein so sehr, dass ich es einfach tun muss, egal welche Bedenken ich habe.

Am nächsten Morgen gehe ich wieder zur Arbeit und male mir aus, wie ich diesen «Überfall» am besten gestalte. Wichtig für mich ist, dass ich nun die erhaltenen Informationen separat genauer betrachte und mir entsprechende Optionen ausdenke. Folgendes entsteht:

1. Der Angriff muss zwischen 07:30 und 08:30 Uhr durchgeführt werden (Rush-Hour).

Während der «Rush-Hour» ist es mir möglich, die Stresssituation für die Betroffenen automatisch zu verstärken – beispielsweise, wenn sich auf einmal eine längere Schlange hinter mir bildet, weil das Sicherheitspersonal mit meinem Fall sicherlich länger als 45 Sekunden beschäftigt sein wird.

2. Die zuständige Person ist im Urlaub

Auch hier gehe ich davon aus, dass das Sicherheitspersonal, versuchen wird, Ihre Vorgesetzte zu kontaktieren, um meinen Fall zu klären. Das Sicherheitspersonal wird sie in diesem Fall nicht erreichen. Ich gehe davon aus, dass dadurch der Stresslevel noch weiter ansteigen wird. Ok, vielleicht ist der Stellverterter erreichbar… – nun gut, da bleiben mir die Hände gebunden und ich hoffe, dass der Stellvertreter krank ist oder in meinem Sinne reagiert.

3. Der externe IT-Dienstleister

Für mich ist also klar: Die grösste Chance sehe ich darin, wenn ich mich als Mitarbeiter des externen IT-Dienstleisters ausgebe.

4. Jeder Besuch wird vorgängig schriftlich angemeldet.

Hier wird es nun etwas «komplizierter». Hier blieben mir grundsätzlich zwei Optionen zur Auswahl. Option eins wäre, dass ich dem Sicherheitspersonal eine gefälschte Bestätigung per E-Mail zustelle. Mit dem Hinweis, dass ich zum gegebenen Zeitpunkt eintreffen werde. Oder Option zwei, Ich fälsche und bearbeite die Bestätigung, drucke sie aus, und nehme sie dann zum besagten Zeitpunkt in physischer Form mit.

Konklusion

Der 1. und der 2. Punkt braucht keine aktive Vorbereitung meinerseits und es bleibt grundsätzlich ausserhalb meiner Kontrolle.

Hingegen sieht es bei den Punkten 3. und 4. ganz anders aus. Hier ist klar: Die schriftliche Bestätigung sowie die Tatsache, dass ich mich als Mitarbeiter des externen IT-Dienstleisters ausgeben muss, muss so glaubwürdig wirken, wie unsere runde Muttererde – ansonsten wird Andreas mit seinen 45 Sekunden recht haben. Und das will ich auf jeden Fall vermeiden!

Ich widme mich vorerst dem 3. Punkt (Externer IT-Dienstleister):

Wie üblich suche ich bei der Suchmaschine Google nach einem Bild einer Visitenkarte des betroffenen IT-Dienstleisters. Nach ca. zwei Minuten suchen, finde ich eine geeignete Vorlage.

«Samel Murati, Datacenter Specialist, FIRMA NEXT-IT AG*», hmm, gefällt mir irgendwie. Also los: Microsoft Word starten, gleiche Schriftart auswählen und Logo des externen Dienstleisters kopieren. Ich rufe eine Druck-Firma an und teile mit, dass ich gerne zehn Visitenkarte-Exemplare bestellen möchte. Ich schicke das PDF mit der gefälschten Visitenkarten-Vorlage, sie schicken mir die Visitenkarten zu, sehen super aus – fertig.

Nun kommt der Punkt 4 (Bestätigung):

Ich mache mir zuerst Gedanken, ob eine gefälschte E-Mail eine geeignete Option wäre. Aufgrund der Tatsache, dass Banken sich grundsätzlich sehr restriktiv im IT-Umfeld bewegen, ist die Chance gross, dass mein gefälschte E-Mail als Spam-Mail klassifiziert wird und damit erst gar nicht beim Empfänger ankommt. Aus diesem Grund verwerfe ich diese Option und wähle die Variante 2.

Ich entscheide mich also, die Bestätigung mit Microsoft Word zu fälschen und physisch auszudrucken. Ja, ich bin kein Graphiker und habe wirklich Microsoft Word verwendet! Als Absender ist die zuständige Person des Sicherheitspersonals gewählt, der Empfänger der Nachricht ist das E-Mail Postfach des Sicherheitspersonals. Über dieses Postfach erhält das Sicherheitspersonal alle Anmeldungen: Also wer und zu welcher Zeit jemand eintrifft sowie der Grund des Besuchs. Also verfasse ich die Bestätigung wie folgt:

„Herr Samel Murati, von der Firma NEXT-IT AG* wird am Montag den [Datum] zwischen 07:30 Uhr und 08:30 Uhr eintreffen und braucht zwingend Zutritt zum Serverraum. Die Überwachungssysteme unseres IT-Dienstleisters melden, dass Anomalien auf einem der Serversysteme entdeckt wurden. Es ist nicht auszuschliessen, dass es sich um eine mögliche Schadsoftware handelt. Es ist ein Notfall.„

Diese Bestätigung wird es elektronisch logischerweise nie geben, müsste es aber, um Zutritt erlangen zu können. Aufgrund des suggerierten „Notfalls“ muss ich also hoffen, dass das Sicherheitspersonal bei mir eine Ausnahme macht. Folgendes soll mich also unterstützen:

• Original-Identitätskarte
• Gefälschte Visitenkarte
• Gefälschte Bestätigung (in Papierform)

Der Tag vor dem Auftrag

In der Zwischenzeit visualisiere ich mir diesen Auftrag mehrmals vor Augen. Ich überlege mir, welche Sätze das Sicherheitspersonal dazu bewegen könnten, bei mir eine Ausnahme zu machen. Meine Arbeitskollegen hatten auch den einen oder anderen guten Ratschlag, welche ich in meine Konversation einbauen werde. Ich gehe davon aus, dass ich auf Widerstand stosse. Die Frage ist nur, wie stark der Widerstrand sein wird – und das hängt von verschiedenen Faktoren wie Gemütszustand des Sicherheitspersonals, meinem rhetorischen Geschick, dem Einfluss der Umgebung etc. ab.

Am Abend bevor ich zu Bett gehe, lege ich mir bereits meinen Anzug bereit. Aber diesmal ohne das goSecurity-Hemd, das ich sonst bei Kundenbesuchen trage – nicht, dass ich es gewohnheitshalber doch anziehe (Am Kragen ist das goSecurity-Logo eingestickt). Währenddessen visualisiere ich immer wieder diesen Auftrag und stelle mir mehrere Szenarien vor. Vor allem der Gedanke, dass ich auffliegen könnte, machte mir ein wenig Sorgen. Klar, war ich vertraglich abgesichert, ebenfalls wird sich der Auftraggeber in Person im Empfangsraum befinden, während ich den Auftrag ausführe. Aber es könnte ja dennoch zu einer unangenehmen Situation kommen, welche ich nicht in Betracht gezogen habe…

Der Auftrag

Ich begebe mich gegen 6:45 Uhr zum Bahnhof. Während der Fahrt höre ich Musik und versuche mich zu entspannen. Die Nervosität war klar zu spüren, dennoch hatte ich das Gefühl, es unter Kontrolle zu haben. Bereits im Vorfeld entschied ich, dass ich mich gegen 07:45 Uhr zum Empfangsraum bewege. Ca. 30 Minuten vorher stehe ich vor dem Gebäude und versuche von aussen zu erkennen, wie der Empfangsraum gestaltet ist. Ich sehe, dass es mehrere Empfangsdesks gibt, jeweils eine Person pro Schalter. Am linken Schalter sehe ich eine ältere Person und am rechten, klassisch wie in einem Hollywood-Film, einen Mann, gefühlt zwei Meter gross wie breit. Ich habe irgendwie das Gefühl, dass ich bei der Person am linken Schalter etwas bessere Chancen hätte. Also hoffe ich, bei dieser Person zu landen.

Kurz darauf treffe ich mich ein paar hundert Meter entfernt mit dem Auftraggeber und bespreche den Ablauf noch einmal. Der Auftraggeber betritt den Raum als erstes und tut so, als würde er mit jemandem telefonieren oder, je nach dem, ein Gespräch mit einer Person im Empfangsraum führen. Nach wenigen Minuten kommt mein Auftritt.

Gesprächsverlauf mit dem Sicherheitspersonal

07:34 Uhr:
Ich begebe mich in den Empfangsraum und stehe entsprechend an. Es musste so kommen: Ich lande bei der Person, welche den rechten Schalter bedient (zwei mal zwei Meter…).

„Guten Morgen, mein Name lautet Samel Murati von der FIRMA NEXT-IT AG*, unsere Überwachungssysteme haben gemeldet, dass sich möglicherweise eine Schadsoftware auf einem der Serversysteme befinden könnte. Es ist ein Notfall und ich sollte dringend in den Serverraum.“

Ich lege also meine Original-ID-Karte, die gefälschte Visitenkarte sowie die Bestätigung in Papierform vor.

Er erwidert direkt: „Tut mir leid, aber so kann ich Sie nicht hereinlassen.“ und hat meine vorgelegten Utensilien nicht einmal richtig angeschaut! Immerhin hatte Andreas nicht recht: Es waren nur zwei Sekunden… Doch so schnell wollte ich nicht aufgeben, 46 Sekunden mussten es einfach werden.

„Wie meinen Sie das? Es ist wirklich ein Notfall… können Sie dies bitte abklären? Das Problem sollte schnellstmöglich behoben werden, bevor ein irreparabler Schaden entsteht.“

Er bejaht und verlässt den Schalter, um verschiedene Telefonate zu tätigen bzw. meinen Fall abzuklären. Ich sehe, dass er keine Person erreicht (ich wusste ja, dass seine Vorgesetzte im Urlaub ist. Dass er den stellvertretenden Vorgesetzten nicht erreicht, überrascht mich jedoch – reines Glück).

Er kommt zurück und sagt: „Tut mir leid, Herr Murati, leider kann ich Sie wirklich nicht hereinlassen. Ich sehe Sie leider nicht in unserem System. Auch konnte ich keine Person am Telefon erreichen, die mir hier weiterhelfen könnte. Sie dürften gerne hinten Platz nehmen und sich gedulden, bis ich es geklärt habe“. Währenddessen baut sich die Warteschlange hinter mir weiter aus – auch merke ich, dass bereits eine „Aura der Ungeduld“ im Raum zu spüren ist.

Einen kleinen Erfolg konnte ich ja bereits feiern: die 45 Sekunden waren vorbei und ich noch im Spiel.

Übrigens: Er hatte meine Dokumente, also insbesondere die gefälschte Bestätigung, immer noch nicht genauer betrachtet.

07:41 Uhr:
Ich antworte: „Ich verstehe Sie vollkommen. Dennoch möchte ich Sie nocheinmal ausdrücklich darauf hinweisen: Es handelt sich um einen Notfall, welcher dringend bearbeitet werden muss. Haben Sie denn die Bestätigung nicht in Ihrem Postfach? Da es sich um einen kurzfristigen Notfall handelt, habe ich es sicherheitshalber auch noch ausgedruckt und mitgenommen. Hier steht ganz klar, dass ich zum jetzigen Zeitpunkt eintreffe, um das Problem zu lösen – aus diesem Grund kann ich es nicht ganz verstehen, dass ich nicht angemeldet bin bzw. dass Sie mich nicht im System finden.

Erst jetzt kommt er dazu, die gefälschte Bestätigung aufzufalten und die Nachricht zu lesen, in der bestätigt wird, dass ich entsprechend eintreffe. Ich merke langsam, dass ihm die Situation unangenehm wird. Die Warteschlange wird immer länger, und ich rufe mein bescheidenes Schauspieltalent ab, um möglichst ungeduldig und leicht genervt zu wirken.

Er sagt: „Einen Moment bitte, ich werde nochmals einige Abklärungen treffen.“

Ich sehe wieder, wie er versucht zwei, drei Telefonate zu führen, aber niemanden erreicht. Er begibt sich wieder zum Schalter, macht die Schublade unter sich auf, ich sehe, wie er einen Batch (in Form einer Kreditkarte) heraus zieht. Ich dachte „Mein Gott, hat es funktioniert? Will er mir wirklich diesen Batch geben? Darf ich endlich rein?“.

Ich freue mich zu früh. Er hatte sich nochmals umentschieden, hat die Batch-Karte wieder in die Schublade gelegt. Ich dachte mir „gut, wenn ich jetzt nicht handle, wird es sehr mühsam und die Chance auf Erfolg sinkt mit jeder Sekunde.“ Deshalb setze ich ihm ein Ultimatum: „Stimmt doch etwas nicht, Herr Muster*? Es tut mir leid, jedoch habe ich um 08:45 Uhr meinen nächsten Termin und muss diesen wahrnehmen. Ich werde meinem Vorgesetzten sagen, dass Sie mir keinen Zutritt gewährt haben und ich somit diesen Notfall nicht bearbeiten konnte – tut mir leid.“

Ich merke, wie er unter Druck steht und langsam unter Zugzwang kommt. Er verlässt nochmals den Schalter, spricht mit seinen Arbeitskollegen und kehrt zurück.

07:48 Uhr:
„Herr Murati, hier haben Sie den Batch und hier den Zutrittscode für den Serverraum. Der Serverraum befindet sich im Stockwerk 6*, gleich links nach dem Treppenhaus.“

„Wie bitte? Wirklich?“ Dachte ich mir. Nichts weiter als ein „Vielen Dank, Herr Muster*“ bringe ich heraus. Ich schnappe mir die Batch-Karte, schleuse mich durch die Drehtür und Fahre mit dem Lift zum 12. OG hoch. Anstatt in den Serverraum zu gehen, sehe ich eine Kantine und setze mich dort hin. Ich warte also auf den Auftraggeber, lasse mir währenddessen einen Espresso heraus. In den Serverraum bin ich nicht mehr gegangen – das spielt auch keine Rolle mehr.  Eine weitere Überraschung: ich konnte mich unbegleitet in den Räumlichkeiten bewegen…

Ich sehe schon, wie der Auftraggeber kopfschüttelnd die letzte Treppe hoch steigt und in Richtung Kantine läuft um sich neben mich hinzusetzen. Er schaut mich fragend an und sagt anschliessend: „Ich weiss nicht, ob ich lachen oder weinen soll…, Hr. Murati“. „Auch ich bin überrascht“, antwortete ich. „Damit hatte ich nicht gerechnet“.

Die Auflösung

Nach einigen Sekunden des Schweigens, sowie einigen Wortwechseln bezüglich dieses Auftrags, begeben wir uns zusammen zur Sicherheitszentrale, um das Sicherheitspersonal über diesen Auftrag aufzuklären. Schon auf dem Weg zur Sicherheitszentrale frage ich mich „wie wird er reagieren?“ Mit jedem Schritt, den wir der Sicherheitszentrale näher kommen, wird mir aber bewusster, dass mein „Erfolg“ auf dem Fehler eines Anderen beruht. Und diesen Fehler hat er nur gemacht, weil ich ihn dazu provoziert habe. Ein mulmiges Gefühl durchzieht mich…

Wir kommen an. Der Auftraggeber spricht mit dem betroffenen Mitarbeitenden des Sicherheitspersonals und teilt ihm mit, dass es sich hier um einen Test gehandelt hat. Während der Auftraggeber die weiteren Schritte dem betroffenen Mitarbeitenden erklärt, sehe ich, wie der Blick des Betroffenen immer wieder zu mir abschweift. Was jetzt wohl in seinem Kopf los ist? Ich bilde mir ein, er wolle jeden Moment lossprinten, um mich zu jagen – eben wie im James Bond Film. Der Auftraggeber beendet das Gespräch mit dem Sicherheitspersonal und wir gehen zusammen in Richtung Ausgang. Wir besprechen die weiteren Schritte und ich verabschiede mich. Richtung Bahnhof gehend rufe ich Andreas an und informiere ihn über den Ausgang dieses Auftrages. „Andreas, ich habe es geschafft…“. Er antwortet: „Was wirklich? Wie? unglaublich….“. „Ich erkläre es dir dann im Büro“. Unglaublich ist es für mich tatsächlich. Auf dem Heimweg wird mir erst richtig bewusst, was gerade passiert war.

Fazit

Wie gross ist die Gefahr, dass jemand mit krimineller Absicht solch einen „physischer Angriff“ probiert – eher weniger gross. Abschliessend kann ich es nicht beurteilen. Wenn wir aber bedenken, dass ich mein Gesicht zeigen musste (auch vor der Kamera) und sogar meine echte ID vorlegen musste, wird klar, dass das Risiko hoch war. Ein „normaler Cyberkrimineller“ wird es kaum tun. Eher denkbar sind hingegen Anwendungsfälle im Bereich staatlicher und industrieller Spionage.

Die Chance, bei einem Vorort-Angriff erwischt zu werden, ist einiges höher, als ein „virtueller“ Angriff. Meist sind solche physischen Angriffe aufwändiger, als ein Hacker-Angriff – es bedarf einer vorangehenden seriösen Planung und zudem müssen die Gegebenheiten der Umgebung zum entsprechenden Zeitpunkt stimmen.

Dieser Auftrag hat aber auch gezeigt, dass selbst mit mässigem Aufwand grosser Schaden angerichtet werden könnte – vorausgesetzt ich wäre wirklich ein Krimineller gewesen.

Am Anfang dachte ich wirklich, dass ich keine Chance habe – da meine Anmeldung nicht dem internen Prozess entsprach. Dennoch wich die Sicherheitsperson vom internen Prozess ab und erteilte mir die Erlaubnis, mich unbegleitet im Serverraum zu bewegen.

Auch wenn solche Angriffe eher der Seltenheit angehören, halten Sie sich zwingend an Ihre internen Sicherheitsprozesse – besondere Aufmerksamkeit gebührt dem Empfangs – bzw. Sicherheitspersonal. Nur so können solche Angriffe verhindert werden.

Aufgrund der Tatsache, dass bei solchen Angriffen Personen eindeutig identifiziert werden können (und somit möglicherweise zu einer unangenehme Situation für den Arbeitnehmenden führen kann), führt die goSecurity AG keine solchen „Angriffe“ mehr durch.

*Personen- sowie Firmennamen geändert