Digital Life
09.05.2014

"Trickbetrügerin klingt glamouröser als IT-Fachkraft"

Sharon Conheady bricht regelmäßig in Unternehmen ein und wird dafür auch noch bezahlt. Im futurezone-Interview spricht sie über Nervenkitzel, Gutgläubigkeit und Schuldgefühle.

Sharon Conheady ist Sicherheitsexpertin bei First Defence Information Security. Ihre Spezialgebiet ist trotz zweier akademischer Grade aus dem Bereich Informatik aber nicht das Programmieren von Software sondern das Manipulieren von Menschen und das Einbrechen in Firmen, Institutionen und Behörden. Die Britin ist Spezialistin für Social Engineering, also die Kunst, sich die Sicherheitslücke Mensch zunutze zu machen. Sie versucht, über Internet, Telefon oder im persönlichen Gespräch wertvolle Informationen zu sammeln, die ihr helfen, in Computersysteme einzubrechen. Bei sogenannten “Penetration Tests” verschafft sich Conheady unter falschem Vorwand Zutritt zu Einrichtungen ihrer Kunden, um vor Ort Daten zu sammeln, etwa aus Mülltonnen oder dem Zwischenspeicher von Druckern. Bislang ist sie noch nie erwischt worden. Beim Security Forum des Hagenberger Kreises der FH Oberösterreich in Hagenberg hat die Berufsbetrügerin der futurezone ihren Job erklärt.

futurezone: Was sind die wichtigsten Voraussetzungen für Ihren Job?
Sharon Conheady: Recherche und Aufklärung sind das Allerwichtigste. Ich sammle oft wochenlang Informationen, um mir dann an einem Tag Zugang zu einem Gebäude oder zum Computer eines Angestellten zu verschaffen. In meinem Job muss man auch ein bisschen Unruhestifter sein, schnelles Denken und Improvisationsfähigkeit sind ebenfalls wichtig. Außerdem habe ich eine ganze Palette cooler James-Bond-Werkzeuge zur Verfügung, wie etwa Mini-Kameras und Wanzen.

Waren Sie je versucht, ihre Talente für die dunkle Seite der Macht einzusetzen?
Nein, diese Gefahr bestand bei mir nie. Ich habe die relevanten ethische Überlegungen bei Aufträgen immer im Hinterkopf. Ich habe eine blütenweiße Weste.

Wie gehen Sie vor, wenn sie sich Zugang zu einer Organisation verschaffen wollen?
Zuerst suche ich nach einer Person innerhalb der Organisation, die ich ins Visier nehmen kann. Dann beginnt die Recherche, online, übers Telefon und in der Zeitung. Jede Information kann wichtig sein, weil ich nie weiß, wie sich ein Auftrag entwickelt. Viele Information kann ich heute auch automatisiert einholen, etwa Telefonnummern oder Geodaten. Ich habe etwa schon Firmennewsletter verwendet, um herauszufinden, dass ein Angestellter ein Baby bekommen hat, um ihn dann mit einer manipulierten Gratulations-E-Mail zu erwischen.

Fühlen Sie sich dabei nicht schuldig?
Manchmal. Aber am Ende helfe ich meinen “Opfern” ja, sich besser zu schützen.

Wie schaffen Sie es, cool zu bleiben, wenn Sie sich Zutritt zu Gebäuden verschaffen?
Zum einen habe ich immer eine “Sie kommen aus dem Gefängnis frei”-Karte bei mir, nämlich ein Schreiben meines Auftraggebers. Das beruhigt ungemein. Zudem kann man die Rolle, die man spielt auch als nervöse Person anlegen, das kann ebenfalls helfen. Am Anfang habe ich oft eine Menge Make-up aufgetragen, um meine Nervosität zu verheimlichen.

Sie waren bisher wirklich immer erfolgreich?
Ich wurde noch nie erwischt und habe immer einen Zugang gefunden. Man kann sich beispielsweise tatsächlich einen Job in einer Ziel-Organisation beschaffen, das ist relativ sicher. Einmal ist die Polizei gerufen worden, allerdings erst, nachdem ich schon wieder weg war. Am Ende ist alles eine Frage des Aufwands.

Wie soll sich eine Firma dann vor solchen Angriffen schützen?
Ein wichtiger Teil meiner Arbeit ist es, dass mein Eindringen dem Personal als Training dient. Das Bewusstsein zu steigern ist enorm wichtig. Nach einem erfolgreichen Einbruch treffe ich das Personal und erkläre, was alles schief gelaufen ist. Ich versuche, den Verantwortlichen beizubringen, selbst wie ein Social Engineer zu denken.

Lernen die Menschen nichts aus den vielen Warnungen vor manipulierten E-Mails?
Heute gibt es sehr ausgefallene E-Mail-Schwindeleien, die aussehen, als kämen sie tatsächlich von einem Freund, der Hilfe braucht. Die Menschen sind sehr gutgläubig, in 99 Prozent der Fälle sind Personen ja auch die, für die sie sich ausgeben. Hilfsbereitschaft, Respekt vor Autorität und Gier sind meine besten Verbündeten.

Wie nutzen Sie das aus?
Ich streue etwa USB-Sticks oder CDs in einem Büro, am besten mit vielversprechender Beschriftung wie “Porno”. Es findet sich immer jemand, der den Datenträger einlegt. Man kann sich als falscher Polizist Zutritt verschaffen, falsche Strafzettel mit manipulierter Web-Bezahlmöglichkeit verteilen, oder gefälschte Freundesanfragen in sozialen Netzwerken verschicken, bevorzugt mit attraktiven Profilbildern. Der Fantasie sind keine Grenzen gesetzt.

Sind die Menschen allgemein zu gutgläubig?
In gewisser Weise schon. Das Grundvertrauen ist oft hoch. Einmal habe ich mich in ein Büro geschlichen und in einem Konferenzraum meinen Laptop mit dem Netzwerkkabel eines Standrechners ans Internet gehängt. Plötzlich sind sechs Leute aufgetaucht und haben um mich herum eine Stunde lang ein Meeting abgehalten. Sie haben mich nicht gefragt, wer ich bin, nicht einmal dann, als ich das Netzwerkkabel zurückgegeben habe, weil der Internetzugang des Standrechners nicht funktionierte.

Ist ihre Arbeit auch für Privatpersonen relevant?
Identitätsdiebstahl ist auch für die Allgemeinheit ein Problem. Ich versuche, die Aufmerksamkeit dafür ab und an mit öffentlichen Reden zu steigern, aber das Interesse hält sich oft in Grenzen. Es hilft, wenn ich mich als Trickbetrügerin bezeichne, weil das glamouröser klingt, als IT-Sicherheitsfachkraft.

Inwiefern erleichtert das Internet ihren Job?
Es ist immer eine Herausforderung, sich Zugang zu verschaffen. Es ist aber einfacher geworden, sich Information über ein Individuum zu beschaffen. Jetzt kann ich mir 100 Szenarien zurechtlegen, um eine Person zu manipulieren. Das bedeutet aber auch mehr Arbeit beim Aussuchen des besten Plans.

Nach welchen Kriterien gehen sie vor?
Ethische, technische und zeitliche Überlegungen sind wichtig, aber etwa auch juristische Barrieren. Im Vereinigten Königreich ist es etwa verboten, einen Dietrich mit sich zu führen.

Sie haben einen extrem nervenaufreibenden Job. Denken Sie manchmal über eine ruhigere Alternative nach?
Der Adrenalin-Level ist sehr hoch, wie bei einem Bungee-Jump. Das ist auf Dauer sehr anstrengend, aber noch macht es viel Spaß.

Dieser Artikel entstand im Rahmen einer Kooperation zwischen futurezone und der Fachhochschule Oberösterreich.

Beim Security Forum, das alljährlich im April am Campus Hagenberg der FH Oberösterreich stattfindet, halten Experten aus dem In- und Ausland Vorträge zu aktuellen Themen der IKT-Sicherheit. Organisiert wird die Veranstaltung vom Hagenberger Kreis zur Förderung der digitalen Sicherheit, dem Studentenverein der FH OÖ-Studiengänge „Sichere Informationssysteme“.