«Schweizer sind eher blauäugig»
Ivano Somaini ist ein legaler Einbrecher: Der Regional Manager Zürich bei Compass Security dringt mit seinen Kollegen ganz legal in IT-Netzwerke ein oder deckt Sicherheitslücken in Firmen auf. Kurzum: Er beschäftigt sich als Social Engineer mit dem Faktor Mensch als Sicherheitsrisiko.
24. Februar 2023 Mark Gasser
Er kennt alle Tricks – nicht nur beim «Tschüttele»: Ivano Somaini hilft durch gezieltes Eindringen in IT-Systeme, Sicherheitslücken aufzudecken.
Ivano Somaini, Sie dringen im Auftrag von Unternehmen, also ganz legal, in deren IT-Netzwerke ein und decken Sicherheitslücken auf. Erklären Sie, warum bei Ihren «Einbruchsaufträgen» der Faktor Mensch so wichtig ist, um Zugang zur IT und zu Netzwerken zu erhalten. Sie manipulieren also nicht die Systeme selber, sondern Menschen?
Ivano Somaini: Das kommt darauf an, wie man «manipulieren» definiert. Wenn ich als Drucker-Servicetechniker oder Bauarbeiter eine Firma besuche, reicht oft die einschlägige Arbeitskleidung, um Zugang zu erhalten. Der Mensch sucht Abkürzungen, Codes, um Entscheidungen zu treffen. Das Vorgehen ist dann nicht zu intrusiv: Der Mensch wird nicht bedrängt. Das würde ich nie tun und das ist gleichzeitig einer der Unterschiede zwischen einem ethischen Social Engineer und einem kriminellen.
Sind aber Menschen die grössten Risikofaktoren, sprich: die Türöffner für Angriffe auf IT-Netzwerke?
Somaini: Alle Systeme basieren auf Hard- und Software, aber auch auf Prozessen und Menschen, welche diese bedienen. Seit einigen Jahren ist es tendenziell schwieriger, Software zu hacken. Es ist effizienter und günstiger, nicht die Software direkt anzugreifen, sondern die Person, welche sie bedient oder darauf Zugriff hat. Deswegen ist der Mensch nicht unbedingt ein Risikofaktor, aber ein Teil der Gleichung, der sich nicht entfernen lässt und an dem man seine Künste als Angreifer anwendet, um ihn zu benutzen. Dabei geht es definitiv nicht darum, Mitarbeitende zu verunsichern oder sie blosszustellen, sondern darum, Awareness zu schaffen.
Bekannte Methoden, IT-Systeme entweder lahmzulegen oder in sie einzudringen, sind Phishing-Kampagnen via E-Mail oder das Zurücklassen eines manipulierten USB-Sticks. Sind diese Methoden erfolgreicher als das persönliche Erscheinen vor Ort?
Somaini: Phishing ist sicher die klassischste der Hacker-Methoden. Denn sie ist einfach skalierbar – es können tausend Phishing-Mails innert Minuten verschickt werden – und man bleibt oft anonym. Wenn man USB-Sticks vor Ort verteilt, muss man physisch präsent sein und man könnte gefilmt werden. Das Risiko und die kriminelle Energie sind bei dieser Methode wie auch bei einem Einbruch viel höher. Dank hohem Digitalisierungsgrad ist ein Einbruch allerdings meist nicht mehr nötig. Es reicht oft, mit bösartigen E-Mails über eine bestimmte Person Zugang zum System zu erhalten.
Wie werden denn – technologisch gesehen – die Geldzahlungen erpresst?
Somaini: Es gibt grundsätzlich zwei Methoden, um Lösegeld zu erpressen. Ab dem Moment, in dem jemand einen bösartigen Anhang öffnet oder einen verseuchten USB-Stick am PC anschliesst, hat der Hacker dieselben Berechtigungen fürs Netzwerk wie der Nutzer. Er kann sich über diese «Backdoor» im Netzwerk bewegen, ohne es lahmzulegen. Verschlüsselungstrojaner hingegen blockieren das gesamte System und die Hacker fordern Lösegeld – meist in Kryptowährungen.
Da immer mehr Firmen ein Backup ihrer Daten haben, werden die Hacker immer raffinierter: Sie gelangen ins System, schauen sich um, sammeln Informationen und schätzen anhand der Geldflüsse, wie hoch die Lösegeldforderung angesetzt werden könnte. Dann exfiltrieren sie die wichtigsten Informationen – etwa die Kundendaten –, die sie dann zu veröffentlichen drohen.
«Es ist effizienter und günstiger, nicht die Software direkt anzugreifen, sondern die Person, welche sie bedient oder darauf Zugriff hat.»
Ivano Somaini, Social Engineer, Compass Security
Hacker erhalten aber auch via Telefonanrufe Zugang ins System. Wie läuft das?
Somaini: Man gibt sich etwa als Lieferant aus und erwähnt, dass ab der nächsten Einzahlung eine neue IBAN-Nummer verwendet werden soll. Das Geld landet dann auf dem falschen Konto. So gingen zum Beispiel sogar bei grossen Rohstoffkonzernen Millionen verloren.
Aber Telefon-Scams sind ja fast schon inflationär. Funktioniert diese Masche noch?
Somaini: Scams sind in der Tat weniger erfolgreich. Aber wenn ich im Namen der Firma XY
anrufe, ist es für meinen Gesprächspartner sehr schwierig, die Richtigkeit meiner Aussagen zu überprüfen. Ich tausche mich regelmässig mit Ermittlern verschiedener Kantonspolizeien aus. Sie beobachten eine neue Version des Enkeltricks: Die Diebe rufen bei Menschen mit älter klingenden Vornamen an und geben sich als Polizisten aus. Sie erzählen, dass es in der Nähe Raubüberfälle gäbe und versprechen, das Geld im Haus in Sicherheit zu bringen.
Welche Gefahren sind denn am Zunehmen in Sachen Cybersecurity?
Somaini: Der Online-Betrug ist stark gewachsen. Zum Beispiel werden auf täuschend echten Websites Aktien mit horrenden Profitaussichten angeboten. Diese Finanzprodukte werfen anfangs tatsächlich eine hohe Rendite ab. In der Folge beginnen die Opfer, dem System zu trauen, investieren Tausende von Franken – und irgendwann ist das Geld weg.
Auch Romance Scams haben immer wieder Erfolg. Oft fallen wohlhabende, gut ausgebildete Frauen diesen Liebesbetrügern zum Opfer. Solche neuen Scam-Formen traten mit dem Aufkommen von Social Media vermehrt auf. Während Corona haben auch Geldforderungen von gefälschten Paketlieferdiensten deutlich zugenommen. Klar: Jeder hat schon online bestellt.
Mit welchen Methoden werden KMU angegriffen?
Somaini: Sicher mit der erwähnten Methode, bei der ein Hacker sich als Lieferant mit neuen Bankdaten ausgibt. Auch Verschlüsselungstrojaner werden oft mit hoher Erfolgsquote platziert, da ein KMU meist weniger gut geschützt ist als ein grosser Konzern. Die Websites von KMU verraten zudem meist sehr viel – für einen Hacker ist es von Vorteil, wenn er weiss, wer fürs HR oder die Finanzen zuständig ist.
Bei einer grösseren Firma ist es dafür anonymer, man kann sich vielleicht besser einschleichen als bei einem kleinen KMU. Für uns Angreifer war es zudem ein Vorteil, dass während Corona bei grösseren Firmen Mitarbeitende eingestellt wurden, die lange niemand zu Gesicht bekam.
Arbeiten im Homeoffice hat sich nach Corona etabliert. Mussten Sie da auch Ihr Vorgehen anpassen und kamen andere Aufträge hinzu?
Somaini: Wir mussten öfter prüfen, ob das Homeoffice-Setup für die Mitarbeitenden sicher ist. Ob etwa die VPN-Verbindung oder die Zweifaktor-Autorisierung genügend schützt.
Eine Zwei-Faktor-Autorisierung ist also nicht immer sicher?
Somaini: Sie ist definitiv sicherer als nur Username und Passwort. Sind diese einmal weg, können Angreifer diese immer benutzen. Der zweite Faktor – eine Zahl, die temporär fürs Login verwendet wird – kann nur geknackt werden, wenn der Angreifer mitlesen kann. Bei Phishing-Szenarien ist das trotz «sicherem» Einloggen möglich.
Brachte Corona selber neue Formen von Cyberkriminalität hervor?
Somaini: Nein, Corona verhalf aber zu neuen Szenarien, um Menschen zu falschen Entscheidungen zu bewegen. Viele Menschen haben sich in dieser Zeit irrational verhalten. Ein Beispiel: Eine Masken-Aktion lässt einen Kleinbetrieb vermeintlich «zuschlagen» und den gefälschen Bestell-Link anklicken. Dasselbe mit Impfungen und Desinfizierungen: Sie bedienten neue Ängste, und die wurden ausgenutzt.
Seit vermehrt mit Verschlüsselungstrojanern operiert wird, sind auch KMU Zielscheibe solcher Angriffe. Es kann jeden Garagisten oder jedes Coiffeurgeschäft treffen, die früher für Cyberkriminelle uninteressant waren. Heute kann ihnen der Zugang zu den Kundendaten (Daten und Termine) blockiert und für die Freigabe eine Summe verlangt werden. Diese Masche hat während Corona zugenommen.
Kommt irgendwann der Moment, wo Sie arbeitslos sind, weil die Systeme so gut geschützt sind?
Somaini (lacht): Das Problem ist: Es gibt immer eine Balance zwischen dem Initialaufwand, um das Arbeiten zu ermöglichen, und der höchstmöglichen Sicherheit. Keine Firma kann sich die komplette Abschottung leisten – so wird es immer eine Eingangstür für Cyberkriminelle geben. Hacker und IT-Sicherheit liefern sich seit Jahren ein Katz-und-Maus-Spiel. Office 365 beispielsweise erkennt immer besser, ob E-Mails legitim sind oder nicht. Daher ist es heute sehr mühsam, wirksame Phishing-Mails zu erstellen. Für Hacker, aber auch für uns. Und das ist gut so. Wir versuchen ja vor allem, Awareness zu schaffen. Wir schauen auf die Bedürfnisse und Relevanz für die Firma, oder ob gewisse Punkte in internen Trainings geschult wurden, um diese zu testen.
In der Schweiz ist man in der Regel hilfreich, zuvorkommend und fragt nicht nach Ausweisen in Geschäftsgebäuden. Macht das Ihre Arbeit einfacher als in anderen Ländern?
Somaini: Für gewisse Szenarien schon. Wir Schweizer sind sehr hilfsbereit und nett – und auch eher blauäugig, weil wir nicht jeden Tag mit krimineller Energie in Kontakt sind. In anderen Ländern würden die Angestellten vielleicht nicht so schnell Einlass ins Bürosgebäude gewähren. Hingegen sind wir technologisch sehr gut unterwegs. Es wird viel investiert und sensibilisiert, auch durch Bund oder Polizei. Es gibt auch gute Startups im Bereich Cybersicherheit. Es ist eher unser Charakter als Mensch, der ab und zu etwas zu einfach zu knacken ist.
«Corona verhalf zu neuen Szenarien, um Menschen zu falschen Entscheidungen zu bewegen. Viele Menschen verhielten sich in dieser Zeit irrational.»
Ivano Somaini, Social Engineer, Compass Security
Als gefragter Referent und bekannter Social Engineer sind Sie ja heute weniger an der «Front», sprich: beim Infiltrieren von Unternehmen anzutreffen. Fehlt Ihnen nicht der Adrenalinkick?
Somaini: In den letzten Monaten war ich nach längerer Pause wieder vermehrt draussen. Es gab eine Zeit, in der beinahe alle Angriffe funktionierten. Der Druck, nicht zu scheitern, nahm zu, und irgendwann nahm ich mich raus und begann, dies zu hinterfragen: Wenn man zu raffinierte Methoden einsetzt, um anzugreifen, ist der Lerneffekt bei unseren Kunden vielleicht nicht optimal. Unser Ziel ist ja, Awareness zu schaffen und nicht, dass alle Angriffe funktionieren.
Sie entsprechen nicht dem Bild des introvertierten IT-Nerds. Woher haben Sie das schauspielerische Talent?
Somaini: Ich begann in meiner Jugend gerade deshalb mit Schauspielen, weil ich introvertiert war. Aber wir haben hier auch Mitarbeiter, die sehr introvertiert und trotzdem gute Social Engineers sind – solange sie eine andere Rolle spielen können. Manchmal braucht es einen besonderen Kick: Einmal mussten wir eine Polizeistation infiltrieren. Da geht man dann mit einem etwas mulmigen Gefühl hin.
Mark Gasser
Chefredaktor
Zürcher Wirtschaft
Info
Social Engineer Ivano Somaini aus dem Misox
Ivano Somaini (39) ist einer der wenigen Social Engineers in der Schweiz, der ganz legal in IT-Netzwerke einbricht und Sicherheitslücken aufdeckt. Er stammt aus dem italienischsprechigen Misox (GR), hat IT-Sicherheit an der ETH Zürich studiert und spielt in seiner Freizeit (und manchmal am Arbeitsplatz) als ehemaliger Turnierspieler leidenschaftlich Tischfussball.
Ihre Meinung ist uns wichtig
Das Thema ist wichtig.
Der Artikel ist informativ.
Der Artikel ist ausgewogen.
Info
Social Engineer Ivano Somaini aus dem Misox
Ivano Somaini (39) ist einer der wenigen Social Engineers in der Schweiz, der ganz legal in IT-Netzwerke einbricht und Sicherheitslücken aufdeckt. Er stammt aus dem italienischsprechigen Misox (GR), hat IT-Sicherheit an der ETH Zürich studiert und spielt in seiner Freizeit (und manchmal am Arbeitsplatz) als ehemaliger Turnierspieler leidenschaftlich Tischfussball.