Auf dem diesjährigen Forschungstag IT-Sicherheit NRW stellt CycleSEC-Gründer Sebastian Klipper heute sein Konzept des Homo Carens Securitate vor. Angelehnt an die Forschungsagenda „Human Centered Systems Security“ steht dieses Mal der „Faktor Mensch“ im Fokus des Forschungstages.
Unser modernes Menschenbild geht in der Berufswelt von verantwortungsbewusst handelnden Menschen aus. Aufgrund von Überlegungen kommen diese zu folgerichtigen Entscheidungen. Diese Sichtweise manifestiert sich in den Wirtschaftswissenschaften in der Figur des Homo Oeconomicus – eines vorausschauenden, reaktionsschnellen Nutzenmaximierers. Auch wenn die Anwendung dieses Modells in den Wirtschaftswissenschaften gute Dienste leistet: In der Informationssicherheit wird Tag für Tag deutlich, dass dieses Modell nicht passt. In der Informationssicherheit agiert der Homo Carens Securitate – als potentielles Opfer.
„Der Homo Carens Securitate trifft seine Entscheidungen auf Grundlage von hoher Risikobereitschaft bis hin zur Gefährdung des eigenen Gewinns und des Gewinns anderer, mangelhafter oder fehlender Voraussicht und einer Reaktionsfähigkeit, die weit unter der Reaktionsfähigkeit von Hackern, Crackern und Bot-Nets liegt“, fast Sebastian Klipper in seinem Konferenzvortrag zusammen.
Vom Social Engineer wird er zum Weird Human umprogrammiert [4][5] und zu Handlungen oder Unterlassungen veranlasst, die in seiner Spezifikation als Homo Oeconomicus nicht vorgesehen waren.
Der Homo Oeconomicus
Mit dem Modell des Homo Oeconomicus werden alle möglichen Aspekte menschlichen Handelns innerhalb von Organisationen analysiert.
Definition 1: Homo Oeconomicus
Der Homo Oeconomicus trifft seine Entscheidungen auf Grundlage von
- Maximierung des eigenen Gewinns,
- vollkommener Voraussicht und
- unendlich schneller Reaktionsfähigkeit.
Ein Homo Oeconomicus hat es zudem nur mit Partnern zu tun, die über die gleichen Fähigkeiten verfügen [1]. Das Model des Homo Oeconomicus geht dabei von konstruktiv gestaltenden Marktteilnehmern aus, die sich an eine gewisse Ordnung halten. Auch wenn die Maximierung des eigenen Nutzens im Vordergrund steht, ist ein mittel- oder unmittelbarer Schaden bei den anderen Marktteilnehmern nicht gewollt oder zumindest ethisch nicht vertretbar.
Der Homo Carens Securitate
In der Informationssicherheit haben wir es allerdings neben den konstruktiven Wettbewerbern auch und vor allem mit destruktiv gestaltenden Marktteilnehmern zu tun. Die eigene Nutzenmaximierung nimmt dabei mittel- oder unmittelbarer Schaden bei den anderen Marktteilnehmern in Kauf oder baut sogar gezielt auf diesem Schaden auf. In diesem Umfeld ist der Mensch ein angreifbares Wesen, dessen Vertrauen und Gutgläubigkeit von Angreifern ausgenutzt wird.
Definition 2: Homo Carens Securitate
Der Homo Carens Securitate [1] trifft seine Entscheidungen auf Grundlage von…
- hoher Risikobereitschaft bis hin zur Gefährdung des eigenen Gewinns und des Gewinns anderer,
- mangelhafter oder fehlender Voraussicht und
- einer Reaktionsfähigkeit, die weit unter der Reaktionsfähigkeit von Hackern, Crackern und Bot-Nets liegt.
Gefahr durch Social Engineers
Aus diesem Blickwinkel steht der Faktor Mensch in der Informationssicherheit auf der einen Seite und der Social Engineer auf der anderen. Während der Mensch als Homo Carens Securitate einen Mangel an Sicherheit leidet und seine Entscheidungsfindung auf hoher Risikobereitschaft, mangelhafter oder fehlender Voraussicht und einer unzureichenden Reaktionsfähigkeit beruht, trumpft der Social Engineer unbeschwert auf: Aus seinem Methodenkoffer zur Ausnutzung menschlicher Schwächen wählt er das richtige Werkzeug, um Informationen zu beschaffen. Man bezeichnet diese Methoden als Social Engineering.
Definition 3: Social Engineering
Social Engineering umfasst alle gewaltlosen Methoden zur Ausnutzung menschlicher Schwächen mit dem Ziel
- der Manipulation zu bestimmten Handlungen und
- der Beschaffung von Informationen.
Diese ermöglichen es dem Social Engeneer,
- durch Insiderwissen eine falsche Identität vorzutäuschen oder
- unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen.
Zielzustand: Weird Human
Eine Weird Machine ist ein Computerprogramm, in dem zusätzlicher Code ausgeführt werden kann, was so in der ursprünglichen Anforderungsbeschreibung oder Spezifikation nicht vorgesehen war [3]. Dieses Modell lässt sich als Weird Human auch auf den Menschen übertragen [4].
Definition 4: Weird Human
Ein Weird Human ist ein Mensch, der als Homo Carens Securitate zu Handlungen oder Unterlassungen veranlasst werden kann, die so in seiner Beschreibung als Homo Oeconomicus nicht vorgesehen waren.
Durch den Missbrauch wird der Homo Carens Securitate zum Weird Human. Ein Social Engineer vernachlässigt die Anforderungsbeschreibung an den Homo Oeconomicus und befasst sich lieber mit den praktischen Unzulänglichkeiten des Homo Carens Securitate. Sein Ziel ist es, einen „Weird Human“ zu erzeugen, der beliebig missbraucht werden kann.
Weird Sociotechnical System
Im Zusammenhang stehen sich Weird Human und Weird Machine als zwei Seiten einer Medaille gegenüber, die in Kombination zum Weird Sociotechnical System führen – dem außer Kontrolle geratenen soziotechnischen Gesamtsystem, in dem Mensch und Maschine miteinander verbunden sind:
Im Weird Sociotechnical System entstehen maximale Schäden für die Informationssicherheit, während bei Weird Machine und Weird Human der potentielle Schaden meist noch lokal begrenzt ist.
Was ist zu tun?
In der Informationssicherheit haben wir es mit einer Gattung des Menschen zu tun, der einen Mangel an Sicherheit leidet – dem Homo Carens Securitate als Gegenentwurf zum Homo Oeconomicus. Unsere Aufgabe ist es, zu verhindern, dass der Homo Carens Securitate zum Weird Human wird und ein Weird Sociotechnical System verursacht.
„Social Engineering stellt den Homo Carens Securitate in den Mittelpunkt, während sich die Informationssicherheit mit Policies und Richtlinien meist an den Homo Oeconomicus richtet. Aus meiner Sicht ist das der Grund für das Scheitern vieler Sicherheitsmaßnahmen“, fast Sebastian Klipper den Kern des Problems zusammen.
Während ein Social Engineer nur einen oder wenige Menschen umprogrammieren muss, müssen Sicherheitsexperten alle potentiellen Opfer erreichen und sie vor möglichen Gefahren warnen.
„Bei der Gestaltung von Sicherheitsrichtlinien müssen wir stets von fehlerbehafteten Menschen ausgehen, die nicht mit vollkommener Voraussicht ausgestattet sind und die nicht mit unendlich schneller Reaktionsfähigkeit ihren Gewinn maximieren“, so Klipper.
Im Gegenteil: Einige Menschen öffnen selbst kurz nach dem Awareness-Training und gegen besseres Wissen PDF-Dateien in Emailanhängen, auch wenn Sie dadurch substantielle Schäden für ihre Organisation verursachen. Dass die Reaktionsfähigkeit von Ermittlungsbehörden in der internationalen Zusammenarbeit auch nicht die beste ist, fällt dann kaum mehr ins Gewicht.
Literatur
- [1] Günter Wöhe, Einführung in die Allgemeine Betriebswirtschaftslehre, Vahlen, 19. Auflage, München 1996
- [2] Sebastian Klipper, Konfliktmanagement für Sicherheitsprofis (Edition ), Springer Vieweg, 2. Auflage, Wiesbaden 2015
- [3] Sergey Bratus e.a., Exploit Programming From Buffer Overflows to “Weird Machines” and Theory of Computation, 2011, abrufbar unter: http://langsec.org/papers/Bratus.pdf (zuletzt abgerufen: 23.10.2016)
- [4] Sebastian Klipper, Marietta Spangenberg, Der Faktor Mensch in der Informationssicherheit, Kurseinheit EIS04 der Wilhelm Büchner Hochschule, Darmstadt 2017
- [5] Sebastian Klipper, Homo Carens Securitate: vom Homo Oeconomicus zum Weird Human, Forschungstag NRW 2017
Das zum Review eingereichte Paper können Sie hier herunterladen.