Zusammenfassung

„Don’t be evil“ lautet Googles Motto. Doch manch kritische Stimme sieht in dem Konzern aus Mountain View nur einen Monopolisten, der eher gegenteilig handelt. Ein Monopolist, dessen scheinbar einziges Ziel das Sammeln von Daten ist, welche sich anschließend monetisieren lassen und Datenschutz nur eine nebensächliche Rolle zu spielen scheint. Ob Smartphone, Websuche, Internetanbindung, Navigation und seit einiger Zeit auch medizinische Bereiche, an Google scheint kein Weg vorbeizuführen.

Weiterlesen


Zusammenfassung

In „Kabelsalat“ beschreibt der New Yorker Journalist Andrew Blum, wie er „einem kaputten Kabel folgte und das Innere des Internets entdeckte“. Die Entdeckungsreise des Autors beginnt am heimischen Internetanschluss, dessen Kabel einem Eichhörnchen zum Opfer fällt. Daraufhin entwickelt sich die Frage, was dieses tagtäglich genutzte Internet eigentlich ist und wo man es finden kann. Ist es tatsächlich nur so etwas wie eine kleine schwarze Box mit blinkendem Licht, die eigentlich im Tower von Big Ben lagert, wie Moss Jen in einer Folge von IT-Crowd scherzhaft erklärt?

Weiterlesen


Gliederung und Inhalt

Das Thema Compliance rückt in vielen IT-Abteilungen immer stärker in den Vordergrund. Gesetzliche Auflagen, Zertifizierungs-Anforderungen von Kunden und jüngste Ereignisse im Umfeld von Cybersecurity fordern die IT auf, sich stärker mit Themen wie Betriebs- oder Notfalldokumentation zu beschäftigen.

Am „Markt“ existieren verschiedenste gesetzliche Auflagen z.B. durch KonTraG, SOX, TMG oder das BDSG. Daneben gibt es verschiedene Rahmenwerke, Normen und Standards wie die BSI IT-Grundschutz-Standards, die ISO 27000 Normenreihe oder ITIL.

Weiterlesen


In „Die Kunst des Human Hacking“ behandelt Autor Christopher Hadnagy sehr facettenreich das Thema Social Engineering. Wer jetzt an ein weiteres Buch mit spannenden Hacker-Stories denkt, wird überrascht sein. Hadnagy, bekannt für das Social Engineering Framework und Sicherheitsberater, steigt sehr tief in die Materie rund um das Thema Social Engineering, Gesprächsführung und Kommunikation ein.

Die Kunst der Human Hacking
von Christopher Hadnagy

Zusammenfassung

Hadnagy gliedert das Buch im Wesentlichen in die notwendigen Schritte zum (erfolgreichen) Social Engineering ein und legt sein Framework im Anschluss an einige Fallstudien an: Der Informationssammlung, also das Beschaffen, Organisieren und Sondieren relevanter Informationen schreibt er eine sehr hohe Relevanz zu. Zwei weitere wichtige Schritte sind zum einen das Eilzitieren, also das Entlocken von (relevanten) Informationen während einer offensichtlich harmlosen Unterhaltung, sowie ein gutes Pretexting. Der Erfolg oder Misserfolg z.B. bei den vom Autor erwähnten Social Engineering Audits steht und fällt mit einem guten Pretexting, bei dem man durch Verhalten, Kleidung, Persönlichkeit o.Ä. quasi „in eine andere Haut schlüpft“.

Ein Kapitel widmet er sehr umfangreich psychologischen Prinzipien. Er greift dabei u.a. die alltäglichen kleinen psychologischen Tricks auf, die nicht nur von böswilligen Angreifen, sondern auch von Eltern, Kindern, Ärzten oder Lehrern verwendet werden. Eine zentrale Rolle spielen ferner Mikroexpressionen, also flüchtige Gesichtsausdrücke in Situationen von Freude, Angst oder Ärger. Diese Thematik wurde bereits in den 1970er-Jahren vom Psychologen Paul Ekman umfangreich erforscht.  Ekman stand dem Autor nach eigenen Angaben während des Verfassens des Buches zur Seite und steuerte viele relevante Informationen bei. Auch Methoden zum Aufbau von Rapport oder dem Neuro-Linguistisches Programmieren (NLP) werden umfangreich erläutert.

Diese grundlegenden Skills und einige technische Tools führen dann zu Methoden, um andere zu überreden oder zu manipulieren, wobei dies nicht immer im negativen Sinne sein muss.

Schlussendlich legt Hadnagy seine dargestellten Methoden, die er in ein eigenes Framework „gegossen“ hat, an vier Fallstudien an. Zwei entstammen dabei aus seinen eigenen Erfahrungen, die er bei Kunden gesammelt hat. Die beiden anderen Fallstudien entstammen zwei Geschichten von Kevin Mitnick, die auch im Buch „Die Kunst der Täuschung“ nachzulesen sind. Der Autor analysiert die Fallstudien, beschreibt und erläutert die eingesetzten Methoden und warum diese funktionieren konnten.

Besonders Unternehmen legt er ans Herz, sich intensiv mit dem Thema zu beschäftigen und Mitarbeiter auf die Themen der Beeinflussung durch Social Engineering zu schulen. Hierbei sei es von höchster Relevanz, dass es nicht einfach mit einer Schulung pro Jahr getan ist, die von Mitarbeitern dann nicht wirklich verinnerlicht wird. Vielmehr müssen die Präventivmaßnahmen im Unternehmen gelebt und nicht nur in einer Leitlinie niedergeschrieben sein. Letztendlich ist es wichtig, möglichst viel über potentielle Angriffsvektoren zu wissen, um sich entsprechend gegen die wappnen zu können.

Fazit

Insgesamt handelt es sich bei „Die Kunst des Human Hacking“ um ein wirklich sehr informatives Buch, dass aus meiner Sicht nicht nur für Verantwortliche in der IT-Security interessant ist. Auch andere Unternehmensverantwortliche oder Vertriebler finden hier viele interessante Ansatzpunkte, die einem teilweise so auch im alltäglichen Leben begegnen können.

Der Autor führt meines Erachtens den Leser sehr gut und praxisnah durch die Thematik, in deren Fokus fast immer die Kommunikation steht, und gibt Tipps, sich diese Fähigkeiten anzueignen. Viele umfangreiche Informationen findet ihr auch auf Hadnagys Webseite „Social-Engineer.com„.

Die Kunst des Human Hacking (mitp Professional) (Taschenbuch)
von Christopher Hadnagy

Preis: EUR 29,95
50 Gebraucht & Neu verfügbar ab EUR 27,20
4.2 von 5 Sternen (4 Kundenrezensionen)

P.S.: Schaut auch in meiner Leseecke vorbei, wo ihr neben diesem Werk noch weitere lesenswerte Literatur findet.