Social Engineering in der Praxis (Massenangriff oder Individualangriff? Ausführlich + Beispielkonzept, u.A. auch Trojanerbefall - Was tun?)

Der Fund
Bei einem vermuteten Befall des Rechners durch ein trojanisches Pferd, also einer Software, welche sie oder andere Benutzer ausspionieren soll, kann man folgendermaßen •Den Rechner sofort isolieren, z.B soweit möglich jegliche Verbindung zu Netzwerken unterbrechen (insb. Internet) und außerdem Datenträger (USB-Sticks etc.) entfernen.
•Den Rechner runterfahren und ggfls. sogar richtig abschalten (Stecker ziehen).
•Beruhigen und ggfls. fachkundigen Rat einholen.
•Ein extra gekennzeichnetes Backup erstellen, jedoch ohne ohne das potentiell befallene Betriebssystem dazu zu starten, oder ältere Backups zu überschreiben.

(Vorab: Bevor Sie fachkundigen Rat einholen: Genau dieser Schritt kann einem Angriffer bekannt sein - er ist allzu leicht vorhersehbar - und er wird evtl. vorgesorgt haben.)

Bedingte Verzweigung
Dann spaltet es sich oftmals auf in entweder
•Schadsoftware entfernen und normal weiterarbeiten.
•Schadsoftware entfernen und später System neu aufsetzen.
•System neu aufsetzen.

Wobei vieles für sofortiges Neuaufsetzen spricht, denn ein einmal befallenes System kann weiterhin eine Gefahr darstellen, es kann Schadcode verlieben sein, der evtl. erst später nachgeladen wurde oder es sind ganz einfach schwer nachvollziehbare und/oder korrigierbare Konfigurationseingriffe an Betriebssystem oder Software vorgenommen worden. Vielleicht hat ihr Malwarescanner auch nur einen belanglosen Fund gemeldet, der eine weitere Malware verdecken bzw. warnen soll.

Weiter im Standard-Plan Da Reinfektionen denkbar sind, alle weiteren externen Datenträger von einem sicheren - hoffentlich sauberen PC aus löschen. Alle warnen, die am Rechner gearbeitet haben und/oder Datenträger eingesteckt hatten und daraufhinweisen ebenfalls weiter möglicherweise betroffene User zu warnen usw.

Vertane Zeit
Stellt sich im Nachinein - also nach genauerer Untersuchung - heraus, was gar nicht so selten geschieht, nämlich dass gar es sich gar nicht um ein "echtes" Trojanisches Pferd sondern ein eher harmloses Programm, dass irrtümlich oder erwünscht als möglicher Trojaner auffällt, handelt, somit gar keine reale Gefahr bestand, ist das mehr als ärgerlich, denn der eigentliche Schaden besteht nicht selten lediglich darin Ressourcen verschwendet zu haben (Zeit, Nerven, Speicherplatz, Geld für nicht notwendige Zusatzprogramme etc.) Alles bloß um letztlich festzustellen, dass durch dieses Programm augenscheinlich nichts momentan Wesentliches am Betriebssystem oder dergleichen vitalen Funktionen und Konfigurationen verändert wurde sondern die Beeinträchtigung lediglich in seiner bloßen Anwesenheit besteht, was zwar sehr theoretisch, insb. bei schlampiger Programmierung, immerhin als ein weiteres denkbares Einfallstor auf dem Rechner betrachtet werden könnte. Vielleicht sind es aber auch gerade seine letzten paar Bytes, die den Virenscanner dummerweise gerade in dem Moment höher priorisiert beschäftigt haben, als er gerade selbst von einem Schadprogramm übernommen wurde.

Im Einzelfall abträglich Ob etwa ein weiterer neu hinzutretender bzw. ein bereits bestehender ihnen jedoch bisher unbekannter Umstand und nun bekannt werdender Umstand sich für Sie eher positiv oder negativ auswirkt - wenn Sie in solchen Kozepten denken - hängt sehr vom Einzelfall ab. Z.B. sind, je nach Fantasie, auch sehr ungewöhnliche Konstellationen denkbar. Z.B. wird der (weitere) Versuch von Angreifer a sie mit der unerkannten Malware b auszuspähen von Angreifer c durch Installation einer erkennbaren Malware d vereitelt, erschwert oder - der späteren Spurensuche dienlich - geloggt. Oder d deaktiviert/löscht praktischerweise gleich selbst b. Warum bleibt zunächst offen, ist es vielleicht eine nette Gegenleistung oder Eigeninteresse: Stört die vorhande Malware vielleicht bloß eigene Aktivitäten (Coder wissen: Viele Systeme sind bereits infiziert, wenn ihre Software eintrudelt) oder möchte jemand zeigen, dass er es besser kann (Es existiert auch unter Malwareschreibern Konkurrenz, z.B. wer der bessere und mitdenkendere Coder ist) und natürlich wechseln auch Leute die Seiten und erschweren ihren ehemaligen Kollegen die Arbeit. Wenn beispielsweise b ihre Bankzugangsdaten ausspäht und für ihren Malwarescanner unauffindbar ist, während d bloß einige Wochen etwas Rechenzeit für ein Gesamtprojekt abzwackt, haben Sie mit dem Blocken oder der dauerhaften Entfernung von d evtl. unter Umständen ein schlechtes Geschäft gemacht.

Massenhafter Einzelfall?
Was spricht eigentlich gegen dieses - jedenfalls für Massenangriffe - ganz sinnvoll erscheinende Vorgehen?
Genau: Ob es sich denn tatsächlich überhaupt um einen Massenangriff mittels Massenware handelt oder ob es sich um einen individuellen Angriff gegen Sie bzw. ihre Daten handelt, evtl. ausgeführt mittels eines leicht modifizierten verbreiteten Trojanischen Pferdes, das im Übrigen auch tatsächlich für Massenangriffe verwendet wird und vielleicht auch in ihrem Umfeld auf mehreren Rechnern eingesetzt wird um z.B. die Tatsache, dass Sie das eigentliche Ziel sind zu verschleiern. Oder soll lediglich ein solcher Eindruck erweckt werden? Hier sieht man schon, dass eine abschließende Beurteilung so leicht im Einzelfall leider nicht ist. Was aber relativ sicher ist, dass die Quelle für derlei Spionageaktivitäten nicht selten im privaten Umfeld zu finden ist (Eifersucht etc.)

Ruhig Blut
Manchmal ist es eben auch interessant herauszufinden, wer der Angreifer ist, für wen er evtl. (unwissend) arbeitet und was er zu welchem Zweck erreichen möchte bzw. erfahren möchte, bereits herausgefunden hat und (vielleicht unfreiwillig) weitergegeben hat, weil er selbst abgeschöpft wurde - kurz: Wer verfügt ebenfalls über diese Informationen und möchte sie wozu einsetzen. Genau deshalb kann es manchmal sinnvoll sein - soweit möglich - ganz normal weiterzuarbeiten, wenn nicht z.B. besondere Interessen dritter Parteien berührt sind (Kommunikationspartner [Chat], weitere User am gleichen PC/Netzwerk), wobei diesen eigentlich bekannt sein sollte, dass Bereiche, Rechner und User auf beiden Seiten in der Regel - wie das Leben im Allgemeinen - nicht als streng sicher angesehen werden können, was oftmals aufgrund der geringen allgemeinen Relevanz der angefallenen Daten zwar keine staatstragende Bedeutung haben mag aber im Privatleben durchaus erheblichen Wirbel verursachen und auch Konsequenzen nach sich ziehen kann, wenn z.B. der eifersüchtige Partner aus Chatlogs erfährt, dass er offenbar betrogen wurde. Die Praxis Malware, insb. trojanische Pferde und sodann mittels standardisierter Vorgehensanleitung an ihrer Tätigkeit zu hindern oder gar zu löschen kommt aus ermittlungstaktischen Gründen einer Katastrophe gleich da dies den oder die, möglicherweise an anderer Stelle, später erneut und erfolgreich, zuschlagenden Täter im dunkeln lässt, nämlich dadurch, dass sie grundsätzlich dazu geeignet ist Tat- und Spurenvermeidung oder gar Spurenvernichtung zu forcieren, statt sinnvollerweise beobachtend beweiserhebliche Informationen zu sammeln und zu sichern. Immerhin gilt es ja auch evtl. verschlüsselte Logfiles anhand des verwendeten Logarithmus wieder zu entschlüsseln, damit sie nicht auf kyptische unverständliche Zeichenketten wie etwa "f89099geerpuevf60gvna51xbea642799tsqst§" oder dergleichen stoßen -Files Allerdings haben Sie die Anwesenheit eines trojanischen Pferdes _auffällig_ bemerkt oder bereits Rat von dritten hinzugezogen, führen Sie lieber doch alle üblichen Aktionen durch um ihre Ahnungslosigkeit mehr oder weniger erfolgreich zu demonstrieren.

Der Fantasieangriff
Bevor Sie also vorschnell ihren Rechner "platt machen", wie gelegentlich empfohlen wird, halten Sie einen Moment inne und lassen Sie ihre Fantasie ein wenig spielen, überlegen Sie ob vielleicht genau ihre vorschnellen Schlussfolgerungen und übereilten Reaktionen den erwarteten, vielleicht nicht hinreichenden aber notwendigen Zugabeteil zu einem Gesamtplan einer dritten Partei darstellen oder ob Sie anderweitig jemandem in die Hände spielen, z.B.
•zeigen ihre hektischen Aktivitäten dem/n Angreifer(n) evtl., dass Sie "Lunte gerochen" haben. Die Software wird evtl. automatisch auf diese reagieren und sich sicherheitshalber weiter tarnen, deaktivieren, vielleicht unmittelbar entscheidende Daten(reste) übertragen (Cache leeren), sich selbst und verräterrische Spuren unbrauchbar machen, was z.B. auch in verschlüsseln oder simplem Überschreiben bestehen kann.
•ist genau gewünscht, dass sie Kontakte abbrechen und offline gehen (und somit z.B. wichtige Nachrichten nicht senden/empfangen können), vielleicht damit Sie oder ein Kommunikationspartner nervös werden und - auf einem anderen Medium nachfragen oder gar persönlich erscheinen oder
•dass Sie sich nun längere Zeit ausschließlich mit dem befallenen Rechner beschäftigen (und von anderen wichtigeren Dingen, vielleicht im RealLife in dieser Zeit Ressourcen abgezogen werden, sprich: sie werden abgelenkt, z.B. von ihrer Beziehung(sarbeit), was dritten interessierten Parteien nützen könnte).
•dass Sie ein besonderes, evtl. kostenpflichtiges, Tool oder ebensolche Dienstleitungen, z.B. aus dem Internet herunterladen und installieren, was dann die eigentliche Schadsoftware darstellt oder diese unterstützt, z.B. indem sie - da sie nun wieder online sind - die zuletzt angesammelten und noch nicht übertragenen Daten nach irgendwo sendet oder den eigentlichen Schädling und dessen Spuren löscht oder wie bereits erwähnt - einfach jemandem Geld bringt oder ihnen sonstige notwendige Mittel abzieht. Das kann auch über den Umweg über bestimmte zu ergoogelnde Communities mit entsprechenden - auf Produkte und Diensteleitungen dritter verweisender - Helfer geschehen.
•dass Sie einen Dritten mit dem Sie z.B. Dateien getauscht haben - nett meinend - warnen und dieser ebenfalls Offline geht und weiterwarnt (Stichwort: Hoax) usw.
•soll einfach ein diffuses Gefühl von Unsicherheit bei ihnen/dritten erzeugt werden: "Jemand weiß vielleicht was ich bzw. Kommunikationspartner wann worüber denken, tun, schreiben, ansurfen etc."
•geht es gar nicht um Sie oder ihr Privatleben sondern um etwaige Firmengeheimnisse soll ein entsprechender naheliegender - schwer zu widerlegender - (Spionage-)Verdacht auf einen Dritten fallen ("Dein jetziger Freund spioniert Dir bestimmt nach"), z.B. um sich selbst als zukünftigen Freund interessant zu machen ("Du weißt ja, dass ich mich auskenne und ich helfe Dir - völlig uneigennützig(...)") oder der Helfer hat selbst etwas - gerade noch legales - gedreht und möchte nun von Ihnen selbst _authorisierten_ und damit völlig legalen Zugriff auf ihre Daten erhalten, was z.B. auch darin bestehen kann ein (Online-)Backup für eigene spätere Zwecke anzulegen. ("Ach, ich brauche noch gerade Logins, diverse Passwörter und meinen USB-Stick oder weißte was, ich lads kurz hoch und schau mir das zuhause genauer an")

Skeptisch sollten Sie werden, wenn Sie mal einige Tage spaßhalber offline gehen und sich jemand plötzlich wieder meldet oder Personen durch Nachhaken Internetzugriff provozieren möchten ("Du hast doch Internet, kannst Du mal das und das bitte nachsehen") etc.

Rückwärts-Zwischenstation
Und ein interessanter Gedanke: Auch wenn Ihr Rechner individuell infiziert wurde, sind sie selbst vielleicht zwar nicht das wahre direkte Ziel dieses Teilangriffs (der auf technischer Ebene stattfand) jedoch trotzdem das Ziel des Gesamtangriffs auf anderer - nichttechnischer - Ebene

Zur Veranschaulichung - Ein konkretes Beispiel aus dem Bereich Imtimbeziehung - ein Bereich in dem besonders gerne geschnüffelt wird
Annahme: Sie und Ihre Frau trennen sich. Der neue Freund ihrer Frau ist sehr eifersüchtig und denkt sich so ein wenig, dass es ja sein könnte, dass sie beide noch gelegentlich etwas miteinander haben oder zeitweilig gehabt haben könnten, während er mit ihr schon zusammen war. Jetzt hat er aber mitbekommen, dass sie zu den vorsichtigen Menschen gehören und wenn da etwas wäre, jedenfalls nichts in dieser Richtung irgendwo aufschreiben würden, also brächte es vermutlich nichts zu versuchen ihren PC zu überwachen. Er wird trotzdem (technisch) infiziert obwohl es (informationsmäßig) nichts bringt, warum?

Sie sollen letztlich bei Dritten (z.B. ihrer zukünftigen Freundin), zu dessen PC der Angreifer (im Beispiel der neue Freund ihrer Ex-Frau) selbst keinen oder zumindest keinen unbeobachteten Zugang hat oder möchte, um nicht damit in Verbindung gebracht zu werden, Schadsoftware einschleusen. Also wird man zweckmäßigerweise z.B. jemanden angreifen, dem a) sie vertrauen und b) dem sie die gewünschten Informationen überlassen und der sich c) zumindest beim Chatten nicht so vorsichtig wie sie verhält und darüber also d) mit weiteren Personen z.B. chattet. Es kann sein, dass jemand folgende Eigenschaften für diesen Zweck ausnutzt

Auszunutzende Eigenschaften
1. Die Angewohnheit im Web auszuplaudern, wann sie länger außer Haus sind, z.B. bei ihrer neuen Freundin (somit der PC für Manipulationen vor Ort relativ ungeschützt zugänglich ist).

Oder alternativ und _ohne_ ihre Wohnung zu betreten
Die bekannte Tatsache ausnutzen nicht ohne Internet auszukommen. Er wird Ihren Internetzugang durch einfache mechanische Mittel am Hausanschluss lahmlegen, damit Sie wie erwartet hilfsweise ein Webcafe aufsuchen um dort - möglicherweise abgesprochen - einen bestimmten PC zugewiesen zu erhalten und im Idealfall Ihren USB-Stick dazu zu verwenden - sich urheberrechtsverfolgungstechnisch auf der relativ sicheren Seite wähnend - heruntergeladene Musik und nebenbei ein gut programmiertes trojanisches Pferd darauf zu installieren, das später ihren PC befällt.

2. Musik übrigens, welche sich zufällig eine neue Chatbekanntschaft, an der Sie durchaus interessiert sind, einige Tage zuvor gewünscht hat, basierend auf ihrer Eigenschaft leicht auf Kontaktgesuche anzuspringen..

3. Die Eigenschaft grundsätzlich auch unbekannten Menschen gegenüber ehrlich zu sein und in ihre eigenen Fähigkeiten absolut zu vertrauen ("Ich meine es ernst!", "Du da war noch was!", "Ich kenne mich mit PC aus" > "Mein Stick ist sauber!")

4. Die berechtigt erscheinende Neugierde und das Vertrauen ihrer neuen Freundin in sie da sie es ja ernst meinen und alles nicht bloß Affäre ist. ("Sag mal, war da was?", "Der kennt sich aus!", "Dem kann ich z.B. das Admin-PW geben!").

5. Ihre Hilfsbereitschaft, also z.B. allgemein jemandem - und ihrer neuen Freundin ganz bestimmt - bei PC-Problem zu helfen.

6. Die Eigenschaft Ihren Stick auf Rechnern von Kontakten (Bekannte, Freunde, Verwandte) einzusetzen.

7. Die (merkwürdig anmutende) Eigenschaft, dass Freundinnen sich untereinander gerne und umfassend über intime Details austauschen.

Was passiert?
Ihr Stick und PC werden letztlich also infiziert (Sie sind ja entweder außer Haus oder fangen sich das Teil im Webcafe ein), sie nehmen den Stick irgendwann mit zu ihrer neuen Freundin um mal was zu checken - irgendwas ist an PCs ja praktisch immer zu tun, stecken ihn dort ein, infizieren somit ebenfalls den PC ihrer neuen Freundin. Außerdem erzählen Sie ihrer Freundin, dass da mal was mit mit ihrer Ex war und diese chattet es wiederrum mit ihrer besten Freundin, die kurz zuvor gezielt per Chat von irgendwem allgemein in diese Richtung "Ex" gelenkt wurde ("Hey, hattest du schon mal Sex mit dem Ex"), womit sich per Assoziation höchstwahrscheinlich ein ergiebiger Chat entwickeln kann. Der Angreifer hat, falls er die Informationen nun erhält, diese zwar über eine - im Beispiel eine einzige - Zwischenstation erhalten, das Prinzip ist aber auch "über Bande" anwendbar, was jedoch deren Vollständigkeit und insb. auch deren Wahrheitsgehalt erheblich beeinträchtigen kann. Interessanterweise hat er das aber erreicht, indem er mehrfach höchst individuell, also an konkreten Schwachstellen, der jeweils beteiligten Knotenpunkte (Menschen) im Beziehungsnetz (Web of Trust) angegriffen hat. Möglicherweise hat er sich bei jedem Knoten oder ganz einfach in Social Communities höchst interne, geradezu sensible da zielführende Informationen über denkbare Angriffspunkte des nächsten Knoten (Mensch) verschafft.

Das hat für den Angreifer folgende Vorteile
1. Er muss sich nicht den Kopf darüber zerbrechen wie er in der Kette, oder vielmehr dem Netz, eine einzige Person ausmachen soll, die ausgerechnet alle notwendigen Schwachpunkte in sich vereint und gleichzeitig auch über die begehrten Informationen möglichst vollständig und in guter Qualität verfügt bzw. sich diese leicht verschaffen kann und nicht evtl. von dritten vorsichtigeren Naturen - vielleicht genau wegen dieser bekannten Schwachpunkte - geschützt und z.B. genau deswegen gezielt desinformiert (z.B. nichtinformiert) wird. Ein Schwachpunkt für einen erfolgreichen Angriff ist übrigens wirklich jede nur denkbare ausnutzbare Eigenschaft, also auch und insb. in unserem Kulturkreis positiv bewertete Merkmale (Auskunfts- und hilfsbereit, sagt nicht "nein", kuscht vor Authoritäten oder Authoritätsbehauptungen: "Ich bin hier Admin, verdeckter Ermittler oder irgendwas"). Es ist jedoch nicht ausgeschlossen, dass im Einzelfall eine Art Cluster vorliegt, also eine Häufung mehrerer Personen, die, z.B. aufgrund Naivität, im Wesentlichen leicht und ähnlich angreifbar sind. Und selbst dann, könnte ein derartiger massiver Gesamtangriff auf eine einzige Person zumindest irgendwann weiteren Dritten auffallen, was zu entsprechenden Warnungen und Sicherheitsmaßnahmen führen würde und den zeitnahen Erhalt der begehrten Informationen, also den Erfolg, jedenfalls mit den zur Verfügung stehenden (endlichen) Ressourcen, eines realen Angreifers jedenfalls nicht wahrscheinlicher erscheinen lässt. Kurioserweise sind gelegentlich insb. technisch veranlagte Menschen, mit z.B. wirklich gut gesichertem und penibelst konfigurierten technischem Sicherheitsequipment, ganz gut über die Socialschiene angreifbar, sprich abschöpfbar.

2. Der Angriff ist so verteilt, dass er faktisch verschleiert wird, wenn und solange niemand den Gesamtüberblick erhält oder durch die richtige Kombination aus Faktenwissen und ausreichender Fantasie ihn zumindest erahnen kann bzw. einfach jemand internes ihn verrät. Es dürfte bei sorgfältiger Durchführung also letztlich niemandem - insb. nicht den Beteiligten - überhaupt auffallen, dass überhaupt ein Angriff stattfindet bzw. stattgefunden hat.

3. Falls doch ein Teilangriff per Chat etwa auffliegen sollte, wird - falls sorgfältig ausgeführt - niemand sicher nachvollziehen können, welchem Zweck er letztlich dient, z.B. welche Information von wem über wen eigentlich genau das Ziel waren und damit auch nicht auf die Urheberschaft des Angriffs rückschließen können. Das erreicht man z.B. indem man nicht selbst auf ein entsprechendes Thema oder eine Person hinlenkt, in viele Richtungen diskutiert, möglichst wenig selbst konkret direkt nachfragt und _niemals_ sofort das Gespräch von sich aus beendet, sobald man die begehrten Informationen erhalten hat sondern mit weiteren Gesprächsinhalten die flüchtigen Gedächtnisinhalte des Arbeitsgedächtnisses der abzuschöpfenden Person "überschreibt" und/oder oder auch mit einer oder mehreren gestreuten - für das Ziel völlig irrelevanten - direkten Frage evtl. entstehenden Verdacht in eine bestimmte Richtung ablenkt.

4. Falls die Schadsoftware auf einem der Rechner erkannt werden sollte, wird dies zunächst erst mal augenscheinlich mit dem vermutlichen "Überträger" in Verbindung gebracht werden, was evtl. dazu vielleicht dazu führt, dass jemand diesen für einen "Spion" hält, sich von dieser Person trennt und von sich aus - evtl. die Relevanz nicht erkennend - alles erfahrene bereitwillig ausplaudert oder sie im Gegenteil sehr wohl erkennend ausplaudert ("Rache by Proxy" - Jemand anderes übernimmt dann diesen Job). Um eine hinsichtlich des Informationsgewinns, nützliche Situation (Misstrauen|Spaltung) zu erzeugen kann es sich lohnen die Beteiligten gegeneinander etwas auszuspielen ("aufmischen"), mit wahren oder auch mit falschen Behauptungen ("Der hat das und das über dich gesagt", "Den habe ich mit deiner Alten zusammen in der City gesehen glaub ich") oder geschickter: "Der hat gesagt, dass er dich da und dort gesehen habe" zumindest zu weiteren Überlegungen, Nachforschungen und auch Äußerungen oder gar Streitigkeiten provozierenden zweideutigen Andeutungen durch die Blume ins Blaue ("Ach, weißte... meine Freundin ist mir auch schon fremdgegegangen", "Frauen gehen immer fremd"), gefördert evtl. noch durch schlichtes Beihalten zu JEDER beteiligten Partei ("Du hast Recht, die ist genau so und so"), natürlich jeweils nur unter Ausschluss aller weiteren Beteiligten. Die nun einsetzende, nicht selten emotinal geprägten, Gespräche (Chats/SMS) sind oftmals sehr hilfreich und auf keinen Fall zu unterbrechen. Eine Taktik übrigens, die auch gerne mal in der Exekutive/Judikative angewendet wird (Beschuldigte werden z.B. getrennt vernommen, so dass keiner weiß, was der andere evtl. ausgeplaudert hat (Unsicherheit) oder es wird ein Zeuge vernommen, alleine dem Zwecke dienend, dass in dritten ein Eindruck entsteht (Der hat doch was ausgepackt...) oder dass sie ihr tun nachdenken (I.S. einer Warnung), Streitigkeiten im Gerichtssaal werden gelegentlich nur oberflächlich abgewürgt (solange verbal ausgetragen), jedoch insgeheim gelegentlich forciert oder zumindest doch im Interesse der Informationsgewinnung toleriert (Zuhören, reden lassen, Klappe halten und später erst nachhaken).

[Kleiner SE-Tipp am Rande: Kommen Sie oder eine ihnen wichtige Person in eine unangenehme Situation, werden Sie (taktisch) schnell _und_ hart verbal absolut nicht hinnehmbar ausfällig, damit jemand Drittes oder ihr Gegenüber das Gespräch und somit weitere Informationspreisgabe wunschgemäß _sofort_ unterbricht oder wenigstens die Sachebene verlässt und ebenfalls lediglich wüst beschimpt. Das empfiehlt sich z.B. wenn das Gespräch in unangenehmen Bahnen läuft und sie bemerken oder stark vermuten, dass sie z.B. abgehört werden. Hilft jedoch manchmal nur kurz weiter, immerhin können sie aber so etwas Zeit gewinnen bis Sie die anderen Personen warnen können oder genau dies im Sinne einer plausiblen Abstreitbarkeit unterlassen. Wahlweise können sie auch hilfsweise überzeugend plausiblen Unsinn verzapfen oder gar etwas akutes vortäuschen. Wenn sie aber ganz geschickt sind, werden Sie genau das tun, wenn gerade absolut garnichts besprochen wird, was eine großartige Relevanz enthält, um eben so den Eindruck einer möglichen Relevanz zu erzeugen und somit von anderen evtl. unangehmeren Sachverhalten oder auch Personen abzulenken und die Aufmerksamkeit auf sich selbst ziehen.]

Was spricht noch gegen eine vorschnelle Entfernung?

Ist das alles wirklich genau so?
Nein, jedenfalls nicht in dem Sinne etwa, dass das alles tatsächlich irgendwo mal ganz genau so oder so ähnlich vorgefallen wäre oder gerade - etwa bei ihnen - passiert. Da kann man sich nicht sicher sein solange keiner auspackt, es sind letztlich Indizien: Was genau spricht dafür und was dagegen. Dabei kann man sich das "Charly-Konzept" zunutze machen um entsprechende Idizien zu bewerten. Charly hat Recht in seinen - teilweise interessanten - Ausführungen, nichts kann ohne reguläre Negativmerkmale plausibel gemacht werden. Es handelt sich lediglich um einige theoretische Konzepte (und noch keine kleinen miesen Tricks), also Beispiele, welche aufzeigen, dass mit etwas Fantasie ausgestattete Angreifer im Einzelfall ein leichtes Spiel haben können und allgemein Dinge vielleicht nicht immer so einfach wie zunächst angenommen sind (Schubladendenken) und dass man den eigenen Verstand manchmal auch etwas mehr gebrauchen darf, während man sich gleichzeitig mit ernsthaften Äußerungen oder dem Glauben an ganz sicher zutreffende eigene Schlussfolgerungen etwas zurückhaltender geben kann - und nicht stur und felsenfest überzeugt allgemeinen Anleitungen zu folgen oder diese gar - hinweislos - weiterzugeben, was anderen unbeabsichtigt in die Hände spielen könnten. Denn diese allgemeinen Anleitungen - davon können Sie sicher ausgehen - sind potentiellen Angreifern auch bekannt und vielleicht ist genau ihre leicht abzusehende Reaktion, die von diesen erwünscht ist weil sie z.B. irgendwie ein Stück dazu gibt, einen Plan zu erfüllen. Aber um das Ganze ein wenig zu relativieren: Es stammt glücklicherweise nicht jeder Angriffsplan dem Gehirn eines wahnsinnigen Genies, welches einen bis in jede Einzelheit durchdachten Gesamtplan unter verschwörerischer Beteiligung etwa der gesamten Bekanntschaft sowie diverser Geheimdienste umsetzt. Oftmals sind es lediglich Treuetester oder Privatermittler, die entsprechende Informationen zu erlangen suchen und sich dazu nicht selten notwendige Ressourcen bei versierten IT-lern verschaffen.

Angegriffen? Meistens eher nicht.
"Jemand scheint Informationen über mich zu besitzen, die ich nicht weitergegeben habe, wurde ich Opfer eines Angriffs?" Allgemeine Frage - allgemeine Antwort: Falls Profis am Werk waren, werden Sie das im Idealfall niemals oder erst zu spät erfahren oder erst zu einem von diesen gewollten Zeitpunkt erfahren. Sonst wären es: Genau - keine Profis. Nicht unoft lohnt es sich deshalb einfach mal abzuwarten. Früher oder später klärt sich nicht selten einiges und nicht wenige Menschen verplappern sich meiner Erfahrung nach, vielleicht manchmal aber auch wieder nur um einen Eindruck zu erzeugen. Interessant ist es auch ganz einfach abzuwarten und den nächsten Streit abzuwarten, erfahrungsgemäß werden dann oftmals interessante Details bekannt, wobei ich aber auch schon erlebt habe, dass z.B. Fremdgeher sich gegenseitig abgesprochen decken - kleine Netzwerke der Abhängigkeiten also. Es dreht sich also alles irgendwie im Kreis, wenn und solange Sie nicht mit moralisch verwerflichen, evtl. unter Zuhilfenahme technischer Mittel, Methoden Ihre Mitmenschen ausquetschen (lassen). Damit das Ganze nicht noch in Paranoia, der Kehrseite evtl. ausufernder Fantasie endet, sollten Sie über einen halbwegs gesunden Menschenverstand verfügen.

Relativiert
Um das Ganze dann auch etwas zu relativieren: Nicht jede zutreffende private Information, die irgendwo plötzlich auftaucht ist zwingend durch einen echten Angriffs aufgeflogen. Manchmal gibt es auch eine ganz simple - geradezu banale Erklärung dafür, dass jemand scheinbar private Informationen besitzt. Z.B. haben sie selbst diese irgendwie irgendwo irgendwann preisgegeben und erinnern sich ganz einfach nicht mehr daran und jemand hat diese (irrtümlich) einem letztlich nun unbekannten Teilnehmerkreis weitergegeben, oder es hat ihnen ganz einfach jemand beim Chatten mal kurz über die Schulter, in ihre nicht ausreichend entspiegelte Brille oder aber sogar beim Flirten in ihre verträumten, Bände sprechenden, herrlich blauen - vor Unschuld nur so strotzenden - Augen geschaut. Oder auf der anderen Seite saß während des Erotikchats statt "Susi, 22 Jahre alt und total scharf" dummerweise ihre eigene Freundin, deren Amüsement bloß noch von ihrem Zorn übertroffen wurde, oder Ihre defekte Sprechanlage bzw. das geöffnete Fenster haben Ihre internen abendlichen Ehediskussionen live in die bereits vor ihrem Haus campende Nachbarschaft übertragen. Die Klassiker überhaupt: Ungesicherte Ersthandy (Ein Handy ist wie ein mobiler PC zu betrachten mit etwa den gleichen ausnutzbaren Schwachstellen.), Browserverlauf, Chatlogs etc.! Oder - was ganz ärgerlich wäre: Die eingeworfene Info war bloß ein provozierender Blöff, Scherz (hmhm) oder zufällig richtig geraten und sie haben sich dazu hinreißen lassen voreilig und ohne Not den Wahrheitsgehalt zu bestätigen oder überhaupt etwas zu sagen. Wenn Sie etwas abstreiten, regen Sie sich wenigstens äußerlich auch überzeugend und angemessen dazu auf und bleiben Sie auf dem Teppich: Wieviele Schweißperlen würden wohl fließen, wenn morgen sämtliche Eheleute sich völlig anlassunabhängig und unerwartet gegenseitig intensivst auf Treue, im Sinne einer exklusiven, d.h. andere Intimpartner ausschließenden Beziehung, abklopfen würden? Vielleicht nicht halb so viele wie ich persönlich mir in meiner dunklen Fantasie so ausmalen kann.

Zurück zur Frage
Ob man bei derart einfachem Vorgehen überhaupt von einem Angriff sprechen kann... im engeren Sinne wohl kaum da in den Beispielen nicht wirklich ein Hindernis (Ihr gesunder Verstand, ihre Vorsicht, einfachste Sicherheitsmaßnahmen) zu überwinden war und sie zumindest teilweise durch Fahrlässigkeit erheblich bei der Erzielung des Endzustandes mitgewirkt haben, was im Umkehrschluss jeglichem Vorwurf die Grundlage entzieht. Zum Thema Fremdgehen liegen natürlich einschlägige, teilweise - aufgrund fehlender Hintergrundinformationen, z.B. zum Studiendesign, Finanzierung des Projekts - nicht immer leicht zu interpretierende Statistiken vor. Stopp! Bevor Sie jetzt etwa lossurfen und entsprechende Statistiken ergoogeln und vielleicht sogar bei dieser Gelegenheit online an einer entsprechenden Umfrage teilnehmen, überlegen Sie kurz ob ihr Gewissen und auch ihr PC-sicherheitskonzept relativ sauber sind, bevor sie auf einer Seite, die z.B. vorgibt Daten zwecks Fremdgehstatistik zu sammeln, absolut wahrheitsgemäße Angaben machen. Das gilt insb. immer dann, wenn jemand vielleicht interessiertes ihnen einen entsprechenden Link... - da Sie ja nun sensibilisiert sind, wissen Sie bereits wie der Satz geendet hätte. Geschickter ist es sowieso, wenn es schon sein muss, jemanden über Zwischenstationen irgendwohinzuschicken. Z.B. jemand wurde gerade verlassen und Sie wollen, bevor Sie weiter Trost spenden, erfahren ob der denn da wirklich sooo unschuldig daran ist, dann schicken sie ihm ein Trostsmiley von einer Seite, die auch irgendwo Links enthält, denen ihr Ziel wahrscheinlich folgen wird und die letztlich zu einer entsprechenden, vielleicht vorbereiteten, Seite führt. Kurz: Ihr "Opfer" sollte davon überzeugt sein, selbst - ohne ihr zutun - dorthin gelangt zu sein.

Interessant aber was denn nun konkret tun? Zunächst Innehalten und etwas Nachdenken, z.B. darüber
a) Ob Sie ein schlechtes Gewissen haben, dass Sie sich um sowas sorgen müssen.
b) Falls ja: Ob denn überhaupt etwas konkretes vorliegt wo überhaupt jemand dahinterstecken könnte.
c) Falls ja: Ist da jemand für den ihr oder das Leben ihres Umfeldes interessant ist, wer informiert sich?
d) Wer wäre denn auch dazu bereit ziemlich weit für entsprechende Informationen zu gehen ("Moralfrei")? Wer hat die dazu notwendigen Ressourcen (Geld, Connections etc.)

Realität
Realistischerweise wird die Antwort ab b) wohl meistens "nein" lauten. Falls dem nicht so ist: Informieren Sie sich auf jeden Fall wenigstens noch kurz über solche Dinge wie selektive Wahrnehmung (Kurz: Wer etwas unbedingt finden möchte, wird auch entsprechende Anzeichen finden.) Ansonsten hat oftmals z.B. die Mama ja schon alles wichtige mitgegeben, z.B. Fremden nicht gleich immer alles haarklein genau erzählen, das gilt auch für Erwachsene im Internet oder noch besser: Nichts tun, was einem schlaflose Nächte bescheren könnte. Außerdem überlegen Sie sich immer gut, wenn Sie etwas vermuten oder wissen, wem Sie das wie genau, wo und wann mitteilen oder genau das auch vielleicht besser unterlassen. Vernünftig wäre es sicher Kommunikationsmittel in Zukunft unter Datenschutzgesichtspunkten letztlich wie ein Gespräch in der Öffentlichkeit zu betrachten, wobei mancher sicher einwenden wird, dass die hier genannten Gefahren ja nur sehr theoretisch sind und in Wahrheit viele PC und auch deren User ganz gut gesichert und schlichtweg zu uninteressant für derartige individuelle Profi-Angriffe sein mögen. Dem muss ich entgegenhalten, dass nicht wenige, insb. innerlich ständig relativ cool bleibende (klugerweise äußerlich sich aber nicht zu cool gebende) rasend eifersüchtige Menschen zu noch viel fantasievolleren, komplexeren, gemeineren und auch verdeckteren Angriffen in der Lage sind. Ich führe ja hier nur simpelste Techniken ganz grob vor. Die schlechteste Lösung wäre es meines Erachtens nach aufgrund reiner diffuser Vermutungen sich fortan völlig zu isolieren, jedem Menschen zutiefst zu misstrauen und auf ein ausgefülltes Privatleben oder klare Worte generell zu verzichten. Viel schöner finde ich es persönlich, das allgemeine Restrisiko des Lebens wenigstens einfach hinzunehmen oder hilfsweise gar ein wenig Gefallen daran zu finden und im Allgemeinen eher zu schweigen als zu reden. Wobei letzteres auch immerhin den Vorteil haben könnte, dass man nicht weiter groß als Mitdenker "auffällt", was gerüchteweise ein langes Leben bescheren soll. :)

Verallgemeinert Ansonsten kann man unter erkenntnistheoretischen Gesichtspunkten ohne Kristallkugel schlecht eine allgemeine Empfehlung geben da die Realität einfach zu bunt ist. Aufgeflogene Umstände z.B. können ja, wenn auch zunächst unangenehm erscheinend, letztlich auch zu etwas Gutem für viele oder alle gar Beteiligten führen, wenn auch die oft genannte Win-Win-Situation eher die Ausnahme bleiben dürfte. In dem Sinne wäre die Empfehlung: Lassen Sie alles weiterlaufen, verhalten Sie sich normal und behalten Sie wenigstens im Hinterkopf, dass nicht immer alles so sein _muss_, wie es Ihnen auf den ersten Blick erscheint und das soetwas wie Wahrheit tatsächlich ein kostbares seltenes Gut ist und bevor Sie sich nun mal hinsetzen und einige Dinge aus der Vergangenheit vielleicht nochmals überdenken: Schmerzliche Wahrheit muss man auch vertragen können, wenn man seinem Forscherdrang nachgeben möchte.

Spione aufdecken
Gut, Sie wollen es genauer wissen und haben einen konkreten Verdacht. Sinnvoll könnte es dann im Einzelfall z.B. sein auf _sicherem_ Wege Pseudotreffen mit _geistesgegenwärtigen_ eingeweihten Dritten zu vereinbaren, und diese Verabredung dann auf dem vermutet _unsicheren_ Medium wie besprochen zu wiederholen, ganz einfach um mal zu schauen ob und wer da noch so (vielleicht wirklich bloß) zufällig auftaucht. Dieses hier nur grob beschriebene Vorgehen macht natürlich nur dann Sinn, wenn der zu treffende nicht selbst auch spioniert, ein Gehilfe eines Spions ist oder eine leicht abzuschöpfende Quelle ist (hier z.B. auch - moralisch nicht bewertend - an gut versteckte diverse Abhängigkeiten, auch sozial akzeptierter Drogen wie Nikotin, Koffein, Ethanol, Spiel, Liebe, Geld usw. denken). Es ist nicht unwahrscheinlich, dass auch Personen im Umfeld einer auszuspionierenden Person gleich mitauspioniert werden, und spionieren bedeutet nicht automatisch, dass etwa nur technische Kommunikationseinrichtungen mittels technischer Mittel angegriffen werden. Wer aber auch immer am Treffpunkt noch auftaucht, könnte auch anders davon erfahren haben, z.B. von ihrem Pseudodate, wenn es eben doch selbst der Spion ist, der frech jemand anderen beauftagt zwecks Eindruckerweckung zu erscheinen. Oder der Spion selbst wurde ausgespäht, von jemandem, der ein RealLife-Gespräch aufgeschnappt hat (Auch Lippenleser [gar nicht so selten], gar nicht wirklich hörbeeinträchtigte Hörgeräteträger etc.) oder ganz einfach dazu beauftragt wurde oder oder oder. Natürlich könnte das auch nach hinten losgehen und z.B. Ihr Partner oder die - ihnen bisher verborgen gebliebene - heimliche Partnerin des "Dates" erscheinen genau noch zwei mal in ihrem Leben, nämlich
1. ziemlich aufgebracht.
2. am vereinbarten Treffpunkt.
3. zur Verhandlung (...)
Nein, ich habe mich nicht verzählt.

Alternativen
Alternativ könnten Sie einen plausiblen Störfall inszenieren oder einen Anschein erwecken, z.B. angeblicher Stromausfall, Hardwaredefekt oder ganz einfach vorsätzlich Malware installieren, die bekanntermaßen Systeme ruiniert. Wer taucht nun plötzlich in wessem Auftrage auf und bietet sich zufällig zur Hilfe an oder andersherum: Wer geht ihnen abzusehen als erstes durch den Kopf, wenn es ein PC-Problem gibt und wer hat evtl. ihr letztes PC-Problem verursacht? Wer bekommt von Ihnen im Zweifelsfall selbst den Auftrag seine eigenen Spuren beseitigen zu dürfen?

Diskrepanz, Prioritäten und Datensparsamkeit
Bleibt noch anzumerken, dass man erstaunlicherweise gelegentlich feststellen kann, dass bereitwillig viel Geld und Konfigurationsaufwand in entsprechende Schutzsoftware investiert wird, die nebenbei bemerkt gelegentlich auch erst bestimmte Angriffe ermöglicht und nicht selten bloß zur Risikokompensation führt, während einfachste Maßnahmen etwa in Sachen Wohnungseinbruchssicherung unterlassen werden, z.B. dann wenn der Wert des Schließzylinder der Wohnungstüre offenbar im krassen Gegesatz zun den Kosten der Schutzsoftware, eher der 10-€-Baumarkt-Wühltisch-Klasse entstammen zu scheint, wobei man hier evtl. sinnvoller Geld investieren könnte. Nicht weniger erstaunlich auch, wieviele Menschen ihr hoffentlich eigenes Social-Community-Profil inhaltlich äußerst knapp und zweideutig halten, im Direktchat jedoch - bei entsprechendem Angebot - sofort bereitwillig und eindeutig, nicht nur ihre eigene gesamte Lebensgeschichte mehr oder weniger zutreffend offenbaren sondern auch jeden Link bedenkenlos anklicken. Bei Zeitgenossen, die weniger Kooperationsbereitschaft zeigen, kostet es gerüchtehalber nicht selten auch nur wenige Klicks so streng gehütete Informationen wie Anschrift, Rufnummer, E-Mail-Adresse, Interessen, weitere Bekanntschaften etc. einfach an anderer Stelle per Assoziationsverfahren dem allwissenden Internet zu entnehmen.

Lösungen
Zusätzliche Offline-PC für sehr sensible Daten, wie z.B. Tagebücher, Notizen, Privatfotos etc. sind sicher nicht übertrieben. Oftmals genügt für derlei Zwecke ein älterer gebrauchter Laptop. Es kann nicht schaden gelegentlich, z.B. zu Beginn einer Kommunikation oder spontan eingebracht unangekündigt auf einem anderen Medium Kontakt aufnehmen und sich kurz zu vergewissern, dass auch tatsächlich der gewünschte Kommunikationpartner (alleine?) am anderen Ende sitzt, insb. bei SMS weiß man nicht wer gerade die tatsächliche Verfügungsgewalt über ein Handy besitzt. Ganz gut ist es auch bestimmte Muster einzubauen, die nicht allzu leicht durchschaut werden können, das kann etwas einfaches sein, z.B. die Anzahl der ersten X Worter muss genau X Zeichen sein. Oder unauffällige Flüchtigkeitsfehler (Fehlende Punkte usw.), wobei man aber auch hier sagen muss, dass ältere Nachrichten auch schlicht und einfach kopiert werden können, weshalb man z.B. irgendwie noch das aktuelle Datum in eine kleine Rechenaufgabe mit einbeziehen kann, z.B. die Zeichenzahl der ersten X Worte + den aktuellen Wochentag = Y.

Schnüffler...
>>An dieser Stelle noch ein Hinweis für aufrechte aber durchaus etwas neugierige Kollegen: Vielleicht möchte die Person, die vorgeblich hilfesuchend ist, einfach mal schauen ob Sie selbst eben genau dieser Person vertrauen und/oder ob Sie sich mehr als notwendig und falls ja, für welche Daten/Aktivitäten genau interessieren ("Spioniert der?"), was natürlich positiv interpretiert werden könnte ("Er ist eifersüchtig und liebt mich also wirklich") oder negativ ("Shit, der passt auf...") Vielleicht möchte auch jemand mehr über ihre Arbeitsweise oder allgemein über ihre Skills herausfinden, das ist z.B. der Fall wenn der Helfer selbst, evtl. ohne Kenntnis der hilfesuchenden Person, ausspioniert oder allgemein abgecheckt werden soll ("Was kann er wirklich?") oder nebenbei in eine kleine private Spionagegeschichte, Erpressergeschichte oder andere Dinge unschöne Dinge hineinrutscht (z.B. eifersüchtiger Partner oder gar die Polizei überwacht den Rechner bzw. die Komminikation der hilfesuchenden Partnerin bzw. umgekehrt und das ist gar nicht so selten). Was die Sache gelegentlich schwierig erscheinen lässt, ist die, dass Sie bei derlei Geschichten neben der üblichen Technik auch noch insb. weibliche Taktik, evtl. von mehreren Seiten erahnen müssen (Komplexes Beziehungsnetz mit evtl. unbekannten, Playern und auch unbekannten Ressourcen, insb. Skills), d.h. Sie wissen entweder relativ schnell wo der Hase läuft oder Sie reihen sich in die lange Schlange der Schlafmützen ein, deren Teller morgens auf Dauer leer bleibt. Vielleicht infizieren Sie bei dieser Gelegenheit als zufälliges Opfer gleich Ihren Stick mit - und im folgenden... genau usw. Mein Tipp: Unter einem guten Vorwand, jedoch nicht sofort, verschwinden. Und es gibt nicht nur erfahrene SocialEngineers sondern auch Leute, die gezielt auf SocialEngineers angesetzt werden. Nur eine Null? Als Mathematikprofis wissen Sie aber: Es kommt sehr drauf an wo genau die Null sitzt. Wenn Sie ein Problem damit haben: Aussteigen! Äußerst wichtig: Niemals die eigenen hart erarbeiteten ziehenden Tricks offenbaren, _kein Alkohol_ und eiskalt ist Emotion genug etc. Ansonsten: Die letzten Worte des zu selbstsicheren SE: "Keine Sorge, ich hab den Durchblick..."

Verwender von trojanischen Pferden
>>Und noch ein Hinweis für - manchmal - eher unaufrechte Trojanerverwender: Sie wissen evtl. nicht ob eine runtergeladene Spionagesoftware selbst oder weiter von dieser runtergeladene Software oder auch ihre spezielle Empfangssoftware/Entschlüsselungssoftware nicht z.B. weitere Türen für irgendjemand anderen öffnet oder Daten (auch bloße Auswertungen) nach noch woandershin sendet. Und: Es ist gut möglich, dass der Spion selbst auspioniert wird. Ja, Sie sind evtl. nicht der einzige neugierige Mensch und ihr Wissen über ihr Ziel oder ihre eigenen Daten(!) fallen somit auch einem unbekannten Personenkreis in die Hände.

Wer jetzt sagt, dass er keine schützenswerten Daten besäße, dem kann ich sagen: Es gibt fast für alles einen Markt und teilweise kann man aus sehr wenigen Daten schon interessante zutreffende Rückschlüsse ziehen, natürlich nicht unbedingt im Einzelfall aber auf größere Mengen gesehen.

Im Allgemeinen kann ich nur empfehlen sich ein wenig an Richtlinien, u.A. des CCC zu halten: Allgemein: Öffentliche Daten nützen und private Daten schützen. Ansonsten: Datenvermeidung, d.h. Daten, die nicht benötigt werden auch nicht anfallen lassen, und mit benötigten Daten sparsam zu verfahren (Datensparsamkeit), sowie angefallene Daten nach Verwendung sorgsamst unbrauchbar zu machen.

by 23-absTRact-23