Prüfung der Wirksamkeit von physischen und organisatorischen Sicherheitsmechanismen Ihres Unternehmens durch das Social Engineering Audit

Unter dem Begriff Social Engineering werden Angriffe auf Informationssysteme zusammengefasst, bei denen die Nutzer dieser Systeme vom Angreifer durch verschiedene psychologische Tricks manipuliert werden.

Der Angreifer verschafft sich auf diesem Weg interne bzw. vertrauliche Informationen, um einen Cyberangriff durchzuführen. Die Zielperson ist damit für ihn das „Mittel zum Zweck“, um sensible Informationen zu erhalten. Im Kontakt zum Opfer macht sich der Angreifer elementare Grundregeln der Kommunikation zunutze, z.B. Autoritätszugehörigkeit oder die Neigung des Menschen, demjenigen Vertrauen zu schenken, der bereits über bestimmte Informationen verfügt.*: Durch unterschiedlichste Formen der Kontaktaufnahme – und durch Ausnutzung von Gutgläubigkeit, Hilfsbereitschaft oder auch Unsicherheit der Zielperson – wird somit versucht, an vertrauliche Unternehmensinterna zu gelangen.

Die Social Engineering Methoden, die sich unsere IT-Sicherheitsexperten zunutze machen, sind vielfältig. Alle zielen darauf ab, Social Engineering Schwachstellen in organisatorischen Abläufen, dem Sicherheitsverhalten Ihrer Mitarbeiter oder bei der Gebäudesicherheit in Ihrem Unternehmen zu identifizieren. Das Ausnutzen der bestehenden Social Engineering Sicherheitslücken durch Social Hacking gilt es mit Hilfe einer Sicherheitssensibilisierung Ihrer Mitarbeiter zu vermeiden.

Um die Ausnutzung bestehender Social Engineering Sicherheitslücken durch Angreifer zu vermeiden, raten unsere Experten zu einer umfassenden Sicherheitssensibilisierung Ihrer Mitarbeiter. Es gilt, deren Bewusstsein dahingehend zu schärfen, wie leicht sich Angreifer durch verschiedenartige Formen der Manipulation von Menschen Zugriff auf Unternehmensdatenbanken verschaffen können. Wird Angreifern die Chance gegeben, bestehende Gutgläubigkeit oder Unsicherheiten für ihre Social Hacking Methoden auszunutzen, sind die Folgen in der Regel immens: Insbesondere der Industrie- und Handelsbranche droht nicht nur ein hoher finanzieller Schaden, auch der damit verbundene Imageverlust kann durch die Social Engineering Industriespionage eine nicht zu ermessene Höhe erreichen. Da Social Engineering Angriffe nur selten erkannt werden, ist die Nachvollziehbarkeit des Datendiebstahls immens schwierig und birgt für die Unternehmen ein hohes Risiko, beispielsweise Entwicklungsdaten an Dritte zu verlieren.

Die Analyse-Schwerpunkte im Rahmen der Allgeier CORE Social Engineering Überprüfung untergliedern sich in mehrere Phasen, die von unseren IT-Sicherheitsexperten stets individuell an die Gegebenheiten Ihres Unternehmens angepasst werden.

In der 1. Phase steht die vorbereitende Informationsgewinnung – online und / oder vor Ort. Diese Vorab-Recherche erfolgt auf Basis öffentlich verfügbarer Datenquellen bzw. Daten aus sozialen Netzwerken: Gebäude- und Lagesichtung durch Nutzung von Online-Karten sowie Identifikation von Ziel-Mitarbeitern stehen hierbei im Mittelpunkt.

Bei der Social Engineering Informationsgewinnung vor Ort überprüfen wir die Sicherheit von physischen Zutrittsmöglichkeiten des Unternehmensgebäudes und dessen Räumlichkeiten von innen. Auch Netzwerkzugänge an niedrig frequentierten Orten werden von uns ausgespäht und protokolliert.

In der 2. Phase der aktiven Informationsgewinnung verschaffen sich unsere IT-Sicherheitsexperten unter Angabe falscher Identitäten Zutritt in Ihr Firmengebäude mit dem Ziel, Unternehmensinterna durch Abfotografieren und gezieltes Ansprechen von Mitarbeitern zu gewinnen.

Um PC-Zugriffe zu erlangen, werden weiterführende verschiedene Arten des Social Engineering angewendet, beispielsweise diskretes Platzieren von 1-2 Keylogger, Netzwerksniffer o.ä. Aber auch mit der sogenannte Candy Drop Methodelassen sich Social Engineering Sicherheitslücken aufdecken: hierunter fällt die bewusste Platzierung von Malware-infizierten Speichermedien (USB-Sticks, CDs, Speicherkarten etc.) auf dem Betriebsgelände.

Auch Phishing-Methoden machen sich unsere IT-Sicherheitsexperten im Rahmen des Allgeier CORE Social Engineering Audits zunutze. Die Attacken werden per Telefon, E-Mail oder auf postalischem Weg ausgeführt, um Ihnen einen Überblick zu geben, wie viele Empfänger bei einem realen Angriff diese Anfragen bearbeitet hätten.

Fazit

Die Sensibilisierung von Mitarbeitern für die Gefahren solcher indirekten Cyberangriffe und Richtlinien für den Umgang mit nicht vertrauenswürdigen Quellen sind unerlässlich.

Das Allgeier CORE Social Engineering Audit liefert Ihnen ein valides Bild der Wirksamkeit von physischen und organisatorischen Sicherheitsmechanismen Ihres Unternehmens. Vorhandene Sicherheitslücken werden enttarnt und konkrete Handlungsempfehlungen für deren Beseitigung geliefert. Ferner wird das Bewusstsein für die tatsächlich vorhandenen Sicherheitsrisiken unter Ihren Mitarbeitern und deren Sicherheitssensibilisierung durch eine Schulung nachhaltig gestärkt.

Gerne beraten wir Sie zur Durchführung eines Social Engineering Audits in Ihrem Unternehmen. Sie erreichen uns unter 040-38 90 71-0 oder über unser Kontaktformular rechts.

* Der Betrieb Nr. 2 vom 15.01.2016: Arbeitsrechtliche Aspekte von Social Engineering Audits