Mensch und Social Engineering Methoden .

security awareness,ausbildung,schulung,social engineeringDie 3 «Personen-Typen, Verhaltensweisen und Einfallstore»

Von Social Engineering spricht man dann, wenn ein Angreifer, z.B. für Zwecke der Wirtschaftsspionage, menschliche Eigenschaften ausnutzt, um sich unrechtmässig Informationen anzueignen. Die entsprechend motivierten Attacken zielen auf Personen ab, die über Insider-Wissen verfügen oder Zugang zu sensitiven Datenbeständen haben. Um an persönliche und berufsbezogene Informationen zu diesen Menschen zu gelangen und das schwächste Glied in der Organisation zu identifizieren, nutzen Hacker bzw. Social Engineers eine Vielzahl von Techniken und Social Networking-Applikationen.



Häufig bieten soziale Netzwerke, Firmenwebseiten und andere allgemein zugängliche Informationsquellen dem Social Engineer umfangreiche Möglichkeiten, um sich auf sein Opfer gründlich und umfassend vorzubereiten. Zu diesen „Vorfeldermittlungen“ können auch Anrufe im Unternehmen gehören, die noch nicht die direkte Nachrichtenbeschaffung zum Ziel haben, sondern auf die Erlangung ergänzender Informationen gerichtet sind.

Professionell vorgehende Angreifer versuchen in der Regel nicht, mit einem Anruf sämtliche gewünschte Informationen zu erlangen – dies könnte das Opfer misstrauisch stimmen. Stattdessen geht der Social Engineer in einer Stufenstrategie vor. Der Anrufer wird im Gespräch nach vermeintlich nebensächlich und unwichtig erscheinenden Informationen fragen. Sämtliche Informationen werden später wie ein Puzzle zusammengefügt.

Einige Beispiele von Social Engineer-Attacken:

Appell an die Hilfsbereitschaft:
Der Angreifer ruft beim Help Desk an und entschuldigt sich dafür, dass er sein Passwort vergessen hat und dem Mitarbeiter jetzt soviel Mühe mache. Leider stehe man jedoch ziemlich unter Druck und müsse ganz schnell am Computer weiterarbeiten. Am besten sei es daher, wenn das Passwort einfach auf einen definierten Wert zurückgesetzt werde. Der Angreifer wird über das Unternehmen selbstverständlich bestens informiert sein. Er wird die Namen der Mitarbeiter des Help Desks bzw. deren Vorgesetzten kennen und sich so das nötige Vertrauen erschleichen. Möglicherweise gibt er sich aber auch als neuer Mitarbeiter aus, dem solche Fehler gerade in der Anfangsphase ausgesprochen unangenehm sind.

Berufung auf Autorität:

Der Angreifer gibt sich als IT-Mitarbeiter/Administrator aus und befragt den Anwender zu seinem Passwort oder anderen sensiblen Informationen. Reagiert der Angerufene zurückhaltend oder skeptisch wird sich der Social Engineer auf eine Zusage des Vorgesetzten berufen, der versprochen hat, dass der Mitarbeiter selbstverständlich kooperieren wird. Natürlich wird der Anrufer über Detailwissen verfügen. Möglicherweise weist er auf Bedienfehler, Netzwerkprobleme oder die Notwendigkeit einer Passwortänderung hin.

Konfliktvermeidung:

Der Angreifer stellt sich als Assistent der Geschäftsleitung vor, dem schnell eine dringende E-Mail mit wichtigen Daten übersandt werden muss, die der ungeduldige und jähzornige Chef für eine wichtige Besprechung benötigt. Bei Bedenken wird der Anrufer darauf verweisen, dass der zögerliche Mitarbeiter natürlich auch persönlich mit dem Chef sprechen könne – dieser sei je doch bereits jetzt ausgesprochen wütend über die Verzögerung.

Nicht selten stellen sich Social Engineers auch als Mitarbeiter eines Service-Unternehmens, als Repräsentant eines wichtigen Geschäftspartners, als relevanter Kunde, als Journalist oder als Mitarbeiter eines Umfrage-Institutes vor.

Social Engineering spielt sich jedoch keineswegs nur am Telefon ab. Auch bei scheinbar zufälligen belanglosen Gesprächen in Gaststätten, bei Veranstaltungen, beim Sport oder sonstigen Freizeitaktivtäten können vertrauliche Firmeninformationen preisgegeben werden. Je nach Relevanz der Informationen scheuen Social Engineers auch nicht davor zurück, langfristige Beziehungen aufzubauen.

Wecken Sie bei Ihren Mitarbeitern Verständnis für das Thema Social Engineering

sicherheitskultur, awareness, security, awareness, risk awarenessAlle Beschäftigten sollten in punkto Social Engineering so aufgeklärt werden, dass sie aus eigener Einsicht die Anforderungen einer unternehmensweiten Informationssicherheit beachten. Sie sollten in regelmässigen Schulungen oder einpräg- und unterhaltsamen Vorträgen für Sicherheitsmängel sensibilisiert und in funktionsfähige Abwehrtaktiken (z.B. Kommunikationswege bei Rückfragen) eingeweiht werden. Bewährt für die Mitarbeitersensibilisierung haben sich interaktive Lernmethoden wie Web-based-Trainings (E-Learning) oder Veranstaltungen in Form von unterhaltsamen Live-Hacking-Demonstrationen oder einfachem Illustrieren / Vorführen von Ausspionieren (Wettbewerbsspionage, Abhören, usw.)

Um sich vor Social Engineer-Angriffen wirkungsvoll schützen zu können, muss man zunächst seine Schwachstellen analysieren. Entscheidend ist es, die Mitarbeiter über die Möglichkeiten, Vorgehensweisen und Angriffsformen von Industriespionen aufzuklären. Der Mitarbeiter stellt nämlich nicht nur das grösste Sicherheitsrisiko im Unternehmen dar, er kann auch der beste Schutzschild gegen Angreifer sein – eine „Human Firewall“. Dafür ist es neben der Schulung und Sensibilisierung der Mitarbeiter aber auch notwendig, dass Betroffenen die Angst genommen wird, sie würden für ihr „Versagen“ zur Rechenschaft gezogen werden. Für die Offenbarung eines Fehlers darf kein Mitarbeiter abgestraft werden. Nur so kann die Taktik des Social Engineers wirkungsvoll durchkreuzt werden.

Zehn goldene Regeln, die Social Engineers das Leben schwer machen können:

1. Seien Sie zurückhaltend bei Auskünften.
2. Lassen Sie sich nicht unter Druck setzen.
3. Haben Sie den Mut, ein Gespräch zu beenden.
4. Überprüfen Sie die Identität des Anrufers (z.B. durch einen Rückruf).
5. Sichern Sie sich ab.
6. Achten Sie auf sensible Dokumente.
7. Sprechen Sie fremde Personen im Unternehmen an.
8. Sicherheit geht vor Höflichkeit.
9. Seien Sie schweigsam in der Öffentlichkeit und wählerisch bei Ihren Gesprächspartnern.
10. Die Offenbarung eines Fehlers darf nicht bestraft werden.

Ausbildungsangebot Social Engineering und Sicherheit

Der Wandel zur "gelebten" Sicherheitskultur beginnt im Kopf - Die "Mannschaft" insgesamt und nicht der "Einzelne" schützt Unternehmenswerte

SicherheitskulturDiese "RM-Art-Map" - Der Weg zur gelebten Sicherheitskultur kann Mitarbeitenden Ihren Beitrag zum Schutz der Unternehmenswerte vermitteln, indem diese die Gesamtzusammenhänge besser Verstehen lernen und erkennen können, welchen Beitrag sie dazu leisten können.

Der Wandel zum sicheren Umgang mit Geschäftsinformationen und vertraulichem Know-how beginnt jedoch immer im Kopf - also bei den Menschen. Deswegen ist die aktive und wiederholende Schulung und Awareness-Förderung ganz zentral. Die "RM-Ausbildungs- und Sensibilisierungs-Plattform" kann dabei hilfreiche Dienste bei der erfolgreichen Kommunikation bieten. In erster Linie ist der individuelle Sicherheitsdialog mit den Mitarbeitenden anzustreben. Als "Refresher" unterstützen jedoch E-Learning Plattformen (RM-Ausbildungs- und Sensibilisierungs-Plattform)  durchaus kostenkünstige Alternativen, um bei den Mitarbeitenden die Security & Risk Awareness hoch zu halten. Die Gestaltung und Pflege einer Sicherheitskultur ist ein ständiger Prozess. Wenn die vermittelten Verhaltenswerte praktisch geschult und verstanden sind, werden auch die gewünschten Verhaltensänderungen in den Köpfen eintreten. Es gilt das Motto wie bei Mannschaftssportarten: "Nicht der Einzelne sondern die gesamte Mannschaft (alle Mitarbeitenden) erreicht die gesteckten Ziele zusammen.

RM-AUSBILDUNGS- UND AWARENESS-PLATTFORM...

 

Begleitung / Coaching zur Optimierung einer gelebten Sicherheitskultur

e-learning, elearning, sicherheitskultur, security awarenessBegleitung & Coaching durch RM Risk Management AG - Sprechen Sie mit uns

Wenn Sie sich damit auseinandersetzen, wie Sie die Sicherheitskultur bei den Mitarbeitenden aber ebenso auch beim Management optimieren können, sollten Sie mit uns sprechen. Die Kommunikation von baulich-technischen, informationstechnologischen und organisatorische Sicherheitsstandards sind nicht jedermanns Sache. Es braucht hohe Sozialkompetenzen und besondere Kommunikations- und Motivationsfähigkeiten, damit Sie zum gewünschten Erfolg kommen.

  Schreiben Sie uns oder rufen Sie uns an!