CBT Informationssicherheit
Kontakt
Hotline +49 89 457691812

Social Engineering Assessments

IS-FOX-Security-Awareness-Tools1000x400

Social Engineering Assessments
Realistisch simulierte Industriespionage-Angriffe

Industriespionage & Wirtschaftskriminalität (bis hin zum möglichen Bankrott des Unternehmens) laufen immer auf der "sozialen / menschlichen Ebene" (=Social Engineering) ab.

Das Eindringen in ein Unternehmen durch List und Manipulation bezeichnet man als Social Engineering. Der Angreifer hat das Ziel, sich das Vertrauen der Mitarbeiter zu erschleichen und dann zu missbrauchen, um so schrittweise über mehrere Phasen an Geheimnisse und Internas zu gelangen bzw. die Opfer zu manipulieren.

Grundsätzlich unterteilt sich Social Engineering in zwei Bereiche:se-assassment
  • Das Computer Based Social Engineering findet vorwiegend über Internet und E-Mail statt, z.B. ahnungslose Mitarbeiter mit professionell gestalteten und dennoch gefälschten E-Mails zur Eingabe Ihres Usernamens und Ihres Passwortes zu bewegen.
  • Beim Human Based Social Engineering holt sich der Angreifer Informationen auf direktem Wege. Dies beginnt beim Durchwühlen der Mülltonnen (sogenanntes "Dumpster Diving"), dem Durchforsten der Besprechungsräume nach beschriebenen Flipcharts und endet damit, Mitarbeitern durch List und Geschick vertrauliche Informationen zu entlocken... z.B. gibt sich der Social Engineer am Telefon als Mitarbeiter des Benutzerservice aus, der unbedingt Hilfe bei der Behebung eines technischen Problems benötigt. Während der gemeinsamen Fehlerbeseitigung bombardiert er sein "Opfer" mit hochtechnischem Fachchinesisch und erfragt quasi beiläufig im Gespräch den Usernamen, später das Passwort. Damit kann er alle Informationen einsehen, auf die der betroffene Mitarbeiter im Unternehmen Zugriff hat... und das ohne irgendwie aufzufallen.
Im Rahmen eines Social Engineering Assessment führen wir einen sehr realistisch simulierten Industriespionage-Angriff auf ausgewählte und abgestimmte Unternehmensbereiche des Auftraggebers durch.

Wir versuchen, auf Grund mangelnden Sicherheitsbewusstseins der Mitarbeiter, Administratoren bzw. des Wach- & Putzdienstes Zugriff auf vertrauliche Daten zu erlangen bzw. diese zu manipulieren oder eine mögliche Sabotage von Betriebseinrichtungen zu dokumentieren.

Ein Social Engineering Assessment erfolgt in der Regel in 3 Stufen:
  • Legaler und illegaler Zutritt zum Unternehmen mit Analyse der Wirksamkeit der physischen Infrastruktur und des Wachdienstes.
  • Angriff auf die Mitarbeiter mit Social Engineering Techniken, um vertrauliche Informationen (z.B. Username und Passwort) zu erlangen.
  • Dokumentation des Zugriffes auf geschäftskritische Systeme und des Diebstahles von Hardware und vertraulichen Informationen (z.B. Dokumente, CDs, etc.)
Typische Ziele eines Angriffes sind z.B. Zugriff auf Personaldaten, Buchhaltungsdaten, Businesspläne, Strategien, Vorstandsdaten, Entwicklungsdaten. Der Angriff erfolgt hoch professionell in enger Abstimmung mit dem Kunden. Sie behalten als Auftraggeber während des gesamten Assessments volle Kontrolle. Sie bestimmen, welche Vorabinformationen wir über Ihr Unternehmen erhalten und wie intensiv die Aktionen jeder einzelnen Stufe durchgeführt werden. Alle Schritte des Industriespionage-Angriffs werden fortwährend dokumentiert.

Ein Social Engineering Assessment liefert als Ergebnis:
  • Eine Beschreibung des "Status Quo" der Unternehmenssicherheit und des Sensibilisierungsgrades der Mitarbeiter / des Managements.
  • Die Dokumentation möglicher kritischer Schwachstellen (durch Videos und Fotos) und Ansätze zu deren Beseitigung.
  • Eine exzellente Grundlage für die Sensibilisierung des Managements und der Mitarbeiter, da (im Falle eines erfolgreichen Angriffes) die persönliche Betroffenheit deutlich erhöht wird.
  • Die Basis zur Wirksamkeitsmessung nachgelagerter Awareness Maßnahmen.
Die Ergebnisse des Social Engineering Assessment werden dem Auftraggeber in einer ausführlichen Management-Präsentation vorgestellt.

Für weitere Informationen zu Social Engineering Assessments nehmen Sie bitte Kontakt zu uns auf!

VIDEO: Beute eines typischen Security Assessments
Der Clip zeigt die „typische Beute“ eines beauftragten Security Assessments und verdeutlicht somit die Verletzlichkeit des Unternehmens
se-assassments

Botschaft:
  • Meist sind simulierte Angriffe (Assessments) von großem Erfolg gekrönt.
  • Helfen Sie mit, diese Angriffe zu vereiteln.
Für ausführliche Informationen sowie persönliche Beratung nehmen Sie bitte Kontakt mit uns auf.
Tel. +49 (0)89 4576918-12