Social Engineering*

Von Social Engineering spricht man immer dann, wenn ein Angreifer, z.B. für Zwecke der Industriespionage, menschliche Eigenschaften ausnutzt, um an Informationen zu kommen. Social Engineering Angriffe sind leider eine extrem effiziente Methode zur Informationsbeschaffung und zwar ohne Einsatz von technischen Hilfsmitteln. Angreifer nutzen dafür natürliche menschliche Reaktionen aus, positive Eigenschaften wie Hilfsbereitschaft, Kundenfreundlichkeit.

Oft sind solche Angriffe eine Vorbereitung für einen Einbruch in das Firmennetz, z.B. indem auf diese Weise Benutzername und Passwort eines Mitarbeiters erschlichen werden oder indem das Imitieren eines Technikers für ein Eindringen auf das Werksgelände genutzt wird. Traditionelle Schutzkonzepte gehen davon aus, dass es ausreichend ist, wenn das Unternehmen klare und stringente Sicherheitsregeln aufstellt und diese den Mitarbeitern vermittelt.

Die eigentliche Herausforderung beim Verhindern von Social Engineering liegt darin, dass viele der menschlichen Eigenschaften, die der Angreifer ausnutzt, auch für das Unternehmen sehr erwünscht sind. So ist die Hilfsbereitschaft eine Voraussetzung für Kundenfreundlichkeit, Vertrauen in andere Menschen zu setzen ist eine Voraussetzung für das Arbeiten in einer Gruppe und im Team.

Ein Social Engineering Assessment erfolgt in 3 Stufen

  • Legaler und illegaler Zutritt zum Unternehmen mit Analyse der Wirksamkeit der physischen Infrastruktur und des Wachdienstes.
  • Angriff auf die Mitarbeiter mit Social Engineering Techniken, um vertrauliche Informationen (z.B. Username und Passwort) zu erlangen.
  • Dokumentation des Zugriffes auf geschäftskritische Systeme und des Diebstahles von Hardware und vertraulichen Informationen (z.B. Dokumente, CDs, etc.)

Wir versuchen, auf Grund mangelnden Sicherheitsbewusstseins der Mitarbeiter, Administratoren bzw. des Wach- & Putzdienstes Zugriff auf vertrauliche Daten zu erlangen bzw. diese zu manipulieren oder eine mögliche Sabotage von Betriebseinrichtungen zu dokumentieren.

Ein Social Engineering Assessment liefert als Ergebnis

  • Eine Beschreibung des “Status Quo” der Unternehmenssicherheit und des Sensibilisierungsgrades der Mitarbeiter / des Managements.
  • Die Dokumentation möglicher kritischer Schwachstellen (durch Videos und Fotos) und Ansätze zu deren Beseitigung.
  • Eine exzellente Grundlage für die Sensibilisierung des Managements und der Mitarbeiter, da (im Falle eines erfolgreichen Angriffes) die persönliche Betroffenheit deutlich erhöht wird.
  • Die Basis zur Wirksamkeitsmessung nachgelagerter Awareness Maßnahmen.

Die Besonderheit der Social Engineering-Maßnahmen ist, dass viele Mitarbeiter anfällig gegenüber gut vorbereiteten Angriffen sind. Während technische Sicherheitsanalysen von der Belegschaft im Allgemeinen nicht bemerkt werden, lassen sich Social Engineering-Maßnahmen neben der primären Aufgabe des Aufdeckens von Schwachstellen auch als Awareness-Maßnahme nutzen. Aufgrund der hohen sozialen Komponente dieser Analysen schützt base-camp dabei die Identitäten der Mitarbeiter, bei denen die Angriffe erfolgreich durchgeführt werden konnten.

Top