Social Engineering - Der Mensch als Firewall

Social-Engineering-Angriffe im Training simulieren

Zu Trainingszwecken lassen sich Angriffe im Unternehmen simulieren. Da die Simulation möglichst realistisch sein soll, wird die Durchführung mit zunehmendem Schweregrad aber immer problematischer, auch wenn es sich nur um eine Übung handelt. Die Stufen 1 bis 3 stellen kaum ein Risiko dar und sind problemlos durchführbar, die Stufen 4 bis 6 bergen bereits ein erhöhtes Risiko und benötigen ein Risikomanagement. Die Stufen 7 bis 9 bezeichnen ein hohes Risiko und sollten aus ethischen Gründen (etwa Einsatz von Bestechung) gemieden werden.
Hohes Risiko: 19 Prozent der Sicherheitsvorfälle in Unternehmen gehen auf Social Engineering zurück.
Die Stufen 10 bis 12 kommen schon aus gesetzlichen Gründen (Industriespionage oder Urkundenfälschung) nicht infrage. Es ist empfehlenswert, sich nur in Ausnahmefällen mit Vorhaben ab Stufe 7 zu befassen. Bei der Planung und Ausführung von Social-Engineering-Assessments wird zusammen mit dem Auftraggeber besprochen, welche Intensität gewählt werden soll.
Ein Beispiel: Der Auftrag lautet, die Sicherheit des physikalischen Zutritts zum Datacenter, Board Room oder zu anderen sensiblen Bereichen zu überprüfen. Dazu gibt es verschiedene Möglichkeiten, mit denen das vorgegebene Ziel erreicht werden kann:
  • Möglichkeit 1: Risikobeurteilung rein auf das Papier und die Pläne bezogen (innerhalb Stufe 1 bis 3, grün).
     
  • Möglichkeit 2: Vor-Ort-Einschätzung durch Gespräche, Interviews und Observationen (innerhalb Stufe 1 bis 3, grün).
     
  • Möglichkeit 3: Aktive Versuche, sich Zutritt zu verschaffen (nicht destruktiv). Tailgating – einschleichen mittels eines Mitarbeiters (innerhalb Stufe 4 bis 6, orange).
     
  • Möglichkeit 4: Aktive Versuche, sich Zutritt zu verschaffen (auch destruktiv). Manipulation von Schlössern, generischen Schlüsseln, Fenstereintritt (innerhalb Stufe 4 bis 6, orange).
Die kombinierten Elemente zeigen, wie Social Engineering professionell, international und auf höchster Stufe ausgeführt wird. Das Verständnis darüber, wie fortgeschritten Social Engineering ist, hilft den Sicherheitsverantwortlichen dabei, entsprechende Massnahmen zu planen und umzusetzen.




Das könnte Sie auch interessieren