Audit Informationsschutz
In der heutigen Geschäftswelt kommt den immateriellen Werten, in Form von Daten und Know-how, eine besondere Bedeutung zu. Diese Werte unterliegen speziellen Risiken, bei denen der Mensch eine tragende Rolle spielt. Informationsabflüsse aufgrund von unsensiblem oder kriminellem Verhalten oder der fahrlässige Umgang mit IT-Systemen können zu großen Schäden führen.
Im Sinne eines ganzheitlichen Sicherheitskonzepts sind daher auch menschliche Faktoren in eine Prüfung einzubeziehen.
Übersicht
Audit Informationsschutz
- Prüfung personeller Sicherheitsaspekte
- Angriffe u.a. via Social Engineering
- Simulation komplexerer Angriffsszenarien (z.B. mittels Trojanischer Pferde oder Honey Tokens)
Ein entsprechendes Audit kann verschiedene Ausprägungen umfassen:
- Erfragen vertraulicher Informationen via Telefon oder E-Mail
- Einschleusung von Trojanischen Pferden (ohne Schadfunktionen) mittels
individuell gestalteter E-Mails und Dateianhängen, mit dem Ziel,
einzelne Client-Systeme exemplarisch zu infizieren (Spear Phishing) - Positionierung manipulierter Datenträger im Unternehmen, mit dem Ziel, Zugriffe auf den Datenträger nachzuweisen (Road Apple)
- Gestaltung fiktiver Mitarbeiterprofile im Internet, mit dem Ziel, Social Enigeering Angriffe auf sich zu ziehen
- Gestaltung und Positionierung manipulierter Dateien im Firmennetzwerk,
mit dem Ziel, unautorisierte Zugriffe aufzudecken (Honey Tokens, z.B. in
Form von MS Office Dokumenten) - Implementierung präparierter IT-Systeme im Firmennetzwerk, mit dem Ziel,
Angriffsversuche aufzudecken (Honey Pots, z.B. in Form fingierter
Wissensdatenbanken) - Abfotografieren von Bildschirminhalten, Beamer-Projektionen etc.
