diamond_fulldiamonddiamond_halfdiamond_eurosearch-iconmenuchat-iconclose-iconenvelope-iconsmartphone-call-icon

Prüfung

Social Engineering Assessment

Innerhalb ganzheitlicher Unternehmenssicherheit kommt auch den Mitarbeitern eine tragende Rolle zu. Ohne ein sicherheitsbewusstes Handeln aller Mitarbeiter können bestehende Sicherheitsmaßnahmen oft ausgehebelt werden. Diesen Fakt machen sich immer häufiger Angreifer zu Nutze, um in Firmennetzwerke, aber auch in die Unternehmensgebäude selbst einzudringen. Die zu diesem Zweck auf Mitarbeiter gerichtete Angriffstechniken werden unter dem Begriff „Social Engineering“ zusammengefasst. Typische Beispiele hierfür sind das Einschleichen in ein Unternehmen oder das Erfragen vertraulicher Informationen mittels falscher Identität.

Die bestehende Mitarbeitersensibilisierung und Reaktionsfähigkeit eines Unternehmens hinsichtlich realer Angriffe, lässt sich durch ein Social Engineering Assessment bewerten. Dieses kann auf folgende zwei Schwerpunkte ausgerichtet werden:

placeholder for background/social-engineering.png

Ziel

Bewertung der Mitarbeitersensibilisierung und Reaktionsfähigkeit hinsichtlich Social Engineering Angriffe durch die Simulation zielgerichteter und möglichst realistischer Angriffsszenarien


Fragestellung

Wie effektiv sind vorhandene Schutz- und Sensibilisierungsmaßnahmen gegen Social Engineering Angriffe?


Scope

Personal bzw. Mitarbeiter und ggf. Unternehmensgebäude/-gelände

Social Engineering mit Schwerpunkt Zutrittsschutz

Aus Sicherheitsperspektive bilden Firmengebäude und Büroräume die erste physische Schutzschicht. Die teilweise sehr aufwändigen Sicherheitsmaßnahmen gegen unbefugtes Eindringen können mittels spezieller Angriffe geprüft werden, wobei menschliche Faktoren eine wesentliche Rolle spielen.

Ein entsprechendes Social Engineering Assessment umfasst folgende Bestandteile:

  • Schwachstellenanalyse durch Observation des Gebäudes (Zutrittsmöglichkeiten, Sicherheitsvorkehrungen, Personenfrequentierung, relevante Abläufe / Prozesse / Mängel)
  • Optional / projektspezifisch: Schaffung einer qualifizierten Legende (z.B. durch gefälschte Firmenausweise, Verkleidung, Terminvereinbarung unter falscher Identität)
  • Unbefugtes Eindringen in Gebäude, z.B. durch Vortäuschung falscher Identitäten, falscher Tatsachen oder Tailgating (Anhängen an autorisierte Mitarbeiter). Die Zielsetzung innerhalb des Gebäudes ist projektspezifisch zu definieren, z.B. Erreichen eines bestimmten Raumes, Entwendung bestimmter Unterlagen, Zugang zum Computernetzwerk, Platzierung einer “Netzwerkwanze”
  • Markierung betretener Räume als Nachweis (Optional: Dokumentation der Vorgänge mittels versteckter Videokamera)

Das angriffsbasierte Assessment kann durch eine dedizierte Reifegradanalyse ergänzt werden. Diese erfolgt fragebogenbasiert und durch Ortsbegehungen.

Dabei werden folgende Teilbereiche geprüft:

  • Zutrittsschutz
  • Zugangsschutz
  • Überwachung und Kontrolle
  • Alarmierung
  • Sonstige organisatorische Maßnahmen

Eine weitere Vertiefung des Assessments ist durch eine technische Prüfung des Gebäudemanagement­systems und des Zutrittskontrollsystems möglich. Ein solches Assessment umfasst folgende Bestandteile:

  • Betrachtung der Systemarchitektur des zentralen Gebäudemanagements bezüglich der Einbindung in das Computernetzwerk und Bewertung der daraus resultierenden Risiken
  • Penetrationstest des Gebäudemanagementsystems aus Perspektive des lokalen Netzwerks
  • Recherche bezüglich Manipulationsmöglichkeiten (bekannte Schwachstellen) des jeweils verwendeten Zutrittskontrollsystems (ggf. Angriffsversuche auf das System)

Die beschriebenen Assessmenttypen lassen sich beliebig miteinander kombinieren.

Social Engineering mit Schwerpunkt Informationsschutz

In der heutigen Geschäftswelt kommt den immateriellen Werten, in Form von Daten und Know-How, eine besondere Bedeutung zu. Diese Werte unterliegen speziellen Risiken, bei denen der Mensch eine tragende Rolle spielt. Informationsabflüsse aufgrund von unvorsichtigem Verhalten oder dem fahrlässigen Umgang mit IT-Systemen können zu großen Schäden führen.

Im Sinne eines ganzheitlichen Sicherheitskonzepts sind daher auch menschliche Faktoren in eine Prüfung einzubeziehen. Ein entsprechendes Social Engineering Assessment kann verschiedene Ausprägungen umfassen:

  • Erfragen vertraulicher Informationen via Telefon oder E-Mail
  • Einschleusen von Trojanischen Pferden (ohne Schadfunktionen) mittels individuell gestalteter E-Mails und Dateianhängen mit dem Ziel, einzelne Client-Systeme exemplarisch zu infizieren (Spear Phishing)
  • Positionierung manipulierter Datenträger im Unternehmen mit dem Ziel, Zugriffe auf den Datenträger nachzuweisen (Road Apple)

Die beschriebenen Aktivitäten im Bereich des Informationsschutzes lassen sich mit einem Assessment im Bereich Zutrittsschutz kombinieren.

Wie dürfen wir Ihnen helfen?

Rufen Sie uns an oder finden Sie Ihren Ansprechpartner

Kostenfreies Erstgespräch