Einer der wichtigsten Faktoren im Zusammenhang IT-Sicherheit in Unternehmen ist die ‚Komponente Mensch‘, also das Sicherheits-Bewusstsein der Mitarbeiter. Wie Sie bereits wissen, verschaffen Sie sich mit einem Penetrationstest (simulierter Hacker-Angriff) Überblick über das Sicherheitsniveau im eigenen Betrieb (Detailinformationen hierzu finden Sie hier). Um festzustellen, wie es um das oben erwähnte Sicherheitsverständnis bestellt ist, gibt es das Prüfmodul ‚Social Engineering‘.

Will ein Hacker Geschäftsgeheimnisse ausspähen, setzt er in der Regel am ’schwächsten Kettenglied‘ an. Und dieses ist – neben über das Internet zur Verfügung gestellten Diensten – leider oftmals das Personal.

 

Was genau ist Social Engineering?

Social Engineering bezeichnet die zwischenmenschliche Beeinflussung von Personen. Das bedeutet, es wird versucht, durch gekonnte Fragestellung eine Person in die Irre zu führen oder zu manipulieren. Dies kann durch eine persönliche Kontaktaufnahme zum potenziellen Opfer (Human based) oder auf elektronischem Wege (Computer based) per Mail, Messenger, Soziale Netzwerke, Telefonanrufe sowie manipulierte USB Sticks geschehen.

 

Wie sieht ‚Computer Based Social Engineering‘ in der Praxis aus?

Entweder beginnt unser Security Consultant bei Null und sammelt Kontaktdaten Ihrer Mitarbeiter oder Sie stellen ihm eine Liste mit relevanten Mail-Adressen zur Verfügung – dabei wird natürlich DSGVO-konform gearbeitet.

Mit diesen Informationen wird dann beispielsweise ein Spear Phishing-Angriff durchgeführt: Durch den Versand einer präparierten Mail an einen dedizierten Personenkreis versucht der Consultant, an Informationen zum Zugriff auf das Unternehmensnetzwerk zu gelangen.

Die jeweilige Vorgehensweise wird an die unternehmerischen Gegebenheiten angepasst. Ein Beispiel: Wird ein Web-basiertes Mail-System genutzt, simuliert unser Consultant dessen Anmeldeseite. Per Mail gibt er sich als Vertreter des zuständigen IT-Dienstleisters aus bittet Ihre Angestellten unter dem Vorwand, es hätte technische Änderungen gegeben, sich am besagten Mail-System anzumelden. Steigen die Mitarbeiter darauf ein, sind die Anmeldedaten abgegriffen.

Ein so simulierter Angriff wird lückenlos ausgewertet – die Anzahl der geöffneten Mails, der Link-Klicks und natürlich, wie häufig Anmeldedaten hinterlassen wurden. Daraus ergibt sich, wie umsichtig Ihre Mitarbeiter sind.

 

Möchten Sie das Sicherheitsbewusstsein Ihres Unternehmens auch einmal von uns unter die Lupe nehmen lassen? Gerne beraten wir Sie zum Thema Social Engineering unverbindlich unter 0800 4883 338 (kostenfrei innerdeutsch).

PS: In den kommenden Wochen stellen wir Ihnen das ebenso spannende Thema Human Based Social Engineering vor.