Social Engineering - Der Mensch als Firewall

Awareness-Schulungen gegen Social-Engineering

von - 08.10.2015
Eine Awareness-Schulung teilt sich je nach Größe der Organisation in drei Schulungsstufen. Die erste Stufe bilden die Mitarbeiter. Die zweite Stufe umfasst das Management und andere Informations- oder Geheimnisträger wie Chief Information Security Officer oder IT-Sicherheitsbeauftragter. Die dritte Stufe ist die IT-Operation – auch wenn diese ausgelagert ist. Die Awareness-Schulung unterscheidet sich für jede Stufe, damit sie die indi­viduellen Bedürfnisse in der Bekämpfung von Social-Engineering-Attacken optimal abdeckt. Als Grundlage dienen entweder eine Schwachstellenanalyse (SE-Audit) oder definierte Kernelemente im Kontext der Organisation, zum Beispiel
  • 
    Dominique C. Brack, Chief Information Security Officer und Leiter TCS Security Consulting des Schweizer IT-Dienstleisters SPIE ICS
    Der Autor Dominique C. Brack ist Chief Information Security Officer und Leiter TCS Security Consulting des Schweizer IT-Dienstleisters SPIE ICS.
    Öffentlicher beziehungsweise digitaler Abdruck der Organisation (Digital Footprint)
     
  • Elemente der physikalischen Sicherheit (Hochsicherheits- oder geheime Standorte)
     
  • Gefahr aus dem Inneren (Insider Threat), Personensicherheitsüberprüfungen, Strafregisterauszüge, Leumund, digitale Reputation, Überprüfen von Zeugnissen/Diplomen
     
  • Anfälligkeit für imitierte Telefonanrufe (Vishing), imitierte Repräsentation (Impersonation), gefälschte E-Mails (Phi­shing), E-Mail-Attachments (Malware), Geschenke wie CD oder Memory-Stick (Baiting)
     
  • Entsorgung digitaler und physikalischer Medien (Dumpster Diving)
     
  • Ist ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27002 vorhanden?
     
  • Öffentliche Profile von Key-Stakeholdern der Organisation (Spearfishing, Whaling)
Die Schulung richtet sich nach der Einstufung der Risiken, wobei der Fokus auf den größten Risiken liegt. Social Engineering nutzt hauptsächlich Zeitdruck, Hilfsbereitschaft oder Autorität aus.
Hilfreich ist erfahrungsgemäß die Institutionalisierung klarer Kommunikationsregeln und die Definition einer Eskala­tionsstelle – quasi ein digitaler Alarmknopf. Die Awareness-Schulung vermittelt den Mitarbeitern das richtige Verhalten und die zu kontaktierenden Stellen, falls ein Verdacht oder eine ungewohnte Situation eintritt.
Dasselbe gilt natürlich auch für das Management, das sensibilisiert werden muss und die Mitarbeiter ermuntern soll, sich bei einem Verdacht zu melden. Der Chief Information Security Officer (CISO) oder der IT-Sicherheitsbeauftragte muss die entsprechenden Richtlinien und Weisungen erstellen und Social Engineering als Risiko aufnehmen.
Seite
  1. Teil: Social Engineering - Der Mensch als Firewall
  2. Teil: Das SEEF-Framework gegen Social Hacking
  3. Teil: Social-Engineering-Angriffe im Training simulieren
  4. Teil: Awareness-Schulungen gegen Social-Engineering
Verwandte Themen

Mehr zum Thema