Social Engineering - Der Mensch als Firewall
Social-Engineering-Angriffe im Training simulieren
von Dominique C. Brack - 08.10.2015
Zu Trainingszwecken lassen sich Angriffe im Unternehmen simulieren. Da die Simulation möglichst realistisch sein soll, wird die Durchführung mit zunehmendem Schweregrad aber immer problematischer, auch wenn es sich nur um eine Übung handelt. Die Stufen 1 bis 3 stellen kaum ein Risiko dar und sind problemlos durchführbar, die Stufen 4 bis 6 bergen bereits ein erhöhtes Risiko und benötigen ein Risikomanagement. Die Stufen 7 bis 9 bezeichnen ein hohes Risiko und sollten aus ethischen Gründen (etwa Einsatz von Bestechung) gemieden werden.
Hohes Risiko: 19 Prozent der Sicherheitsvorfälle in Unternehmen gehen auf Social Engineering zurück.
Ein Beispiel: Der Auftrag lautet, die Sicherheit des physikalischen Zutritts zum Datacenter, Board Room oder zu anderen sensiblen Bereichen zu überprüfen. Dazu gibt es verschiedene Möglichkeiten, mit denen das vorgegebene Ziel erreicht werden kann:
- Möglichkeit 1: Risikobeurteilung rein auf das Papier und die Pläne bezogen (innerhalb Stufe 1 bis 3, grün).
- Möglichkeit 2: Vor-Ort-Einschätzung durch Gespräche, Interviews und Observationen (innerhalb Stufe 1 bis 3, grün).
- Möglichkeit 3: Aktive Versuche, sich Zutritt zu verschaffen (nicht destruktiv). Tailgating – einschleichen mittels eines Mitarbeiters (innerhalb Stufe 4 bis 6, orange).
- Möglichkeit 4: Aktive Versuche, sich Zutritt zu verschaffen (auch destruktiv). Manipulation von Schlössern, generischen Schlüsseln, Fenstereintritt (innerhalb Stufe 4 bis 6, orange).
Die kombinierten Elemente zeigen, wie Social Engineering professionell, international und auf höchster Stufe ausgeführt wird. Das Verständnis darüber, wie fortgeschritten Social Engineering ist, hilft den Sicherheitsverantwortlichen dabei, entsprechende Maßnahmen zu planen und umzusetzen.
