Social Engineering
Schützen Sie Ihr Unternehmen vor Informationsabfluss

Social Engineering – testen Sie die "Schwachstelle Mensch"
Download [PDF]

«Guten Tag, Herr Müller, hier ist Frau Meier von der IT. Wir haben gerade ein grosses Systemproblem und brauchen unbedingt Ihre Hilfe. Wie lautet Ihr Passwort?»

Ein plumper, aber umso erfolgreicherer Trick, wenn es darum geht, an vertrauliche Informationen zu gelangen. Mitarbeitende und IT sind gleichermassen gefordert, wenn es um den korrekten Umgang von vertraulichen Geschäftsinformationen geht. Die Schwelle und Hürde an vertrauliche Informationen zu gelangen ist oft ein Leichtes – auch für «fremde» Personen.

Die Praxis zeigt, dass Mitarbeitende insbesondere im Umfeld von Know-how-Trägern wie Assistenten, Sekretärinnen, usw. oft nicht wissen, was für Informationen sie in den Händen halten und was für einen beträchtlichen Unternehmensschaden sie bei falschem Verhalten anrichten können.

Was ist Social Engineering?

Unter Social Engineering verstehen wir das Planen und Durchführen von Angriffen auf Informationen und Systeme unter Ausnutzung der «Schwachstelle Mensch».

Viele Unternehmen führen technische Audits im Bereich IT- und physische Sicherheit durch und installieren Alarmsysteme, um ihre materiellen und immateriellen Unternehmenswerte wie vertrauliche Informationen (Rezepturen, Forschungsergebnisse, Marktanalysen, Entwicklungsstrategien, Risikoanalysen) zu schützen. Dabei wird die «Schwachstelle Mensch» oft vernachlässigt. Wirtschaftsspione kennen alle Tricks, wie sie an vertrauliche und strategisch wichtige Informationen gelangen.

«Entschuldigen Sie, ich habe den Badge vergessen»
Eine typische Situation:
Ein Social Engineer nutzt die Gruppenschleuse. Er hängt sich an einen ahnungslosen hilfsbereiten Mitarbeitenden (Piggy Backing).

Das Social Engineering-Audit

Bei einem Social Engineering-Audit deckt Swiss Infosec AG die für Ihren Geschäftsbetrieb relevanten Schwachstellen und Risiken auf, dokumentiert und analysiert diese in Zusammenarbeit mit Ihren Audit-Verantwortlichen.

Jede Analyse ist wertlos, wenn nicht wirkungsvolle Massnahmen zu Verminderung, Eliminierung, Transferierung oder zur aktiven Übernahme des Risikos erarbeitet werden.
Die Spezialisten von Swiss Infosec AG zeichnen sich aus durch ihre langjährige Erfahrung im Bereich der Integralen Sicherheit, einer wichtigen Kompetenz der Swiss Infosec AG. Die Integrale Sicherheit
umfasst alle Aspekte der organisatorisch-konzeptionellen, rechtlichen, physischen, psychologischen und technischen Sicherheit.

So ist garantiert, dass ein praxisnaher Massnahmenkatalog erstellt werden kann. Damit können Sie beispielsweise

  • Mögliche Betriebsunterbrüche verhindern
  • Ihr Image und Vertrauen stärken
  • Ihre Konkurrenzfähigkeit und Wettbewerbsvorteile ausbauen
Eine typische Situation:
Der Wirtschaftsspion wartet an einem «stillen Örtchen», bis die Belegschaft in ihren wohl verdienten Feierabend geht.

Das Management und alle mitverantwortlichen Personen sind gefordert, die an sie gestellten Anforderungen und Jahresziele zu erfüllen. Auch wenn es darum geht, allen Mitarbeitenden die Gefahren und Risiken von Geschäftsdaten aufzuzeigen und die Angst vor dem «Richtigen Umgang» zu nehmen, ist ein Social Engineering-Audit ein wichtiger Schritt in die richtige Richtung. Denn die Erfahrung zeigt, dass niemand sich für ein Thema nachhaltig interessiert, welches ihm fremd und unvorstellbar scheint.

Die Gefahr steckt auch in der menschlichen Natur «Bequem und Träge» und deren Haltung gegenüber Neuem und Ungewohntem!

«Habe meinen Koffer liegen gelassen und den Schlüssel im Auto.»

Eine typische Situation:
Der Wirtschaftsspion gibt sich als «Chef» aus und gelangt so einfach in die für ihn fremde Räumlichkeit.

Ziele eines Social Engineers

Ein Social Engineer, ein so genannter Wirtschaftsspion, hat immer zum Ziel, unbemerkt und unerkannt an vertrauliche Informationen zu gelangen und sich damit zu bereichern. Das Geschäft und der Handel mit vertraulichen Informationen wird ein immer ernstzunehmenderes «Geschäft», dieses gilt es zu unterbinden. Vertraulich klassifizierte Informationen sind markt- und strategisch wichtige Geschäftsdaten, diese können sein:

  • Informationen über Fusionen, Zusammenschlüsse
  • Kaufverträge, Partnerverträge
  • Informationen über Lieferanten und Preise
  • Produktinformationen
  • GL-Protokolle
  • Auflistung nicht abschliessend
 

Folgende Abteilungen sind für einen Wirtschaftsspion interessant:

  • Unternehmensentwicklung
  • Forschung und Entwicklung
  • Konstruktion
  • Auflistung nicht abschliessend

Ziele einer Überprüfung

In einem Social Engineering-Audit werden nicht einzelne Mitarbeitende überprüft, sondern es wird die Einhaltung der firmeninternen Regeln und deren Umsetzung geprüft und getestet. Keine persönliche Überprüfung, sondern die Prüfung des Firmensystems, auf Wunsch auch ausschliesslich anonymisiert
ausgewertet!

Die Swiss Infosec AG denkt und handelt in einem Social Engineering-Auftrag nach den Methoden und Vorgehensweise eines typischen Social Engineers. Alle Überprüfungsschritte werden vorgängig
in Zusammenarbeit mit dem Auftraggeber erarbeitet und durch die Verantwortlichen genehmigt.

Eine typische Situation:
Mit dem richtigen Benutzernamen und Passwort kann auch von extern auf Server und Arbeitsstationen zugegriffen werden. Ein Kinderspiel für einen Profi.



Eine Auswahl möglicher Überprüfungsbeispiele

Zahlreiche Inhalte aus den Bereichen der physischen, rechtlichen, technischen und psychologischen Sicherheit, welche meist als Verhaltensregeln in einer Unternehmung kommuniziert sind, können bei den Mitarbeitenden mit den verschiedensten Mitteln aktiv oder passiv auf ihre Einhaltung überprüft werden. Nachfolgend ein paar Beispiele:

  • Umgang mit Passwörtern
  • Umgang mit Viren
  • Umgang mit E-Mails
  • Datenschutz
  • Informationsschutz
  • Zugriffsschutz
  • Brandschutz
  • Evakuation
  • Unfall
  • Bedrohungen
  • Zutrittsschutz

Vorteile eines Audits

Wo sind die Risiken in Ihrem Unternehmen?
Der Social Engineer nützt die Schnittstellen zwischen einzelnen Abteilungen aus. Missverständnisse oder fehlende Abstimmung zwischen den Bereichen Organisation, Sicherheit und physische IT Sicherheit stehen oft im Zentrum. Hier verschafft sich der Wirtschaftsspion bereits in der Vorbereitungsphase wichtige Fakten und kann diese für den Social Engineering-Angriff nützen.
Eine aktive und verbesserte Kommunikation zwischen den Abteilungs-Verantwortlichen ist eine wichtige Stütze für eine umfassend wirkende Integrale Sicherheit in Ihrem Unternehmen.

Mit einem Social Engineering-Audit
  • können Sie Ihr Unternehmen realitätsnah auf die Sensibilität, die Kenntnisse und das Verhalten Ihrer Mitarbeitenden in den verschiedenen Sicherheitsbereichen überprüfen
  • erhalten Ihre Verantwortlichen eine Rückmeldung auf die vorgängig durchgeführten Awareness-Kampagnen wie Schulungen, Plakatkampagnen, Rundschreiben usw.
  • erhalten Sie Grundlagen und Steuerungswissen für die Weiterentwicklung der Sicherheitsschulungen
  • werden die Beteiligten zugleich selber sensibilisiert, respektive bei einer Ankündigung eines Social Engineerings innerhalb eines bestimmten Zeitraums sind die Mitarbeitenden zusätzlich motiviert, erforderliche Verhaltensweisen einzuhalten
  • können Sie und Ihr Unternehmen wirkungsvoll Ihr schwächstes Glied in der Sicherheitskette überprüfen und damit Risiken wie Gefährdung des Lebens, Imageverlust, materielle und finanzielle Verluste minimieren

Referenzen
Wir durften bereits für eine Reihe namhafter mittlerer und grosser Unternehmungen Social Engineering-Audits im In- und Ausland durchführen. Cornel Furrer und Andre Jacomet stehen Ihnen für ein unverbindliches Gespräch und weitere Auskünfte gerne zur Verfügung. Telefon +41 (0)41 984 12 12.