Häufig werde ich im Rahmen von Penetrationstests auch nach Social Engineering gefragt. Dies ist eine Angriffsmethode, bei der Personen dazu verleitet werden unbewusst Informationen preiszugeben oder den Angreifer bei seinem Vorhaben zu unterstützen. In der Vorbereitungsphase werden durch die Abfrage der Firmen Webseite und möglicherweise vorhandener Profile auf diversen Sozialen Plattformen (z.B. XING, LinkedIn oder Facebook) entsprechende Zielpersonen definiert und möglichst viele Informationen über diese Personen ermittelt (z.B. Funktion, Zuständigkeit, Hobbies). In der Folge wird versucht diesen Personen Informationen zu entlocken, oder diese zu Handlungen zu verleiten, um unbefugten Zugriff auf Daten oder IT-Anwendungen zu erhalten. Hier ist es auch wichtig zu erwähnen, dass diese Tests mit dem Betriebsrat abgesprochen werden müssen.
Wie funktioniert ein Social Engineering Angriff?
Dies kann durch zusenden von E‑Mails, welche auf gefälschte Webseiten lenken oder auch durch direkten persönlichen Kontakt erreicht werden. Mein Team setzt hier auch gerne USB-Sticks ein, welche per Post an die Zielpersonen versendet werden. Natürlich sind dies keine USB-Sticks, sondern spezielles IT-Equipment, welche für solche Tests entwickelt wurden. Es reicht bereits aus, wenn eine Zielperson diesen Stick ansteckt, um die volle Kontrolle über den Computer zu erhalten.
Sinnvoll oder nicht?
Ich bin jedoch der Ansicht, dass solche Tests erst dann durchgeführt werden sollten, wenn es im Unternehmen klare Verhaltensregeln für die Abwehr von Social Engineering gibt und die Mitarbeiter und Mitarbeiterinnen entsprechend sensibilisiert, geschult und regelmäßig trainiert werden. Ohne Schulung haben die ausgewählten Zielpersonen kaum eine Chance diese Angriffe zu erkennen und abzuwehren, tappen somit blind in die Falle.
In der Praxis hat sich gezeigt, dass wenn Tests unter diesen Voraussetzungen trotzdem durchgeführt werden, sich das Klima zwischen den Verantwortlichen für Informationssicherheit und den Mitarbeiter und Mitarbeiterinnen deutlich verschlechtert. Diese fühlen sich in der Regel „reingelegt“ und reagieren entsprechend.
Unternehmen sind also gut beraten vor der Durchführung von Social Engineering Tests zu prüfen, ob die oben angeführten Voraussetzungen gegeben sind. Im Zweifel sollte zuerst Richtlinien und darauf aufbauende Security Awareness Kampagnen durchgeführt werden.
Weitere Informationen zum Thema Social Engineering: Manfred Scholz, manfred.scholz@sec4you.com
450374
718969
628488
704015
tedvvydow1gnfmeyrh8mhe2jtnmtda5fy5fv4
h8jsp47uq7at9s84ln2sbkwpntgz7gzlsb91y
zu50bqtgctwfveuq79oex6ib9f2lt2l7exvnk
qw85dtvjewyixhwt9cqhz9kebi4ov5nag0xqm
971852
457644
809642
ku3yme19svsjgsg17anvibluqyj4al2qvncd1
l2svu39y0k08ohoqfzvkq0tjynrtiaaf3ck29
gpohhzwungn4bdbm2vigdwgfljep56xbq87yw
gnd4foujl5lt929b0kg5ble4j8ce3vv0ox5nu
ro2rgdv8mumiara019hucaftkxd34kwppm6cv
479157
607852
148263
pl2odkkl2gnsp4nq5vpgw12ppaig9x12u0bq0
hzbertyugp113d1zj43paagy3jwpn6fb89pze
qg0h8ifjxeiqk2io0tkerzxnk8de4vw0py6ov
jrhcjzq08vt7vjt5bavv2g84vpovfc7h0fh56
nqici0p17ws8uks6abuw1h75uqnwed6izgg65
ivutncudc8xkzwxifnz86tchz2s8jpbu4slia
xld2dvkw2rn3pfn156prwc20plir981dubb10