Unter Security Awareness wird die Sensibilisierung der Mitarbeiter/-innen gegenüber dem Thema Informationssicherheit verstanden. Jedes IT-System kann nur so sicher sein wie die Menschen, die damit interagieren. Deshalb ist es von höchster Wichtigkeit, die Security Awareness der eigenen Angestellten zu kennen und gegebenenfalls zu verbessern. Hierzu bieten wir Ihnen auch gerne eine maßgefertigte Schulung an, um Ihre Mitarbeiter/-innen in den für Sie relevanten Bereichen zu fördern.
Ein wichtiger Bestandteil von Security Awareness ist das Erkennen von Social Engineering. Dabei handelt es sich um den gezielten Angriff auf den Menschen. Es wird also im Unterschied zu einem „klassischen“ Angriff, nicht die Infrastruktur in einem Unternehmen angegriffen, sondern gezielte Manupulation am Personal eines Unternehmens durchgeführt. Die häufigsten Begrifflichkeiten in diesem Zusammenhang sind Phishing, Baiting, Spear Phishing, Scareware, oder der CEO-Trick.
Wir klären auf, was hinter diesen unterschiedlichen Begriffen steckt und unterstützen darin sich gegen die verschiedensten Methoden zu schützen. Am wichtigsten ist es vor allem die Methoden zu erkennen und auch festzustellen, dass man als Mitarbeiter/-in in einem Unternehmen, aber auch privat, von diesen Angriffen überrascht werden kann. Meistens wird der private Kontakt als Einstieg genutzt, um langfristig Zugang in das Unternehmen zu erlangen. Wir kümmern uns als Ihr langfristiger Partner um die Sicherheit in Ihrem Unternehmen.
Zum Testen Ihres Personals können wir auch eigene Angriffe im Bereich des Social Engineerings simulieren. Das gezielte, geplante Phishing – als formulierter Auftrag – bietet Ihnen einen Einblick in die Sensibilisierung Ihrer Mitarbeiter/-innen und erzeugt ein klares Bild, ob und wie Ihr Personal geschult werden muss.
Haben Sie schon einmal eine E-Mail von Ihrer Hausbank bekommen, welches zwar täuschend echt aussah, aber die Eingabe Ihrer Kontodaten erforderte? Dabei handelte es sich sehr wahrscheinlich um Phishing. Beim Phishing wird Ihnen in Form von E-Mail-Verkehr eine Tatsache präsentiert, die nicht der Wahrheit entspricht, um auf diesem Weg an relevante, personenbezogene Daten zu kommen.
Während beim herkömmlichen Phishing oft E-Mails an mehrere Empfänger verschickt werden, wird das Opfer beim Spear Phishing gezielt ausgewählt, um über personenbezogene Recherche eine E-Mail oder einen Zugang zu schaffen, der vertrauenswürdig wirkt. Der Hacker gibt sich hier als Freund oder Geschäftspartner aus, oder versucht als Kunde Kontakt zum Unternehmen aufzubauen. Dabei werden auch bekannte Namen (vielleicht aus der öffentlich einsehbaren Freundesliste) in E-Mails genutzt um so eine Basis zu schaffen, auf der man mit Vertrauen dem Gegenüber die eigenen Informationen übermittelt. Das können Passwörter sein, aber auch Bankdaten oder andere persönliche Informationen, die man eigentlich lieber für sich behalten würde.
Sie kommen morgens zu Ihrem Arbeitsplatz und finden einen USB-Stick vor dem Eingang. Womöglich hat ein Mitarbeiter diesen fallen gelassen? Um festzustellen, um welchen Mitarbeiter es sich handelt, schließen Sie den USB-Stick an Ihrem Arbeitsrechner an und haben damit dem Angreifer Zugriff auf Ihre Daten gewährt. Sobald der Stick am Computer angeschlossen wird kompromittiert der physische Datenträger mit der darauf befindlichen Software ausgewählte Geräte, die damit in Verbindung sind: Keine gute Wahl! Beim Baiting werden physische Produkte dazu benutzt, sich technischen Zugriff zu einem Angriffsziel zu ermöglichen. Wir unterstützen Sie darin Baiting zu erkennen und zu verhindern.
Frei nach dem Motto „Wenn der Chef etwas verlangt, dann wird das auch gemacht“ wird beim CEO-Trick per E-Mail das Gefühl vermittelt, der eigene Geschäftsführer schreibt eine E-Mail. Diese E-Mail ist nicht nur im Wortlaut täuschend echt, sondern auch in der E-Mail-Adresse ident. Das kann beispielsweise so aussehen, dass der vermeintliche Geschäftsführer (Hacker) in einem großen Konzern wissen lässt, dass er gerade in einer Besprechung sei und es daher ganz wichtig ist, Geschenkgutscheine für einen Kunden zu besorgen. Aufgrund dessen, dass man die Bitte des Geschäftsführers nicht ausschlagen möchte, wird oft mit dem gewissen Druck die Aufgabe auch umgesetzt.
Diese Methoden sind sehr gewieft und werden so tatsächlich in dem ein oder anderen Unternehmen genutzt, um sich Zugang zu einem System oder Gelände zu verschaffen. Die Bedeutung entspricht dem, dass beispielsweise ein Mitarbeiter gebeten wird, die Tür aufzuhalten, um unbefugten Zutritt möglich zu machen (Piggyback). Beim Tailgating schlüpft der Angreifer durch die Tür, bevor diese zufällt. Vor allem in großen Konzernen, in denen man die Mitarbeiter/-innen nicht immer gleich alle persönlich kennt, ist es oft schwer den Überblick zu behalten.