Schwachstellenanalyse durch Social Engineering

Social Engineering (SE) ist eine Mischung aus Wissenschaft, Psychologie und Kunst. Diese auf den ersten Blick oft verblüffende und komplex erscheinende Disziplin ist jedoch in vielen Situationen einfach anzuwenden. Durch das Manipulieren von Personen kann ein erfahrener Hacker Informationen sammeln, Zugang zu gesicherten Daten oder Bereichen erhalten oder gezielte Angriffe auf Personen starten.


Social Engineering ist jegliches Handeln, das Personen beeinflusst, etwas zu tun, das möglicherweise nicht in ihrem eigenen Interesse steht.


Im Kontext der Informationssicherheit wird Social Engineering, oft auch „human hacking“ genannt, als Angriffsmethode verwendet, die auf den menschlichen Faktor als schwächstes Glied in der Verteidigungskette abzielt. Dabei nutzen Angreifer verschiedene Methoden, um sich Zugang zum Firmennetzwerk oder Büro zu verschaffen.

Social Engineering ist eine reale Bedrohung für Unternehmen, welche jedoch oft übersehen oder als unwahrscheinlich abgetan wird. In den meisten Unternehmen werden Endgeräte, die sich im internen Netzwerk befinden, als sicher eingestuft. Dabei wird jedoch oft nicht bedacht, dass das Betreten des Firmengebäudes und Einstecken eines USB-Sticks oder Rechners in eine der verfügbaren Schnittstellen meist nicht so schwierig ist, wie es zunächst klingt. Und je größer ein Büro, desto leichter wird es. Ihre Mitarbeiter sollten wissen, wie sie die nachfolgenden Szenarien erkennen können und darauf reagieren sollten. Ebenso ist eine zentrale Anlaufstelle wichtig, an die Auffälligkeiten berichtet werden können.

Entziehen von Informationen

Entziehen von Informationen

Oft reicht es für einen Angreifer schon aus, einmal durch ein Gebäude zu spazieren und Mitarbeitern über die Schulter zu schauen („Shoulder Surfing“) oder durch flüchtige Blicke auf Präsentationen, Whiteboards, Dashboards und offene Dokumente wertvolle Daten zu ergattern.

Diebstahl von Dokumenten

Diebstahl von Dokumenten

Der Diebstahl von Dokumenten ist ein beliebter Weg, um an detailreiche Informationen zu gelangen. Dokumente auf Schreibtischen und in Druckern, angemeldete Rechner, sowie herumliegende USB-Sticks und Backup-Festplatten sind leichte Opfer für jeden, der das Gebäude betreten kann.

Manipulation von Hardware

Manipulation von Hardware

Installation von Keyloggern, bösartigen USB-Sticks oder versteckten Aufnahmegeräten können Angreifer Remote-Zugriff und manchmal sogar gültige Logindaten verschaffen. Durch Sicherheitslücken wie BadUSB bergen auch normale Geräte wie USB-Sticks in hohes Risiko für Unternehmen.

Das physikalische Testen der Sicherheit Ihrer Büros und Gebäude und das Verhalten Ihrer Mitarbeiter gegenüber Eindringlingen ist nur eine Art, wie Ihre Sicherheit durch Social Engineering getestet werden kann. Aber nicht alle Risiken kommen durch einen persönlichen Kontakt. Phishing-Kampagnen und das Sammeln von Informationen durch E-Mails und sozialen Netzwerken sind ein weiterer Risikofaktor, welcher adressiert werden muss.

Informationsbeschaffung

Informationsbeschaffung

Informationsbeschaffung, auch „Reconaissance“ genannt, ist ein wichtiger Teil eines geplanten Angriffs. Ihr Unternehmen und Ihre Angestellten hinterlassen unwissend eine Spur an Informationen, die, wenn zusammengetragen, ein äußerst detailliertes Bild der internen Abläufe zeichnen können.

Phishing-Nachrichten

Phishing-Nachrichten

Phishing-Nachrichten sind Versuche, Angestellte des Unternehmens dazu zu bringen, bestimmte Aktionen durchzuführen, wie das Klicken eines Links, Herunterladen eines Virus, (unwissende) Abschalten von Sicherheitsvorkehrungen oder Herausgeben von geheimen Informationen.

Spear Phishing

Spear Phishing

Je mehr Informationen gesammelt werden konnten, desto präziser können Angriffe durchgeführt werden. Spear Phishing nutzt Informationen wie Vorlieben und Abneigungen einzelner Personen, deren Position im Unternehmen, bekannte Kontakte und sogar Hobbies für exakt zugeschnittene Angriffe mit hoher Erfolgsrate.

Durch unsere Social-Engineering-Tests zeigen wir nichttechnische Schwachstellen in Ihrem Unternehmen auf und stellen dar, welches Verhalten riskant ist und weshalb. Damit bietet es eine herausragende Ergänzung zu unseren Awareness Trainings, in denen Ihre Mitarbeiter nicht nur theoretische Sicherheit lernen, sondern mit realen Szenarien in Berührung kommen.


Ihre Mitarbeiter sind die Besten, wenn es darum geht, Anomalien zu entdecken. Wir zeigen ihnen wie sie darauf reagieren sollen und machen Ihre Mitarbeiter so zu einem Teil Ihrer Sicherheit.

Awareness, oder Aufmerksamkeit zu Deutsch, ist etwas, das nicht von heute auf morgen beigebracht werden kann. Mit der Zeit werden Ihre Angestellten jedoch lernen, auf Vorfälle instinktiv richtig zu reagieren und neuen Mitarbeitern den Weg zu weisen. Dadurch werden Sicherheitslücken im Unternehmen automatisch entdeckt und der Schutzfaktor enorm gesteigert.

Haben Sie Fragen? Kontaktieren Sie uns doch einfach per E-Mail, über das Kontaktformular oder rufen Sie uns einfach unter +49 (0)89 3078 4343 an.