CBT Training & Consulting GmbH

Transkript

1 CBT Training & Consulting GmbH Social Engineering Assessments Security Awareness Kampagnen & Tools

2 Social Engineering Assessments Industriespionage & Wirtschaftskriminalität (bis hin zum möglichen Bankrott des Unternehmens) laufen immer auf der "sozialen / menschlichen Ebene" (=Social Engineering) ab. Das Eindringen in ein Unternehmen durch List und Manipulation bezeichnet man als Social Engineering. Der Angreifer hat das Ziel, sich das Vertrauen der Mitarbeiter zu erschleichen und dann zu missbrauchen, um so schrittweise über mehrere Phasen an Geheimnisse und Internas zu gelangen bzw. die Opfer zu manipulieren. Grundsätzlich unterteilt sich Social Engineering in zwei Bereiche: Das Computer Based Social Engineering findet vorwiegend über Internet und statt, z.b. ahnungslose Mitarbeiter mit professionell gestalteten und dennoch gefälschten s zur Eingabe Ihres Usernamens und Ihres Passwortes zu bewegen. Beim Human Based Social Engineering holt sich der Angreifer Informationen auf direktem Wege. Dies beginnt beim Durchwühlen der Mülltonnen (sogenanntes "Dumpster Diving"), dem Durchforsten der Besprechungsräume nach beschriebenen Flipcharts und endet damit, Mitarbeitern durch List und Geschick vertrauliche Informationen zu entlocken... z.b. gibt sich der Social Engineer am Telefon als Mitarbeiter des Benutzerservice aus, der unbedingt Hilfe bei der Behebung eines technischen Problems benötigt. Während der gemeinsamen Fehlerbeseitigung bombardiert er sein "Opfer" mit hochtechnischem Fachchinesisch und erfragt quasi beiläufig im Gespräch den Usernamen, später das Passwort. Damit kann er alle Informationen einsehen, auf die der betroffene Mitarbeiter im Unternehmen Zugriff hat... und das ohne irgendwie aufzufallen. Im Rahmen eines Social Engineering Assessment führen wir einen sehr realistisch simulierten Industriespionage-Angriff auf ausgewählte und abgestimmte Unternehmensbereiche des Auftraggebers durch. Wir versuchen, auf Grund mangelnden Sicherheitsbewusstseins der Mitarbeiter, Administratoren bzw. des Wach- & Putzdienstes Zugriff auf vertrauliche Daten zu erlangen bzw. diese zu manipulieren oder eine mögliche Sabotage von Betriebseinrichtungen zu dokumentieren. Ein Social Engineering Assessment erfolgt in der Regel in 3 Stufen: Legaler und illegaler Zutritt zum Unternehmen mit Analyse der Wirksamkeit der physischen Infrastruktur und des Wachdienstes. Angriff auf die Mitarbeiter mit Social Engineering Techniken, um vertrauliche Informationen (z.b. Username und Passwort) zu erlangen. Dokumentation des Zugriffes auf geschäftskritische Systeme und des Diebstahles von Hardware und vertraulichen Informationen (z.b. Dokumente, CDs, etc.) Seite 2 von 5

3 Typische Ziele eines Angriffes sind z.b. Zugriff auf Personaldaten, Buchhaltungsdaten, Businesspläne, Strategien, Vorstandsdaten, Entwicklungsdaten. Der Angriff erfolgt hoch professionell in enger Abstimmung mit dem Kunden. Sie behalten als Auftraggeber während des gesamten Assessments volle Kontrolle. Sie bestimmen, welche Vorabinformationen wir über Ihr Unternehmen erhalten und wie intensiv die Aktionen jeder einzelnen Stufe durchgeführt werden. Alle Schritte des Industriespionage-Angriffs werden fortwährend dokumentiert. Ein Social Engineering Assessment liefert als Ergebnis: Eine Beschreibung des "Status Quo" der Unternehmenssicherheit und des Sensibilisierungsgrades der Mitarbeiter / des Managements. Die Dokumentation möglicher kritischer Schwachstellen (durch Videos und Fotos) und Ansätze zu deren Beseitigung. Eine exzellente Grundlage für die Sensibilisierung des Managements und der Mitarbeiter, da (im Falle eines erfolgreichen Angriffes) die persönliche Betroffenheit deutlich erhöht wird. Die Basis zur Wirksamkeitsmessung nachgelagerter Awareness Maßnahmen. Die Ergebnisse des Social Engineering Assessment werden dem Auftraggeber in einer ausführlichen Management-Präsentation vorgestellt. VIDEO: Beute eines typischen Security Assessments (Fordern Sie das Video an) Der Clip zeigt die typische Beute eines beauftragten Security Assessments und verdeutlicht somit die Verletzlichkeit des Unternehmens Botschaft: Meist sind simulierte Angriffe (Assessments) von großem Erfolg gekrönt. Helfen Sie mit, diese Angriffe zu vereiteln. Für weitere Informationen sowie Angebote zu Social Engineering Assessments nehmen Sie bitte Kontakt zu uns auf! Seite 3 von 5

4 Security Awareness Kampagnen & IS-FOX Tools Die CBT Training & Consulting GmbH unterstützt seit vielen Jahren namhafte Kunden im Bereich Security Awareness bei der Sensibilisierung der Mitarbeiter zur Informationssicherheit. Security Awareness Kampagnen verfolgen als Ziel die zeitstabile Änderung von menschlichem Verhalten. Um dies zu erreichen, müssen sie Informieren (den Sachverhalt bekannt machen, Verständnis schaffen) Emotionalisieren (eine positive Einstellung zum Thema Sicherheit vermitteln) Motivieren (einen Anreiz zur Verhaltensänderung bieten) Security Awareness Kampagnen basieren auf den Erkenntnissen moderner Markt- und Werbepsychologie. Sie vermitteln emotionale Botschaften, ohne jedoch abzuschrecken oder durch den "erhobenen Zeigefinger" Widerstand zu provozieren. Entsprechend der "Lern-/Vergessenskurve" benötigt eine zeitstabile Einstellungsänderung eine kontinuierliche Darbietung des Lernstoffes. Kurze massive Darbietungen (rote Kurve) erhöht zwar schnell den Bekanntheitsgrad, wird aber ebenso schnell wieder vergessen. Nur eine kontinuierliche Darbietung (grüne Kurve) führt letztendlich zu einer gelernten Verhaltensänderung. Daher lassen sich Security Awareness Kampagnen in der Regel in folgende 3 Phasen einteilen: Seite 4 von 5

5 Wir haben im Rahmen zahlreicher erfolgreich durchgeführter Kampagnen einen sehr breiten Erfahrungsschatz aufgebaut. Dieses Wissen haben wir replizierbar aufbereitet und in den IS-FOX Security Awareness Tools umgesetzt. Alle unsere Einzel-Produktflyer im Überblick: IS-FOX Security Awareness Check IS-FOX Security Awareness WEB-Training IS-FOX Security Awareness WEB-Training Datenschutz IS-FOX Security Awareness Videos IS-FOX Security Awareness Poster IS-FOX Security Awareness Content IS-FOX Security Awareness Mittelstandspakete Fordern Sie die Flyer sowie Demozugänge zu den WEB-Trainings bei uns an. Ihr Kontakt zu CBT Training & Consulting GmbH Sie haben Fragen zu Social Engineering Assessments oder zu unseren IS-FOX Security Awareness Tools? Wir sind gerne für Sie da. CBT Training & Consulting GmbH Elektrastraße 6a / 4. Etage D München Ihre Ansprechpartnerin: Manuela Krämer Vertriebsleitung Informationssicherheit Telefon: +49 (0) Telefax: +49 (0) m.kraemer@cbt-training.de Internet: Seite 5 von 5