Schulungen & Awareness-Trainings zu Social Engineering

Der Mensch als schwächstes Glied Ihrer IT-Sicherheit – diesen Leitsatz machen sich Angreifer im Bereich des Social Engineering zu Nutzen. Was hilft die beste Firewall, die sicherste IT-Umgebung, wenn die Nutzer sorglos mit relevanten und sensiblen Daten umgehen? Egal ob Pishing-Mails, Spear Pishing oder sogar Dumpster Diving – in Schulungen und Awareness-Trainings vermitteln wir Ihren Mitarbeitern, was Social-Engineering ist und auf was sie im Arbeitsalltag, aber auch der Freizeit achten müssen. Gerne geben wir Ihnen in den folgenden Abschnitten einen Einblick in unsere Schulungsthemen. Bei Fragen können Sie sich auch direkt über unser Kontaktformular  an uns wenden!

Was genau versteht man unter Social Engineering?

Die positive Nachricht zuerst: dadurch, dass die Themen Hacking bzw. Cyberangriffe immer mehr diskutiert wird, haben es Angreifer häufig schwer, gut geschützte Systeme zu knacken. Die Kehrseite dieser Erkenntnis: sie richten ihr Augenmerk auf die schwächste Stelle dieser Systeme: den Nutzer. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) spricht in diesem Zusammenhang vom „Faktor Mensch“. Statt die System direkt anzugehen, versuchen die Angreifer über die Nutzer an relevante Daten (Nutzernamen, Passwörter) heranzukommen, die ihnen somit den direkten Zugang ermöglichen.

Die Arten und Methoden der Angriffe sind dabei unterschiedlichster Art, alle zielen aber auf emotionale Eigenschaften des Menschen (Hilfsbereitschaft, Neugier). Während eine Firewall stets rational agiert, kann das emotionale Handeln des Menschen als Knackpunkt der IT-Sicherheit gesehen werden.

Die Täter erschleichen sich durch unterschiedliche Maschen (Kontaktaufnahmen in Sozialen Netzwerken, Pishing-Mails) Daten der Personen, die einen Zugang zum gewünschten System haben. Dabei verschleiern sie geschickt ihr eigentliches Vorhaben, bauen ein Vertrauensverhältnis auf oder fälschen vermeintlich seriöse Seiten so geschickt, dass die Besucher arglos ihre Login-Daten preisgeben.

Was beinhalten Schulungen zum Thema Social Engineering?

 

Die meisten Ihrer Mitarbeiter würden sicherlich bestreiten, dass sie jemals auf eine Pishing-Mail hereinfallen würden. In der Praxis können wir beweisen, dass dies, leider, häufiger vorkommt, als die meisten Menschen vermuten würden.

In Abstimmung mit Ihnen und falls intern gewünscht, bieten wir dementsprechend vor einer Schulung einen Praxis-Test an und werden dabei versuchen, Ihre Mitarbeiter über verschiedene Wege zu „manipulieren“. Die Ergebnisse stellen wir während unserer Schulung vor: keine Sorge, wir werden niemanden namentlich bloßstellen. Von dieser Basis aus erzeugen wir ein Bewusstsein bei den Schulungsteilnehmern: alle sind anfällig für derartige, teils ausgefeilte, externe Angriffe. Alternativ bieten wir Ihnen auch ausschließlich unsere Schulung an, die Inhalte unterscheiden sich bei beiden Varianten nicht.

Schulungsinhalte umfassen:

  • Welche Kanäle nutzen die Angreifer, wo kontaktieren diese Ihre Mitarbeiter?
  • Welche klassischen Vorgehensweisen existieren, was sind eventuell neue „Trends“?
  • Welche Risiken haben derartige Angriffe und wie geht man vor, falls es schon zu spät ist?
  • Woran erkennt man ggf. Pishing-Mails und wie unterscheiden diese sich von „seriösen“ Mails?

 

Unsere Schulungen und Awareness-Trainings stimmen wir auf Sie und Ihre Mitarbeiter ab und sprechen gerne vorab mögliche Inhalte mit Ihnen durch. Ziel ist es, dass alle Beteiligten das Konzept der Informationssicherheit verinnerlichen und zudem reflektieren, wo sie in der Vergangenheit möglicherweise zu sorglos agiert haben.

Ihre Vorteile einer Social-Engineering-Schulung durch tdSource

Individuell auf Ihr Unternehmen abgestimmt

Eine Schulung ist nur dann wirksam, wenn sie auf die Bedürfnisse der Teilnehmenden abgestimmt ist. Wir sprechen vorab mit Ihnen die Schulungsinhalte durch und können dabei auch auf reale Ereignisse und Situation in Ihrem Betrieb eingehen, um diese dann praktisch mit Ihren Mitarbeitern durchzuspielen. 

Theorie trifft Praxis

Kaum eine Person wird gerne eingestehen, dass sie anfällig für Social-Engineering ist. Die Realität sieht aber anders aus. Um das Thema so realistisch wie möglich zu vermitteln, testen wir auf Wunsch Ihre Mitarbeiter verdeckt vor der eigentlichen Schulung und zeigen somit auf: jeder kann das Opfer eines Cyber-Angriffs werden.

Ansprechpartner über die Schulung hinaus

Häufig tritt nach einer Schulung der Effekt ein, dass das Erlernte im stressigen Arbeitsalltag wieder vergessen wird. Gerne sorgen wir mit erneuten Tests und ggf. Nachschulungen dafür, dass das Thema Social Engineering stets auf der Agenda aller Mitarbeiter bleibt. Auch bei Fragen darüber hinaus sind wir Ihr Ansprechpartner! 

Sie haben Fragen rund um das Thema Social Engineering und den dazu passenden Schulungen? Wir würden uns freuen, Sie in einem ersten Gespräch unverbindlich kennenzulernen. Gerne erläutern wir Ihnen dabei konkrete Inhalte unserer Schulungen und ein mögliches Vorgehen für Ihre Mitarbeiter. Nutzen Sie für eine erste Kontaktaufnahme unser Kontaktformular.

Über welche Kanäle erfolgen Social Engineering Angriffe?

Die Pishing-Mail ist vermutlich die bekannteste Methode des Social Engineering, aber gerade auch in den Sozialen Netzwerken häufen sich derartige Angriffe in den vergangenen Jahren.

Insbesondere das sogenannte „Spear Pishing“ nimmt deutlich zu. Dabei suchen die Täter explizit einzelne Personen aus einer Firma aus, über die sie zuvor Informationen, etwa auf öffentlichen Profilen, gesammelt haben. Die Pishing-Mails werden dann speziell auf diese Person zugeschnitten, die „Erfolgsquote“ dadurch teils deutlich erhöht.

Doch auch via Telefon oder Smartphone treten immer wieder Fälle auf, der Kreativität der Angreifer sind quasi keine Grenzen gesetzt. Es zeigt sich immer wieder: es gibt keinen Bereich, den die Angreifer nicht nutzen. Der sensible und aufmerksame Umgang mit Daten muss jeden Lebensbereich umfassen und macht insbesondere nicht vor dem privaten Umfeld halt.

Existiert Social Engineering auch „offline“?

Neben den bereits erwähnten Methoden via jeglicher Art von Telekommunikationsmedien gibt es aber auch Social Engineering Angriffe, die ganz konkret im realen Umfeld einer Zielperson stattfinden.  

Dabei kann:  

  • Der Müll und insbesondere Papiermüll einer Zielperson nach relevanten Daten durchsucht werden  
  • Ein manipulierter USB-Stick scheinbar zufällig vor dem Büro-Eingang platziert werden  
  • In Extremfällen ein persönliche Beziehung zu einem Opfer hergestellt werden, um an sensible Daten zu kommen  

 

Diese Methoden sind zeitlich extrem aufwendig und kommen daher deutlich seltener vor, als etwa Pishing-Mails und Co. Dennoch zeigt sich, dass die Täter auch in diesem Bereich durchaus aktiv sind, gerade wenn das potenzielle Ziel eine große finanzielle Verantwortung trägt oder auf sensible Daten Zugriff hat.