Die fortschreitende Digitalisierung in Unternehmen geht unaufhaltsam voran und Cyber-Angriffe gehören mittlerweile fast schon zur Tagesordnung. Obwohl Unternehmen vermehrt in technische IT-Sicherheitsmaßnahmen investieren, bleibt oft der Faktor Mensch unbeachtet.
Dabei ist der Mensch oft der entscheidende, aber auch anfälligste Faktor, denn trotz aller Sicherheitsmaßnahmen, die ergriffen wurden, ist und bleibt der Mensch anfällig für Manipulation und Täuschung.
Social Engineering zielt genau darauf ab, die Schwachstellen im menschlichen Verhalten zu nutzen. Durch Manipulation, Täuschung und das Schaffen von Vorwänden versuchen Angreifer, das Vertrauen der Menschen zu gewinnen und sie zu Handlungen zu verleiten, die ihren Absichten dienen.
Social Engineering zählt zweifellos zu den bedeutendsten IT-Risiken unserer Zeit. Die genaue Häufigkeit, mit der Verbraucher und Unternehmen täglich Opfer von Social Engineers werden, lässt sich nur schwer ermitteln. Das Phänomen ist derart weit verbreitet und nimmt so viele verschiedene Formen an, dass viele Betroffene oft nicht einmal bemerken, dass sie einem Betrüger aufgesessen sind. Die Vielfalt der Social Engineering-Methoden macht es besonders knifflig, sich gegen diese Bedrohung zu verteidigen. Von gefälschten Identitäten über manipulative Geschichten bis hin zu hochentwickelten Phishing-Techniken – die Taktiken der Angreifer sind so raffiniert, dass selbst aufmerksame Menschen in die Falle tappen können. Um dieser unsichtbaren Gefahr wirksam zu begegnen, ist die Sensibilisierung der Beschäftigten von entscheidender Bedeutung.
Modul-Info: Meistens bevorzugen die Menschen einfache Kennwörter, die sie sich leicht merken können. In unserem Modul „Technical Audit“ testen wir, wie schnell Kennwörter von Benutzerkonten in Ihrem Unternehmensnetzwerk geknackt werden können.
Im Anschluss daran erhalten Sie von uns eine Auswertung, die wichtige Kennzahlen zur Risikobewertung beinhalten.
TECHNICAL.AUDIT
Modul-Info: Neugierde ist menschlich. Aus diesem Grund nutzen Cyberkriminelle verstärkt verseuchte USB-Sticks oder CDs, die sie auf Unternehmensparkplätzen oder direkt im Unternehmen platzieren, in der Hoffnung, dass ein neugierige mitarbeitende Person diesen verseuchten Datenträger in seinen Computer steckt.
Einmal ausgelesen, verbreiten sich die darauf enthaltenen Schädlinge im Unternehmensnetzwerk. Umso wichtiger ist es, Ihren Mitarbeitenden die Gefahr solcher Angriffe aufzuzeigen.
TELEFON. ENGINEERING
Modul-Info: Wissen Sie immer, wer sich bei Ihnen im Unternehmen rumtreibt? Sind das alles Kunden, Besucher oder Mitarbeiter?
Testen Sie das Verhalten Ihrer Mitarbeiter in
einer unerwarteten Situation!
Viele Mitarbeiter bringen fremden Personen oftmals zu viel Vertrauen entgegen. So kommt es leider immer wieder vor, dass Beschäftigte scheinbare Handwerker ungehindert in das Unternehmen hineinlassen oder ihnen sogar verschlossene Räume öffnen. Auf die Frage, warum sie dies taten, antworteten sie meistens:
„Er hat doch ausgesehen wie ein echter Handwerker.“
DIE. UNBEKANNTE PERSON
Modul-Info: Hier bei nutzt der Angreifer Hilfsbereitschaft aus. Er ruft z.B. im Namen einer Supporthotline das Opfer zurück und bezieht sich auf ein technisches Problem im Unternehmen. Vielleicht gab es ja wirklich ein Problem im Unternehmen und die angerufene Person leitet den Anrufer eventuell weiter oder hilft direkt selbst. Der Angreifer bietet also seine Hilfe an, um ein bestimmtes Problem zu lösen, verlangt jedoch dafür vom Mitarbeiter gewisse Tätigkeiten auszuführen, die z.B. einen Virus in das System einschleusen oder sensible Daten weiterleiten. Natürlich ohne dass der Mitarbeiter dies merkt.
TELEFON. ENGINEERING
Modul-Info: Wie schnell könnten Datenträger,
Smartphones oder sogar ganze PCs aus Ihrem
Unternehmen verschwinden? Sowas kann Ihnen nicht passieren? Wir sagen: Doch!
Testen Sie das Verhalten Ihrer Mitarbeiter im Ernstfall. Verkleidet als Telekom Mitarbeiter, Heizungsableser oder in Zivil testen wir den Schutz der Daten und Geräte in Ihrem Unternehmen. Natürlich stehlen wir nichts; die Geräte, die gestohlen werden könnten, versehen wir mit einem Aufkleber, um zu zeigen, dass wir diese Geräte ohne Probleme hätten stehlen können.
JETZT. IST ES MEINS
Modul-Info: Als SMS Spoofing bezeichnet man das Verschicken von SMS mit einem gefälschten Absender. Das Spoofing dient dazu, Daten abzufangen, und ggf. kleinere Beträge vom „Empfänger“ abzubuchen, denn keiner probt einen Aufstand für 50 Cent. Allerdings ist Spoofing viel einfacher, als man denkt. In unserer Spoofing Kampagne erklären wir Ihnen, wie dieses Prinzip des Datendiebstahls funktioniert, und wie schnell Sie um 5€ ärmer werden können.
SMS. SPOOFING
Modul-Info: Kriminelle wühlen im Müll – nicht aus der Not heraus, sondern aus purer Informationslust. Trotz der Banalität gelingen mit dieser Methode immer wieder spektakuläre Datendiebstähle. Geraten die darin enthaltenen Daten in die falschen Hände, kann dies im besten Fall einen Reputationsverlust verursachen, im schlechtesten Fall das Unternehmensende bedeuten. Testen Sie jetzt den Datenschutz bei Ihnen im Unternehmen. Wir versuchen, so viele Daten wie möglich zu sammeln und zeigen Ihnen im Anschluss, was wir mit den gefundenen Daten hätten machen können.
DUMPSTER. DIVING
Modul-Info: Komplexe Kennwörter sind zwar mitunter am sichersten, aber unter Umständen schwer zu merken. Meist wählt ein Mitarbeiter ein Passwort für alle Bereiche, so eine Art „Masterkey“. Sicher eine einfache Lösung, aber keinesfalls eine Sichere. Wenn ein Mitarbeiter mit verschiedenen Portalen arbeitet, kommen schnell 10 bis 20 unterschiedliche und komplexe Kennwörter zusammen. Viele Mitarbeiter haben auf so ein Passwort Wirr-Warr keine Lust und kapitulieren in diesem Bereich.
SOCIAL. PASSWORD AUDIT
sicdata Unternehmensberatung
Heiligenstock 34c
42697 Solingen
Telefon: 0212.73 87 24-0
Telefax: 0212.73 87 24-99
E-Mail: info[at]sicdata.de