Prüfung der Wirksamkeit von physischen und organisatorischen Sicherheitsmechanismen Ihres Unternehmens durch das Social Engineering Audit

Unter dem Begriff Social Engineering werden Angriffe auf Informationssysteme zusammengefasst, bei denen die Nutzer dieser Systeme vom Angreifer durch verschiedene psychologische Tricks manipuliert werden.

Der Angreifer verschafft sich auf diesem Weg interne bzw. vertrauliche Informationen, um einen Cyberangriff durchzuführen. Die Zielperson ist damit für ihn das „Mittel zum Zweck“, um sensible Informationen zu erhalten. Im Kontakt zum Opfer macht sich der Angreifer elementare Grundregeln der Kommunikation zunutze, z.B. Autoritätszugehörigkeit oder die Neigung des Menschen, demjenigen Vertrauen zu schenken, der bereits über bestimmte Informationen verfügt.*: Durch unterschiedlichste Formen der Kontaktaufnahme – und durch Ausnutzung von Gutgläubigkeit, Hilfsbereitschaft oder auch Unsicherheit der Zielperson – wird somit versucht, an vertrauliche Unternehmensinterna zu gelangen.

Die Social Engineering Methoden, die sich unsere IT-Sicherheitsexperten zunutze machen, sind vielfältig. Alle zielen darauf ab, Social Engineering Schwachstellen in organisatorischen Abläufen, dem Sicherheitsverhalten Ihrer Mitarbeiter oder bei der Gebäudesicherheit in Ihrem Unternehmen zu identifizieren. Das Ausnutzen der bestehenden Social Engineering Sicherheitslücken durch Social Hacking gilt es mit Hilfe einer Sicherheitssensibilisierung Ihrer Mitarbeiter zu vermeiden.

Social Engineering FAQ –
DIE 8 MEIST GESTELLTEN FRAGEN

Welche Methoden des Social Engineering machen sich Angreifer typischerweise zunutze?

Im Rahmen seiner vorbereitenden Informationsgewinnung wird der Angreifer zunächst auf Basis öffentlich verfügbarer Datenquellen bzw. sozialer Netzwerke über Ihr Unternehmen und dessen Mitarbeiter recherchieren. Im Mittelpunkt steht hierbei die Identifikation von Mitarbeitern, die später zum Angriffsziel der Social Engineering Attacke werden. Auch die erste Kontaktaufnahme läuft oftmals über soziale Netzwerke und wird in der Folge intensiviert, um die Opfer zu unüberlegten Handlungen zu verleiten. Hierzu können das Öffnen einer infizierten E-Mail-Anlage zählen oder aber, eine infizierte Webseite aufzurufen. Dadurch gelingt es den Angreifern, Schadsoftware auf das Nutzersystem zu übertragen oder Zugang in ein Unternehmensnetz zu erlangen. Man spricht aus diesem Grund auch von der Methode des „Social Hacking“.

Zur Ansprache der Opfer geben sich die Angreifer als Mitarbeiter von Firmen oder Einrichtungen aus, die im Unternehmen bereits allgemein bekannt sind. Häufig weisen sie sich auch als im Unternehmen angestellte Personen aus. Dies senkt die Hemmschwelle der Empfänger, einen Link oder Dateianhang anzuklicken, denn der Absender ist ihnen vermeintlich bekannt oder sogar vertraut.

Im Zuge dieser Phishing-Angriffe werden fiktive Sicherheitsprobleme, gefälschte Rechnungen oder vorgetäuschte Statusmeldungen zu Aufträgen verwendet, um Nutzer dazu zu verleiten, unternehmensbezogene oder andere sensible Informationen an Unberechtigte weiterzugeben. Zwecks Ablenkung des Opfers von der eigentlichen Problematik werden dabei Fristen gesetzt oder geringe Bearbeitungsgebühren erhoben. Zudem werden die Nutzer auf gefälschte Unternehmens-Webseiten gelockt, um dort in einer scheinbar vertrauten Umgebung Zugangs-, Konto- oder Kundendaten einzugeben oder zu bestätigen.**

** BSI: Die Lage der IT-Sicherheit in Deutschland 2016

Welche rechtlichen Aspekte sind bei der Durchführung eines Social Engineering Audits zu berücksichtigen?

Der Arbeitgeber hat bei der Durchführung eines Social Engineering Audits grundsätzlich den arbeits- und datenschutzrechtlichen Rahmen einzuhalten.

Entscheidet sich die Geschäftsführung gemeinsam mit dem IT-Sicherheitsverantwortlichen für die Beauftragung eines Social Engineering Audits, sollten bei der Besprechung der Ausgestaltung des Audits der bzw. die Datenschutzbeauftragte, die Leitung der Personalabteilung sowie ggf. der Betriebsrat des Unternehmens involviert werden. Durch das Einbeziehen dieser Abteilungen werden Verzögerungen im Freigabeprozess eines Social Engineering Audits vermieden. Unsere IT-Sicherheitsexperten empfehlen außerdem, die Beauftragung des Audits ohne Kenntnisnahme durch die Einkaufsabteilung abzuwickeln, um sicherzustellen, dass keine Informationen vorab an Mitarbeiter durchsickern.

Generell ist die Durchführung von Social Engineering Maßnahmen nur unter Berücksichtigung gegenseitiger Rücksichtnahmepflichten (§ 841 Abs. 8 BGB) zulässig. Das aus Art. 8 Abs. 1 und Art. 1 Abs. 1 GG abgeleitete allgemeine Persönlichkeitsrecht des Arbeitnehmers ist hierbei insbesondere zu berücksichtigen. Dieses gilt jedoch nicht ohne Einschränkungen: Die Wahrnehmung überwiegend schutzwürdiger Interessen des Arbeitgebers kann einen Eingriff in dieses Gesetz rechtfertigen. So kann sich der Arbeitgeber auf sein Interesse an einem hohen Maß an Unternehmenssicherheit berufen. Rechtsgrundlage hierfür ist die Unternehmerfreiheit aus Art. 18 GG sowie die Eigentumsgarantie aus Art. 14 GG.

Unter Berücksichtigung dieser Interessensbereiche gilt, dass der Arbeitgeber bei der Entscheidung über die Ausgestaltung des Social Engineering Audits diejenigen Maßnahmen wählen sollte, die das Persönlichkeitsrecht des Arbeitnehmers am wenigsten tangieren.* Unsere IT-Sicherheitsexperten beraten Sie selbstverständlich ausführlich, um die für Ihr Unternehmen sinnvollste und effektivste Ausgestaltung des Social Engineering Audits zu erreichen.

Wie werden die Daten Ihrer Mitarbeiter im Rahmen eines Social Engineering Audits geschützt?

Die Durchführung eines secion Social Engineering Audits dient der Überprüfung der Security Awareness der Mitarbeiter Ihres Unternehmens. Unsere IT-Sicherheitsexperten erreicht in diesem Zusammenhang häufig die Frage nach  dem Schutz der Persönlichkeitsrechte sowie der persönlichen Daten der in das Audit involvierten Mitarbeiter.

Grundsätzlich ist die Durchführung des secion Social Engineering Audits an feste und klar definierte Regeln gebunden, die sowohl geltenden Gesetzen als auch ethischen Ansprüchen gerecht werden. Die oberste Prämisse unserer Experten ist es, die Persönlichkeitsrechte der Mitarbeiter zu schützen. Dies erreichen wir, indem die Auswertung der Audit-Ergebnisse auf statistischer Basis erfolgt - betroffene Mitarbeiter bleiben anonym. Namen von Mitarbeitern werden im Social Engineering Audit Report nicht erwähnt. Negative oder arbeitsrechtliche Folgen für betroffene Angestellte sind grundsätzlich auszuschließen.

Warum ist die Durchführung eines Social Engineering Audits so wichtig für die IT-Sicherheit Ihres Unternehmens?

Ein fahrlässiger Umgang mit vertraulichen Unternehmens- oder persönlichen Daten führt zu einem erhöhten Sicherheitsrisiko. Social Engineering Attacken zählen mittlerweile zu den gängigsten Angriffsformen auf Unternehmen.*** Für Angreifer ist es häufig einfacher, die Schwachstelle Mensch als oftmals schwächstes Glied der IT-Sicherheitskette zu überwinden, anstatt komplexe technische Sicherheitsmaßnahmen mit viel Aufwand zu umgehen. Wichtigste Maßnahme gegen erfolgreiches Social Engineering ist daher die Sensibilisierung und Aufklärung der Anwender. Unsere IT-Sicherheitsexperten empfehlen aus diesem Grunde, entsprechende Social Engineering Audits nicht nur einmalig, sondern als Teil eines Gesamtkonzepts zur IT-Sicherheit regelmäßig durchführen zu lassen. Hierzu gehört sinnvollerweise auch die Durchführung von Awareness-Schulungen für Ihre Mitarbeiter, um deren Sicherheitsbewusstsein zu sensibilisieren bzw. optimieren. Des Weiteren sollten bereits implementierte Security Awareness Maßnahmen regelmäßig überprüft und bei Bedarf an die bestehenden Sicherheitsrisiken angepasst werden.

*** Studienbericht „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz im digitalen Zeitalter, 2015, S.11

Welche sicherheitsrelevanten Fragen werden im Rahmen des secion Social Engineering Audits beantwortet?

Im Rahmen der bisher durchgeführten Social Engineering Audits untersuchten unsere IT-Sicherheitsexperten unter anderem folgende relevante Fragestellungen:

  • Werden die im Unternehmen festgelegten Regeln zu sicherheitsrelevanten Geschäftsprozessen und Verhaltensweisen von Ihren Mitarbeitern eingehalten bzw. sind diese noch vollständig im Gedächtnis verankert?
  • Wie gehen Mitarbeiter mit sensiblen Geschäftsinformationen um?
  • Werden die Zutrittsregeln für Ihr Unternehmen beachtet?
  • Wieviel Aufwand benötigt ein Angreifer, um per Telefon oder E-Mail sicherheitsrelevante Informationen von Ihren Mitarbeitern zu erhalten?
In welche Phasen untergliedert sich das secion Social Engineering Audit?

Das secion Social Engineering Audit wird in der Regel in 4 Phasen untergliedert, die von unseren IT-Security Consultants gemäß Ihren Auftragsanforderungen individuell gestaltet werden.

1. Vorbesprechung: Telefonisch oder vor Ort

Die Vorbesprechung steht am Anfang aller weiteren Handlungen unserer IT-Sicherheitsexperten. Neben der Übermittlung von Informationen zu vorhandenen internen Verhaltensrichtlinien der Mitarbeiter sowie der Unternehmensrichtlinien werden die Handlungsgrenzen im Rahmen dieses Audits definiert: Wie weit soll und darf nicht-sicherheitskonformes Verhalten von Mitarbeitern ausgenutzt werden? Wichtig ist an dieser Stelle, bereits alle verantwortlichen Abteilungen miteinzubeziehen. Dazu gehören neben der Geschäftsführung und dem IT-Sicherheitsbeauftragten auch der Betriebsrat, Datenschutzbeauftragte sowie die Personalführung Ihres Unternehmens. Abschließend werden Vor-Ort-Termine und weitere Überprüfungszeiten vereinbart.

2. Vorbereitende Informationsgewinnung

Die vorbereitende Informationsgewinnung wird von unseren IT-Security Consultants in die Online- und Vor-Ort-Recherche untergliedert. Zunächst erfolgt die Recherche auf Basis öffentlich verfügbarer Datenquellen bzw. Daten aus sozialen Netzwerken. Die Gebäude- und Lagesichtung Ihres Unternehmens sowie die Identifikation von Ziel-Mitarbeitern stehen hierbei im Mittelpunkt.

Die Vor-Ort-Recherche bezieht sich auf die Überprüfung der Sicherheit von physischen Zutrittsmöglichkeiten des Gebäudes während der Geschäftszeiten, praktische Überprüfung der Zugangskontrollen am Empfang und im Gebäude. Des Weiteren werden das Unternehmensgebäude und dessen Räumlichkeiten von innen, insbesondere häufig frequentierte Orte wie Seminar- und Besprechungsräume, erkundet. Auch Netzwerkzugänge werden ausgespäht sowie protokolliert.

3. Aktive Informationsgewinnung (vor Ort bzw. Phishing per E-Mail und telefonisch)

Auf Basis der Auswertung der in Phase 2 gesammelten Informationen erfolgt die Entwicklung spezifischer Angriffsszenarien durch unsere IT-Sicherheitsexperten.

Nun gilt es, konkrete Unternehmessinterna zu gewinnen, um auf dieser Basis einen späteren Social Engineering Angriff vorzubereiten.

Der Zutritt ins Firmengebäude erfolgt über die zuvor ausgespähten Zugangsmöglichkeiten. Um das Vertrauen der Mitarbeiter zu erreichen, geben sich unsere projektverantwortlichen secion Social Engineers beispielsweise als Dienstleister Ihrer firmeneigenen IT aus, mit dem Ziel, PC-Zugriffsmöglichkeiten der Zielpersonen zu erlangen. Keylogger oder Netzwerksniffer dienen dazu, weiterführende vertrauliche Benutzerdaten zu gewinnen. Auch die Platzierung von präparierten Datenträgern (sog. Candy Drop Methode) an stark frequentierten Orten ist bereits vorbereitende Maßnahme des später erfolgenden Cyberangriffs:

Beispielsweise geben sich unsere IT-Security Consultants im Rahmen einer Phishing Attacke als vertrauenswürdige Personen bzw. Institution oder Unternehmung aus und versuchen, durch gefälschte elektronische Nachrichten an sensible Daten wie Benutzernamen und Passwörter für Online-Banking oder Kreditkarteninformationen zu gelangen.

4. Ergebnispräsentation vor Ort

Elementarer Bestandteil unseres Social Engineering Audits ist stets eine persönliche Präsentation und Erörterung der Überprüfungsergebnisse sowie der hieraus resultierenden Handlungsempfehlungen in Ihrem Haus. Häufig werden von unseren Auftrag gebenden Unternehmen im Anschluss an ein Social Engineering Audit Awareness-Schulungen für ihre Mitarbeiter beauftragt, um deren Sicherheitsbewusstsein zu sensibilisieren bzw. optimieren. Bisherige Security Awareness Maßnahmen werden überprüft und bei Bedarf an die bestehenden Sicherheitsrisiken angepasst.

Beispiele nicht-sicherheitskonformer Verhaltensweisen von Mitarbeitern aus secion Social Engineering Audits

Telefonverhalten des Mitarbeiters

Um das Telefonverhalten Ihrer Mitarbeiter hinsichtlich Sicherheitskonformität zu testen, geben sich unsere IT-Sicherheitsexperten als Kunde oder Dienstleister Ihres Unternehmens aus. Durch Smalltalk über gemeinsame Kollegen werden zunächst Vertrautheit und Sympathie aufgebaut, um im Anschluss beispielsweise damit zu drohen, bei unterlassener Kooperation den Vorgesetzten des Opfers hinzuziehen zu müssen. Solche Angriffe können auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut wird, die in vorhergehenden Stufen von uns erworben wurden.

Die bisherige Erfahrung zeigt, dass Mitarbeiter durch Kenntnis der vermeintlich vertrauten Person mit hoher Wahrscheinlichkeit zu viele unternehmensvertrauliche Daten preisgeben. An dieser Stelle wird häufig eine Sicherheitsschwachstelle in Unternehmen durch unsere Social Engineers identifiziert.

Preisgabe von Daten bei PC-Problemen der Mitarbeiter

Eine weitere Methode, um an vertrauliche Daten des Mitarbeiters zu gelangen, ist das Fingieren eines vermeintlichen Supportfalls bei PC-Problemen. Unsere IT-Sicherheitsexperten simulieren einen solchen Vorfall im Unternehmen, der es notwendig macht, bestimmte Handlungen an PCs von Mitarbeitern vorzunehmen.

Auch unter Anwendung dieser Methode zeigt sich eine häufige Autoritätshörigkeit unter den Opfern, die eine Preisgabe von vertraulichen Daten an unsere Experten zur Folge hat.

Zutritt zum Unternehmensgebäude ist nicht ausreichend abgesichert

Bei Anwendung dieses Testmoduls geht es darum zu prüfen, ob und auf welche Weise die implementierten physischen Sicherheitsmaßnahmen von Unternehmen umgangen werden können. Die Erfahrung unserer Experten zeigt, dass der Zutritt zum Unternehmensgebäude häufig mit falscher Identität möglich ist – oder aber diese erst gar nicht überprüft wird. Mit dieser sogenannten Tailgating Methode gelingt es unseren Social Engineers in vielen Fällen, unter Ausübung von psychologischem Druck, mit Hilfe von Tricks oder durch einfaches Hineingehen, Zutritt zu einem physisch gesicherten Gebäude zu gelangen.

Um die Ausnutzung bestehender Social Engineering Sicherheitslücken durch Angreifer zu vermeiden, raten unsere Experten zu einer umfassenden Sicherheitssensibilisierung Ihrer Mitarbeiter. Es gilt, deren Bewusstsein dahingehend zu schärfen, wie leicht sich Angreifer durch verschiedenartige Formen der Manipulation von Menschen Zugriff auf Unternehmensdatenbanken verschaffen können. Wird Angreifern die Chance gegeben, bestehende Gutgläubigkeit oder Unsicherheiten für ihre Social Hacking Methoden auszunutzen, sind die Folgen in der Regel immens: Insbesondere der Industrie- und Handelsbranche droht nicht nur ein hoher finanzieller Schaden, auch der damit verbundene Imageverlust kann durch die Social Engineering Industriespionage eine nicht zu ermessene Höhe erreichen. Da Social Engineering Angriffe nur selten erkannt werden, ist die Nachvollziehbarkeit des Datendiebstahls immens schwierig und birgt für die Unternehmen ein hohes Risiko, beispielsweise Entwicklungsdaten an Dritte zu verlieren.

Die Analyse-Schwerpunkte im Rahmen der secion Social Engineering Überprüfung untergliedern sich in mehrere Phasen, die von unseren IT-Sicherheitsexperten stets individuell an die Gegebenheiten Ihres Unternehmens angepasst werden.

In der 1. Phase steht die vorbereitende Informationsgewinnung – online und / oder vor Ort. Diese Vorab-Recherche erfolgt auf Basis öffentlich verfügbarer Datenquellen bzw. Daten aus sozialen Netzwerken: Gebäude- und Lagesichtung durch Nutzung von Online-Karten sowie Identifikation von Ziel-Mitarbeitern stehen hierbei im Mittelpunkt.

Bei der Social Engineering Informationsgewinnung vor Ort überprüfen wir die Sicherheit von physischen Zutrittsmöglichkeiten des Unternehmensgebäudes und dessen Räumlichkeiten von innen. Auch Netzwerkzugänge an niedrig frequentierten Orten werden von uns ausgespäht und protokolliert.

In der 2. Phase der aktiven Informationsgewinnung verschaffen sich unsere IT-Sicherheitsexperten unter Angabe falscher Identitäten Zutritt in Ihr Firmengebäude mit dem Ziel, Unternehmensinterna durch Abfotografieren und gezieltes Ansprechen von Mitarbeitern zu gewinnen.

Um PC-Zugriffe zu erlangen, werden weiterführende verschiedene Arten des Social Engineering angewendet, beispielsweise diskretes Platzieren von 1-2 Keylogger, Netzwerksniffer o.ä. Aber auch mit der sogenannte Candy Drop Methode lassen sich Social Engineering Sicherheitslücken aufdecken: hierunter fällt die bewusste Platzierung von Malware-infizierten Speichermedien (USB-Sticks, CDs, Speicherkarten etc.) auf dem Betriebsgelände.

Auch Phishing-Methoden machen sich unsere IT-Sicherheitsexperten im Rahmen des secion Social Engineering Audits zunutze. Die Attacken werden per Telefon, E-Mail oder auf postalischem Weg ausgeführt, um Ihnen einen Überblick zu geben, wie viele Empfänger bei einem realen Angriff diese Anfragen bearbeitet hätten.

Fazit: Die Sensibilisierung von Mitarbeitern für die Gefahren solcher indirekten Cyberangriffe und Richtlinien für den Umgang mit nicht vertrauenswürdigen Quellen sind unerlässlich.

Das secion Social Engineering Audit liefert Ihnen ein valides Bild der Wirksamkeit von physischen und organisatorischen Sicherheitsmechanismen Ihres Unternehmens. Vorhandene Sicherheitslücken werden enttarnt und konkrete Handlungsempfehlungen für deren Beseitigung geliefert. Ferner wird das Bewusstsein für die tatsächlich vorhandenen Sicherheitsrisiken unter Ihren Mitarbeitern und deren Sicherheitssensibilisierung durch eine Schulung nachhaltig gestärkt.

Gerne beraten wir Sie zur Durchführung eines Social Engineering Audits in Ihrem Unternehmen. Sie erreichen uns unter 040-38 90 71-0 oder über unser Kontaktformular rechts.

* Der Betrieb Nr. 2 vom 15.01.2016: Arbeitsrechtliche Aspekte von Social Engineering Audits