Social Engineering Assessments

Professionelle Industriespionage läuft oft über physische Angriffe oder Insider, auch wenn das Ziel im Cyber Space liegt. Dennoch wird dieser Angriffsvektor oft unterschätzt.

Dieses Video wird beim Abspielen von YouTube geladen. Mit dem Abspielen akzeptieren Sie die Datenschutzerklärungen von HVS Consulting / IS-FOX und YouTube.

Fragestellung

Könnten Angreifer in einen (Hoch-)Sicherheitsbereich eindringen? Könnten Sie die Produktion sabotieren oder Betriebsgeheimnisse stehlen? Wie verhalten sich die Mitarbeiter bei solchen Social Engineering Angriffen?

Umsetzung

Wir definieren das Bedrohungsszenario, überlegen uns Angriffswege, bei denen Mitarbeiter im Fokus stehen und führen die Angriffe vor Ort durch. Das Ziel, das wir erreichen sollen, kann aber durchaus auch der Zugriff auf IT-Ressourcen sein.

Ergebnis

Sie erhalten eine ausführliche Dokumentation der Angriffe mit identifizierten Schwachstellen und einem Benchmark zum Industriestandard. Und sehr viel Security Awareness in der Geschäftsleitung bei der Management-Präsentation.

Social Engineering: Angriffe über unerwartete Wege

Viele Unternehmen schützen sich schwerpunktmäßig gegen Angriffe aus dem Cyber Space, indem sie ihre Systeme absichern, Security Monitoring aufbauen und ihre Mitarbeiter für Phishing-E-Mails sensibilisieren.

Angreifer können aber auch unerwartete Wege einschlagen, abhängig von ihrer Motivation und ihren Möglichkeiten: Vor Ort kommt man als Angreifer spielend leicht an interne Informationen und wenn es kompliziert werden sollte, kann man einfach nachfragen.

Manipulation von Menschen durch Ausnutzung psychologischer Tricks nennt man Social Engineering. Wir kundschaften Ihren Standort aus und beobachten die Unternehmenskultur. Wir wechseln geschickt die Verkleidung und Identität, verschaffen uns durch Tailgaiting oder Lock-Picking (Schlößer knacken) Zutritt und legen infizierte USB-Sticks aus. Wir verteilen als IT-Mitarbeiter neue Tastaturen mit Keylogger oder fragen gleich direkt nach dem Passwort - natürlich immer mit einem plausiblen Grund. Da unsere Social Engineers auch gute Hacker sind, nutzen wir die vor Ort gewonnen Informationen, um Ihre IT zu missbrauchen, eigene Zutrittsberechtigungen auszustellen oder weitere Besucher anzumelden.

In den vergangenen 20 Jahren haben wir in Social Engineering Assessments Prototypen gestohlen, sind in abgeschottete Forschungsbereiche eingedrungen, haben Wanzen im CEO Büro platziert oder Bombenattrappen in Hochsicherheitsrechenzentren geschmuggelt. Alles im Kundenauftrag, immer auf der guten Seite der Macht.

Nutzen von Social Engineering Assessments

Top-Management Sensibilisierung

Die Ergebnisse eines Social Engineering Assessments sind sehr gut geeignet, um das Top-Management zum Thema Security zu sensibilisieren, weil die Risiken sehr greifbar sind und eine hohe persönliche Betroffenheit erzeugen. Wenn Ihr CEO seine eigene Zielvereinbarung in der Ergebnispräsentation sieht, wird Security zur Chefsache. Versprochen!

Messung Ihrer physischen Sicherheit

Sie bekommen einen sehr realitätsnahen Eindruck, ob Ihre physischen Sicherheitsmaßnahmen wirksam sind und wie Ihre Mitarbeiter in der Praxis auf Manipulationsversuche reagieren. Wir decken durch die Kombination von Hacking und Social Engineering Schwachstellen in als sicher erachteten Zutrittsprozessen auf und liefern viele Optimierungsvorschläge.

Konvergenz von Corporate- und IT-Security

Social Engineering Assessments schaffen sehr häufig einen Perspektivwechsel, weg von IT-Sicherheit in der einen und physischer Sicherheit in der anderen Ecke, hin zu einem verzahnten, ganzheitlichen Ansatz von Informationssicherheit (neu-deutsch "Cyber-Security"). Das mündet häufig in einer konstruktiven Vernetzung dieser beiden wichtigen Security-Disziplinen.

Erfolgsfaktoren

Entscheidend für ein erfolgreiches Assessment ist eine gute Vorbereitung. Ein kleiner Fehler und die Lage kann außer Kontrolle geraten oder wir fliegen auf und müssen aufhören. Dann hätten wir viel Zeit und Mühe für einen geringen Erkenntnisgewinn investiert.

Deswegen bereiten wir das Assessment zusammen mit Ihnen gründlich vor:

Wir definieren Ziele, die gleichzeitig herausfordernd, aber auch realistisch sind und Betroffenheit erzeugen. Das steigert die Akzeptanz für abgeleitete Maßnahmen.
Der Kreis der Informierten muss gut überlegt sein, die Lage darf weder eskalieren, noch darf es zu viele Eingeweihte geben.
Wichtig sind auch klar definierte Spielregeln und Grenzen. Sie behalten während des gesamten Assessments die Kontrolle und sind jederzeit über unsere Schritte informiert. Sie können "No Gos" definieren und einzelne Aktionen stoppen.
Wir achten ethische Grundsätze: Angriffe auf der Beziehungsebene sind für uns ein absolutes Tabu, genauso wie eine persönliche Bloßstellung einzelner Beteiligter.

Die Phasen eines Social Engineerings

Vorbereitung

Termin zur Abstimmung des Scopes
Kick-Off-Meeting

Durchführung

Workshop zur Definition der konkreten Ziele und Spielregeln
Informationsrecherche (HUMINT, OSINT, "Vor-Ort Begehung")
Angriffsplanung und Vorbereitung
Durchführung des Angriffs mit physischen Angriffen und Social Engineering und ggf. Hacking
Regelmäßige Status Meetings

Auswertung

Anschauliche Dokumentation des Angriffspfads
Replay-Workshop mit dem Projekt Team
Management Präsentation

Social Engineering

Spear-Phishing
Phishing Anrufe (Vishing)
Gefälschte Ausweise
Verkleidungen
Einschleusen von Mitarbeitern (über Bewerbungen)
Tailgating
...

Physische Tools

Lock Picking
Keylogger
Wanzen
Dropbox mit mobilem Internet (Remotezugang/Exfiltration)
Screen Grabber
präparierte USB Sticks
...

Wollen Sie wissen, wie gut Sie gegen einen "Besuch" durch uns gewappnet sind?

Lassen Sie uns in einem Webmeeting kennenlernen und über Ihre Zielsetzungen sprechen.

Ja, ich bin interessiert!