Das vorliegende Dokument beinhaltet die Grundlagen des Social Engineering (SE) sowie mögliche Abwehrmechanismen gegen Attacken dieser Art. Im Schulungmodul wird die Vermittlung von SE-Grundlagen und weiterführender Problemkreise des SE angesprochen. Durch zwei Schulungsvideos (hier als Rollenspiele skizziert) werden diese geschult und im anschliessenden Multiple Choice Test vertieft. Zu beachtende kritische Erfolgsfaktoren runden das Dokument ab.
Nachfolgend ein Überblick über die Hauptbestandteile des Dokuments:
Grundlagen des SE: SE ist die Kunst, Schranken durch Ausnützung menschlicher Schwächen zu überwinden. Dies erreicht der SE durch Angst, Betrug, Überredung und Täuschung. Dabei macht er sich z.B. Unkenntnis, Vertrauen oder Sympathie bei seinen Opfern zunutze. Der Mensch als schwaches Glied in der Sicherheitskette, kann einen SE-Angriff nur erkennen, wenn er sich der Gefahr eines solchen bewusst ist und ihm die wichtigsten Angriffsmechanismen bekannt sind. Diese helfen ihm dabei, den Angriff erfolgreich abzuwehren und Schaden abzuwenden.
Im Schulungsmodul wird die Vermittlung von SE-Grundlagen und weiterführender Problemkreise des SE angesprochen. Als Einleitung in die Schulung wird eine kurze, theoretische Abhandlung über die Grundlagen des SE angeboten.
SE-Attacken laufen (beinahe) immer vierstufig ab:
1)Informationssammlung
2)Verschaffen von Zugang zum Zielsystem
3)Ausnutzen des eingerichteten Zugangs
4)Verwischen der Spuren
Die beiden vorliegenden Rollenspiele sind nach diesem Grundmuster aufgebaut. Diese werden zu einem späteren Zeitpunkt als Video realisiert und auf firmeninternen Seite zu Schulungszwecken abspielbar sein.
Rollenspiel 1: Phising Angriff. Anschliessend wird eine neue Mitarbeiterin dazu gebracht, auf Ihrem Rechner Software zu installieren.
Rollenspiel 2: Preisgabe firmeninterner Informationen im öffentlichen Raum. In der zweiten und dritten Angriffsphase bildet die allzu leichtgläubig durchgeführte Personenidentifizierung, sowie die nicht beachtete Clear Desk Policy eine willkommene Einladung zum Informationsdiebstahl.
Vertiefung: Auf die Videos folgt ein Multiple Choice Test. Beim Ankreuzen der falschen Antwort wird der Mitarbeitende im Anschluss an den Test auf die gemachten Fehler und deren Konsequenzen hingewiesen.
Kritische Erfolgsfaktoren (Attraktives Schulungsmodul, gutes Marketing, begleitete Kampagnen) runden das Dokument ab.
Inhaltsverzeichnis
Management Summary
1. Ausgangslage
2. Zielsetzung, sachliche Abgrenzung und Vorgehensweise
2.1. Zielsetzung
2.2. Sachliche Abgrenzung
2.3. Vorgehensweise
3. Definitionen und Begriffe
3.1. Phising
3.1.1. Geschickte Tarnung
3.1.2. Komplett reproduzierte Seiten
3.1.3. Schutzmechanismen
4. Grundlagen des Social Engineering
4.1. Was ist Social Engineering
4.2. Warum wirkt Social Engineering
4.3. Wie wirkt Social Engineering
4.4. Psychologische Grundmuster des Social Engineering
4.5. Anwendungsgebiete und Gefahren von Social Engineering
4.6. Gängige Methoden von Social Engineering Angriffen
4.7. Abwehrmechanismen gegen Social Engineering
5. Schulungskonzept
5.1. Methodik und Didaktik
5.2. Grundlagen des Social Engineering vermitteln
5.3. Rollenspiele
5.3.1. Aufbau der Rollenspiele
5.3.2. Interne SE-Attacke
5.3.3. Externe SE-Attacke
6. Erfolgskontrolle
6.1. Test
7. Kritische Erfolgsfaktoren
7.1. Hohe Attraktivität des Schulungsmoduls
7.2. Gutes Marketing für das Schulungsmodul
7.3. Begleitende Kampagnen
8. Schlussfolgerungen
9. Danksagung
Zielsetzung & Themen
Die Arbeit befasst sich mit der Konzeption eines Awarenessprogramms, um Mitarbeiter für die Gefahren von Social Engineering (SE) zu sensibilisieren. Ziel ist es, durch theoretische Grundlagen, praxisnahe Rollenspiel-Videos und Erfolgskontrollen in Form von Tests das Sicherheitsbewusstsein innerhalb einer Unternehmung (XY) nachhaltig zu stärken und die Mitarbeiter als schwächstes Glied der Sicherheitskette zu befähigen, Angriffe rechtzeitig zu erkennen und abzuwehren.
- Grundlagen und psychologische Wirkungsweise von Social Engineering
- Analyse gängiger Angriffsmethoden wie Phishing und Manipulation
- Entwicklung eines didaktischen Schulungskonzepts für das Selbststudium
- Konzeption von Rollenspielen zur Veranschaulichung von Angriffsszenarien
- Identifikation kritischer Erfolgsfaktoren für eine wirksame Awareness-Kampagne
Auszug aus dem Buch
Psychologische Grundmuster des Social Engineering
Es ist ein natürliches Bedürfnis, sich nach vollkommener Geborgenheit zu sehnen. Leider führt dies viele Menschen dazu, sich in falscher Sicherheit zu wiegen. SEs verfügen über ausgefeilte psychologische Kenntnisse, jeden Menschen in genau dieser scheinbaren Sicherheit wiegen zu lassen. Oft gibt sich ein SE daher als Mitarbeiter aus.
Menschen sind nicht darauf trainiert, grundsätzlich argwöhnisch miteinander umzugehen. Wir haben gelernt, unseren „Nächsten“ zu lieben und uns vertrauensvoll zu begegnen. Die Menschen gehen davon aus, dass sie von anderen nicht getäuscht werden, und gründen dies auf den Glauben, dass die Wahrscheinlichkeit einer Täuschung sehr gering sei. Der Angreifer wiederum berücksichtigt dieses weitverbreitete Wunschdenken und lässt seine Bitte so vernünftig erscheinen, dass diese völlig unverdächtig wirkt, während er gleichzeitig das Vertrauen des Opfers missbraucht.
Zusammenfassung der Kapitel
1. Ausgangslage: Die Arbeit beleuchtet die Sicherheitsrisiken in der Firma XY, bei denen der Mensch als Schwachstelle identifiziert wurde, und begründet die Notwendigkeit eines Awareness-Programms.
2. Zielsetzung, sachliche Abgrenzung und Vorgehensweise: Es wird definiert, dass sich die Arbeit auf Social Engineering-Grundlagen und Abwehrmechanismen konzentriert, während technische Hacking-Aspekte ausgeklammert bleiben.
3. Definitionen und Begriffe: In diesem Kapitel werden zentrale Termini wie Social Engineering, Hacking, Phishing und die Clear Desk Policy präzise definiert, um ein einheitliches Verständnis zu schaffen.
4. Grundlagen des Social Engineering: Dieser Hauptteil analysiert die Mechanismen, psychologischen Hintergründe und Methoden, die Angreifer nutzen, um Vertrauen zu erschleichen und Informationen zu entwenden.
5. Schulungskonzept: Hier wird ein didaktischer Ansatz vorgestellt, der durch die Kombination von theoretischem Wissen, audiovisuellen Rollenspielen und Multiple-Choice-Tests unterschiedliche Lerntypen effektiv anspricht.
6. Erfolgskontrolle: Dieses Kapitel erläutert den Einsatz eines Multiple-Choice-Tests als Lernkontrolle, um den Wissensstand zu überprüfen und Fehlverhalten direkt zu korrigieren.
7. Kritische Erfolgsfaktoren: Es werden Strategien wie die Einbindung prominenter Persönlichkeiten und begleitendes Marketing diskutiert, die für den Erfolg einer Awareness-Kampagne essenziell sind.
8. Schlussfolgerungen: Die Autoren fassen zusammen, dass die Kenntnis über typische psychologische Angriffsmuster die wichtigste Voraussetzung für eine erfolgreiche Gegenwehr der Mitarbeiter ist.
9. Danksagung: Ein kurzes Dankeschön an die Teamkollegen für ihre Unterstützung und ihren Beitrag zum Gelingen der Projektarbeit.
Schlüsselwörter
Social Engineering, IT-Sicherheit, Awarenessprogramm, Phishing, Sicherheitsbewusstsein, Informationssicherheit, Manipulation, Rollenspiel, Schulungskonzept, Angriffsmethoden, Abwehrmechanismen, Vertrauen, Mitarbeiter-Sensibilisierung, Unternehmenskultur, Schutzmechanismen
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit entwickelt ein Awareness-Programm, um Mitarbeiter gegen Social Engineering-Angriffe zu wappnen, bei denen Angreifer menschliche Schwächen ausnutzen, um an vertrauliche Unternehmensinformationen zu gelangen.
Was sind die zentralen Themenfelder der Dokumentation?
Die Schwerpunkte liegen auf der Analyse psychologischer Angriffsmuster, der Definition von Social Engineering-Methoden, der Ausarbeitung eines didaktischen Schulungsmoduls und der Definition von Abwehrstrategien.
Was ist das primäre Ziel oder die Forschungsfrage?
Das Hauptziel besteht darin, das Sicherheitsbewusstsein der Mitarbeiter in der Firma XY durch ein strukturiertes Selbststudium zu stärken, um sie als "letzte Verteidigungslinie" gegen Social Engineering zu befähigen.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit nutzt eine deskriptive Methodik, kombiniert mit einer theoretischen Analyse von Fachliteratur sowie der Konzeption eines praxisnahen, audiovisuellen Schulungsmoduls.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in eine detaillierte Begriffsdefinition, die theoretische Herleitung der psychologischen Angriffsmuster sowie die konkrete Ausarbeitung von Schulungsmaterialien und Rollenspielen.
Welche Schlüsselwörter charakterisieren die Arbeit?
Wichtige Begriffe sind Social Engineering, Awareness, Phishing, IT-Sicherheit, Manipulation und Sicherheitsbewusstsein.
Wie gehen die Rollenspiele konkret vor?
Die Rollenspiele simulieren typische Alltagssituationen wie einen Phishing-Angriff oder einen unberechtigten Gebäudezugang. Am Ende jeder Szene wird das Fehlverhalten durch ein Warnschild und eine Zusammenfassung der korrekten Abwehrmaßnahme (Lessons Learnt) erläutert.
Warum ist das "Schulungskonzept" für die XY Firma so wichtig?
Da Mitarbeiter laut Arbeit als "schwächstes Glied der Sicherheitskette" gelten, ist ein gezieltes Training notwendig, da bisherige IT-Sicherheitsrichtlinien zwar existierten, aber Abwehrmechanismen gegen soziale Angriffe bisher nicht geschult wurden.
- Quote paper
- Anonym (Author), 2005, Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit , Munich, GRIN Verlag, https://www.grin.com/document/118186
