Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit

Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit

Gruppensemesterarbeit der

- Vorgelegtvon: Studiengruppe: WI6A Adressen: -

  Projektseminar Wirtschaftsinformatik:  

  Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit  

  Inhaltsverzeichnis  

Inhaltsverzeichnis   I

  Management Summary  III

1.  Ausgangslage  1

2.  Zielsetzung, sachliche Abgrenzung und Vorgehensweise  2

2.1.  Zielsetzung  2

2.2.  Sachliche Abgrenzung  2

2.3.  Vorgehensweise  3

3.  Definitionen und Begriffe  4

3.1.  Phising  5

3.1.1.  Geschickte Tarnung  5

3.1.2.  Komplett reproduzierte Seiten  5

3.1.3.  Schutzmechanismen  5

4.  Grundlagen des Social Engineering  7

4.1.  Was ist Social Engineering  7

4.2.  Warum wirkt Social Engineering  7

4.3.  Wie wirkt Social Engineering  7

4.4.  Psychologische Grundmuster des Social Engineering  8

4.5.  Anwendungsgebiete und Gefahren von Social Engineering  10

4.6.  Gängige Methoden von Social Engineering Angriffen  11

4.7.  Abwehrmechanismen gegen Social Engineering  14

5.  Schulungskonzept  17

5.1.  Methodik und Didaktik  17

5.2.  Grundlagen des Social Engineering vermitteln  18

  S I G N Lenzerheide 10 12 2005  I

  Projektseminar Wirtschaftsinformatik:  

  Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit  

5.3.  Rollenspiele  19

5.3.1.  Aufbau der Rollenspiele  19

5.3.2.  Interne SE-Attacke  20

  Szene 1  20

  Szene 2  22

5.3.3.  Externe SE-Attacke  23

  Szene 1  23

  Szene 2  25

  Szene 3  27

6.  Erfolgskontrolle  29

6.1.  Test  29

7.  Kritische Erfolgsfaktoren  33

7.1.  Hohe Attraktivität des Schulungsmoduls  33

7.2.  Gutes Marketing für das Schulungsmodul  33

7.3.  Begleitende Kampagnen  33

8.  Schlussfolgerungen  34

9.  Danksagung  35

  Abkürzungsverzeichnis  36

  Literaturverzeichnis  37

  Abbildungsverzeichnis  38

  Endnotenverzeichnis  39

  S I G N Lenzerheide 10 12 2005  II

Management Summary

Das vorliegende Dokument beinhaltet die Grundlagen des Social Engineering (SE) sowie mögliche Abwehrmechanismen gegen Attacken dieser Art. Im Schulungmodul wird die Vermittlung von SE-Grundlagen und weiterführender Problemkreise des SE angesprochen. Durch zwei Schulungsvideos werden diese geschult und im anschliessenden Multiple Choice Test vertieft. Zu beachtende kritische Erfolgsfaktoren runden das Dokument ab.

Nachfolgend ein Überblick über die Hauptbestandteile des Dokuments:

Grundlagen des SE: SE ist die Kunst, Schranken durch Ausnützung menschlicher Schwächen zu überwinden. Dies erreicht der SE durch Angst, Betrug, Überredung und Täuschung. Dabei macht er sich z.B. Unkenntnis, Vertrauen oder Sympathie bei seinen Opfern zunutze. Der Mensch als schwaches Glied in der Sicherheitskette, kann einen SE-Angriff nur erkennen, wenn er sich der Gefahr eines solchen bewusst ist und ihm die wichtigsten Angriffsmechanismen bekannt sind. Diese helfen ihm dabei, den Angriff erfolgreich abzuwehren und Schaden abzuwenden.

Im Schulungsmodul wird die Vermittlung von SE-Grundlagen und weiterführender Problemkreise des SE angesprochen. Als Einleitung in die Schulung wird eine kurze, theoretische Abhandlung über die Grundlagen des SE angeboten.

SE-Attacken laufen (beinahe) immer vierstufig ab:

• Informationssammlung

• Verschaffen von Zugang zum Zielsystem

• Ausnutzen des eingerichteten Zugangs

• Verwischen der Spuren

Die beiden vorliegenden Rollenspiele sind nach diesem Grundmuster aufgebaut. Diese werden zu einem späteren Zeitpunkt als Video realisiert und auf der internen XY SecAP Seite zu Schulungszwecken abspielbar sein.

S I G N Lenzerheide 10.12.2005 III

Im ersten Video (Rollenspiel) wird in der primären Angriffsphase ein Phising-Angriff skizziert. Zielobjekt der zweiten Angriffsphase ist eine neue Mitarbeiterin, welche dazu gebracht wird, auf ihrem Rechner Software zu installieren.

Im zweiten Video (Rollenspiel) wird die Preisgabe firmeninterner Informationen im öffentlichen Raum skizziert. In der zweiten und dritten Angriffsphase bildet die allzu leichtgläubig durchgeführte Personenidentifizierung, sowie die nicht beachtete Clear Desk Policy eine willkommene Einladung zum Informationsdiebstahl.

Vertiefung: Der auf die Videos folgende Multiple Choice Test umfasst zehn spezifische Fragen mit jeweils vier möglichen Antworten. Davon ist eine Antwort korrekt. Beim Ankreuzen der falschen Antwort wird der XY-Mitarbeitende im Anschluss an den Test auf die gemachten Fehler und deren Konsequenzen hingewiesen.

Kritische Erfolgsfaktoren: Unter Berücksichtigung der folgenden kritischen Erfolgsfaktoren kann von einem maximalen Erfolg der Schulungskampagne ausgegangen werden:

• Hohe Attraktiviät des Schulungsmoduls - z.B. durch Einbindung einer Schweizer Persönlichkeit

• Gutes Marketing für das Schulungsmodul - z.B. durch Wettbewerbe

• Begleitende Kampagnen - z.B.durch Drucken und Verteilen der wichtigsten Grundsätze und Abwehrmechanismen gegen SE auf Mausmatten

S I G N Lenzerheide 10.12.2005 IV

1. Ausgangslage

In der XY gibt es einige Faktoren, die einen SE-Angriff begünstigen: Eine grosse Anzahl von Mitarbeitenden, mehrere Gebäude oder Niederlassungen, Angaben über den Verbleib von Mitarbeitern auf dem Voicemail und wenige Sicherheitstrainings.

Bezüglich der Datensicherheit ist der Mensch das schwache Glied der Kette. Firma (XY) ist sich dessen bewusst und hat bereits ein SecAP gestartet.

In einem weiteren Schritt dieses Programms soll bei allen Mitarbeitenden ein ausgeprägtes Verständnis für die Problematik des SE geschaffen werden. Das bisherige Wissen über IT-Security und SE soll gefestigt und das Bewusstsein im Hinblick auf SE soll verstärkt werden. Die Grundlage hierfür muss im folgenden Dokument erarbeitet werden.

Das Dokument soll kurz und prägnant in leicht verständlicher Sprache geschrieben sein.

S I G N Lenzerheide 05.11.2008 Seite 1 von 45

2. Zielsetzung, sachliche Abgrenzung und Vorgehensweise

2.1. Zielsetzung

Ziel dieses Dokuments ist es, aufzuzeigen, wie das XY Personal in die Grundlagen des SE eingeführt werden kann. Die Grundlagen zu SE werden durch anschauliche Videos (Rollenspiel) illustriert. Dadurch soll ein Bewusstsein geschaffen werden, welches den Grundstein für die Abwehr gegen SE-Attacken legt. Die gewonnenen Erkenntnisse werden durch einen Multiple Choice Test vertieft.

2.2. Sachliche Abgrenzung

Es wird ausschliesslich auf die Grundlagen des SE und deren Abwehrmechanismen eingegangen. Auf die organisatorischen, sowie die technischen Mittel und Möglichkeiten von Hackerangriffen wird nicht eingegangen.

Nachfolgende Grafik dient zur Veranschaulichung der Mittel des Hackers.

Abbildung 1 - Mittel des Hackers

Die Grundlagen, sowie die folgenden Problemkreise des SE werden durch das Schulungsmodul angesprochen: Phising, Personenauthentifizierung, Informationsbeschaffung, physischer Gebäudezugang, Clear Desk Policy, Installation von unbekannter Software, Druck aufsetzen, Androhung negativer Konsequenzen bei Nicht-Kooperation, Name Dropping, Verwenden von Insiderjargon und Fachterminologie.

Zu einem späteren Zeitpunkt müssen weiterführende Schwerpunkte durch die XY festgelegt und entsprechend die Videos (Rollenspiele), sowie der Test angepasst werden.

S I G N Lenzerheide 05.11.2008 Seite 2 von 45

Folgende Punkte werden nicht behandelt:

• Die Transformation der Rollenspiele in Videos.

• Die Layout der SecAP Seite

• Spezifische Problemkreise und Zielgruppen der Schulung

2.3. Vorgehensweise

In einem ersten Schritt wurden die Grundlagen des SE erarbeitet, danach folgten die Konzeption des Schulungsmoduls und die Erstellung der beiden Rollenspiele. Abgerundet wurde das Konzept durch einen Multiple Choice Test, welcher als Lernkontrolle dienen wird. Das vorliegende Dokument beinhaltet die konsolidierten Informationen aus diesen Einzeldokumenten.

S I G N Lenzerheide 05.11.2008 Seite 3 von 45