Projektarbeit

Awarenessprogramm Social Engineering

im Rahmen der IT-Sicherheit

---

Projektseminar Wirtschaftsinformatik:

Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit

Projektseminar Wirtschaftsinformatik

Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit

Gesamtdokumentation

Gruppensemesterarbeit der

Eingereicht bei:

-

Im Auftrag von:

--

Vorgelegt von:

-

Studiengruppe:

WI6A

Adressen:

-

---

Projektseminar Wirtschaftsinformatik:

Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit

Inhaltsverzeichnis

Inhaltsverzeichnis I

Management Summary III

1.

Ausgangslage 1

2.

Zielsetzung, sachliche Abgrenzung und Vorgehensweise 2

2.1. Zielsetzung 2

2.2. Sachliche Abgrenzung 2

2.3. Vorgehensweise 3

3.

Definitionen und Begriffe 4

3.1. Phising 5

3.1.1.

Geschickte Tarnung 5

3.1.2.

Komplett reproduzierte Seiten 5

3.1.3.

Schutzmechanismen 5

4.

Grundlagen des Social Engineering 7

4.1. Was ist Social Engineering 7

4.2. Warum wirkt Social Engineering 7

4.3. Wie wirkt Social Engineering 7

4.4. Psychologische Grundmuster des Social Engineering 8

4.5. Anwendungsgebiete und Gefahren von Social Engineering 10

4.6. Gängige Methoden von Social Engineering Angriffen 11

4.7. Abwehrmechanismen gegen Social Engineering 14

5.

Schulungskonzept 17

5.1. Methodik und Didaktik 17

5.2. Grundlagen des Social Engineering vermitteln 18

S I G N

Lenzerheide 10.12.2005

I

---

Projektseminar Wirtschaftsinformatik:

Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit

5.3. Rol enspiele 19

5.3.1.

Aufbau der Rol enspiele 19

5.3.2.

Interne SE-Attacke 20

Szene 1 20

Szene 2 22

5.3.3.

Externe SE-Attacke 23

Szene 1 23

Szene 2 25

Szene 3 27

6.

Erfolgskontrolle 29

6.1. Test 29

7.

Kritische Erfolgsfaktoren 33

7.1. Hohe Attraktivität des Schulungsmoduls 33

7.2. Gutes Marketing für das Schulungsmodul 33

7.3. Begleitende Kampagnen 33

8.

Schlussfolgerungen 34

9.

Danksagung 35

Abkürzungsverzeichnis 36

Literaturverzeichnis 37

Abbildungsverzeichnis 38

Endnotenverzeichnis 39

S I G N

Lenzerheide 10.12.2005

II

---

Projektseminar Wirtschaftsinformatik:

Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit

Management Summary

Das vorliegende Dokument beinhaltet die

Grundlagen des Social Engineering (SE)

sowie mögliche Abwehrmechanismen gegen Attacken dieser Art. Im

Schulungmodul

wird die Vermittlung von SE-Grundlagen und weiterführender Problemkreise des SE

angesprochen. Durch zwei Schulungsvideos werden diese geschult und im

anschliessenden

Multiple Choice Test

vertieft. Zu beachtende

kritische Erfolgsfaktoren

runden das Dokument ab.

Nachfolgend ein Überblick über die Hauptbestandteile des Dokuments:

Grundlagen des SE:

SE ist die Kunst, Schranken durch Ausnützung menschlicher

Schwächen zu überwinden. Dies erreicht der SE durch Angst, Betrug, Überredung und

Täuschung. Dabei macht er sich z.B. Unkenntnis, Vertrauen oder Sympathie bei seinen

Opfern zunutze. Der Mensch als schwaches Glied in der Sicherheitskette, kann einen

SE-Angriff nur erkennen, wenn er sich der Gefahr eines solchen bewusst ist und ihm

die wichtigsten Angriffsmechanismen bekannt sind. Diese helfen ihm dabei, den Angriff

erfolgreich abzuwehren und Schaden abzuwenden.

Im

Schulungsmodul

wird die Vermittlung von SE-Grundlagen und weiterführender

Problemkreise des SE angesprochen. Als Einleitung in die Schulung wird eine kurze,

theoretische Abhandlung über die Grundlagen des SE angeboten.

SE-Attacken laufen (beinahe) immer vierstufig ab:

· Informationssammlung

· Verschaffen von Zugang zum Zielsystem

· Ausnutzen des eingerichteten Zugangs

· Verwischen der Spuren

Die beiden vorliegenden Rol enspiele sind nach diesem Grundmuster aufgebaut. Diese

werden zu einem späteren Zeitpunkt als Video realisiert und auf der internen XY SecAP

Seite zu Schulungszwecken abspielbar sein.

S I G N

Lenzerheide 10.12.2005

III

---

Projektseminar Wirtschaftsinformatik:

Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit

Im ersten Video (Rol enspiel) wird in der primären Angriffsphase ein Phising-Angriff

skizziert. Zielobjekt der zweiten Angriffsphase ist eine neue Mitarbeiterin, welche dazu

gebracht wird, auf ihrem Rechner Software zu instal ieren.

Im zweiten Video (Rol enspiel) wird die Preisgabe firmeninterner Informationen im

öffentlichen Raum skizziert. In der zweiten und dritten Angriffsphase bildet die al zu

leichtgläubig durchgeführte Personenidentifizierung, sowie die nicht beachtete Clear

Desk Policy eine wil kommene Einladung zum Informationsdiebstahl.

Vertiefung:

Der auf die Videos folgende Multiple Choice Test umfasst zehn spezifische

Fragen mit jeweils vier möglichen Antworten. Davon ist eine Antwort korrekt. Beim

Ankreuzen der falschen Antwort wird der XY-Mitarbeitende im Anschluss an den Test

auf die gemachten Fehler und deren Konsequenzen hingewiesen.

Kritische Erfolgsfaktoren:

Unter Berücksichtigung der folgenden kritischen

Erfolgsfaktoren kann von einem maximalen Erfolg der Schulungskampagne

ausgegangen werden:

· Hohe Attraktiviät des Schulungsmoduls ­ z.B. durch Einbindung einer Schweizer

Persönlichkeit

· Gutes Marketing für das Schulungsmodul ­ z.B. durch Wettbewerbe

· Begleitende Kampagnen ­ z.B.durch Drucken und Verteilen der wichtigsten

Grundsätze und Abwehrmechanismen gegen SE auf Mausmatten

S I G N

Lenzerheide 10.12.2005

IV

---

Projektseminar Wirtschaftsinformatik:

Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit

1.

Ausgangslage

In der XY gibt es einige Faktoren, die einen SE-Angriff begünstigen: Eine grosse Anzahl

von Mitarbeitenden, mehrere Gebäude oder Niederlassungen, Angaben über den

Verbleib von Mitarbeitern auf dem Voicemail und wenige Sicherheitstrainings.

Bezüglich der Datensicherheit ist der Mensch das schwache Glied der Kette.

Firma

(XY) ist sich dessen bewusst und hat bereits ein SecAP gestartet.

In einem weiteren Schritt dieses Programms sol bei al en Mitarbeitenden ein

ausgeprägtes Verständnis für die Problematik des SE geschaffen werden. Das

bisherige Wissen über IT-Security und SE sol gefestigt und das Bewusstsein im

Hinblick auf SE sol verstärkt werden. Die Grundlage hierfür muss im folgenden

Dokument erarbeitet werden.

Das Dokument sol kurz und prägnant in leicht verständlicher Sprache geschrieben

sein.

S I G N

Lenzerheide 05.11.2008

Seite 1 von 45

---