Das vorliegende Dokument beinhaltet die Grundlagen des Social Engineering (SE) sowie mögliche Abwehrmechanismen gegen Attacken dieser Art. Im Schulungmodul wird die Vermittlung von SE-Grundlagen und weiterführender Problemkreise des SE angesprochen. Durch zwei Schulungsvideos (hier als Rollenspiele skizziert) werden diese geschult und im anschliessenden Multiple Choice Test vertieft. Zu beachtende kritische Erfolgsfaktoren runden das Dokument ab.
Nachfolgend ein Überblick über die Hauptbestandteile des Dokuments:
Grundlagen des SE: SE ist die Kunst, Schranken durch Ausnützung menschlicher Schwächen zu überwinden. Dies erreicht der SE durch Angst, Betrug, Überredung und Täuschung. Dabei macht er sich z.B. Unkenntnis, Vertrauen oder Sympathie bei seinen Opfern zunutze. Der Mensch als schwaches Glied in der Sicherheitskette, kann einen SE-Angriff nur erkennen, wenn er sich der Gefahr eines solchen bewusst ist und ihm die wichtigsten Angriffsmechanismen bekannt sind. Diese helfen ihm dabei, den Angriff erfolgreich abzuwehren und Schaden abzuwenden.
Im Schulungsmodul wird die Vermittlung von SE-Grundlagen und weiterführender Problemkreise des SE angesprochen. Als Einleitung in die Schulung wird eine kurze, theoretische Abhandlung über die Grundlagen des SE angeboten.
SE-Attacken laufen (beinahe) immer vierstufig ab:
1)Informationssammlung
2)Verschaffen von Zugang zum Zielsystem
3)Ausnutzen des eingerichteten Zugangs
4)Verwischen der Spuren
Die beiden vorliegenden Rollenspiele sind nach diesem Grundmuster aufgebaut. Diese werden zu einem späteren Zeitpunkt als Video realisiert und auf firmeninternen Seite zu Schulungszwecken abspielbar sein.
Rollenspiel 1: Phising Angriff. Anschliessend wird eine neue Mitarbeiterin dazu gebracht, auf Ihrem Rechner Software zu installieren.
Rollenspiel 2: Preisgabe firmeninterner Informationen im öffentlichen Raum. In der zweiten und dritten Angriffsphase bildet die allzu leichtgläubig durchgeführte Personenidentifizierung, sowie die nicht beachtete Clear Desk Policy eine willkommene Einladung zum Informationsdiebstahl.
Vertiefung: Auf die Videos folgt ein Multiple Choice Test. Beim Ankreuzen der falschen Antwort wird der Mitarbeitende im Anschluss an den Test auf die gemachten Fehler und deren Konsequenzen hingewiesen.
Kritische Erfolgsfaktoren (Attraktives Schulungsmodul, gutes Marketing, begleitete Kampagnen) runden das Dokument ab.
Inhaltsverzeichnis
- Management Summary
- 1. Ausgangslage
- 2. Zielsetzung, sachliche Abgrenzung und Vorgehensweise
- 2.1. Zielsetzung
- 2.2. Sachliche Abgrenzung
- 2.3. Vorgehensweise
- 3. Definitionen und Begriffe
- 3.1. Phising
- 3.1.1. Geschickte Tarnung
- 3.1.2. Komplett reproduzierte Seiten
- 3.1.3. Schutzmechanismen
- 3.1. Phising
- 4. Grundlagen des Social Engineering
- 4.1. Was ist Social Engineering
- 4.2. Warum wirkt Social Engineering
- 4.3. Wie wirkt Social Engineering
- 4.4. Psychologische Grundmuster des Social Engineering
- 4.5. Anwendungsgebiete und Gefahren von Social Engineering
- 4.6. Gängige Methoden von Social Engineering Angriffen
- 4.7. Abwehrmechanismen gegen Social Engineering
- 5. Schulungskonzept
- 5.1. Methodik und Didaktik
- 5.2. Grundlagen des Social Engineering vermitteln
- 5.3. Rollenspiele
- 5.3.1. Aufbau der Rollenspiele
- 5.3.2. Interne SE-Attacke
- Szene 1
- Szene 2
- 5.3.3. Externe SE-Attacke
- Szene 1
- Szene 2
- Szene 3
- 6. Erfolgskontrolle
- 6.1. Test
- 7. Kritische Erfolgsfaktoren
- 7.1. Hohe Attraktivität des Schulungsmoduls
- 7.2. Gutes Marketing für das Schulungsmodul
- 7.3. Begleitende Kampagnen
- 8. Schlussfolgerungen
- 9. Danksagung
Zielsetzung und Themenschwerpunkte
Diese Arbeit befasst sich mit dem Thema Social Engineering (SE) und dessen Bedeutung im Kontext der IT-Sicherheit. Ziel ist es, ein Awarenessprogramm zu entwickeln, das Mitarbeiter sensibilisiert und ihnen die notwendigen Kenntnisse vermittelt, um sich vor SE-Angriffen zu schützen.
- Grundlagen des Social Engineering
- Methoden von Social Engineering Angriffen
- Psychologische Aspekte von Social Engineering
- Entwicklung eines Schulungskonzepts
- Kritische Erfolgsfaktoren für ein Awarenessprogramm
Zusammenfassung der Kapitel
Die Arbeit beginnt mit einer Einleitung, die die Ausgangslage und die Zielsetzung des Projekts beschreibt. Anschließend werden wichtige Definitionen und Begriffe im Zusammenhang mit Social Engineering erläutert. Das Kernstück der Arbeit befasst sich mit den Grundlagen des Social Engineering, seinen Anwendungsmöglichkeiten und den Gefahren, die von SE-Angriffen ausgehen.
Ein großer Teil der Arbeit widmet sich der Entwicklung eines Schulungskonzepts, das Mitarbeiter sensibilisiert und ihnen die notwendigen Kenntnisse vermittelt, um sich vor SE-Angriffen zu schützen. Das Konzept beinhaltet eine theoretische Einführung in das Thema Social Engineering, praktische Rollenspiele und einen abschließenden Test zur Erfolgskontrolle. Abschließend werden kritische Erfolgsfaktoren für ein Awarenessprogramm beleuchtet.
Schlüsselwörter
Social Engineering, IT-Sicherheit, Awarenessprogramm, Schulungskonzept, Phishing, Psychologie, Mitarbeiter-Sensibilisierung, Abwehrmechanismen, Angriffsmethoden, kritische Erfolgsfaktoren.
- Quote paper
- Anonym (Author), 2005, Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit , Munich, GRIN Verlag, https://www.grin.com/document/118186
