Das vorliegende Dokument beinhaltet die Grundlagen des Social Engineering (SE) sowie mögliche Abwehrmechanismen gegen Attacken dieser Art. Im Schulungmodul wird die Vermittlung von SE-Grundlagen und weiterführender Problemkreise des SE angesprochen. Durch zwei Schulungsvideos (hier als Rollenspiele skizziert) werden diese geschult und im anschliessenden Multiple Choice Test vertieft. Zu beachtende kritische Erfolgsfaktoren runden das Dokument ab.

Nachfolgend ein Überblick über die Hauptbestandteile des Dokuments:
Grundlagen des SE: SE ist die Kunst, Schranken durch Ausnützung menschlicher Schwächen zu überwinden. Dies erreicht der SE durch Angst, Betrug, Überredung und Täuschung. Dabei macht er sich z.B. Unkenntnis, Vertrauen oder Sympathie bei seinen Opfern zunutze. Der Mensch als schwaches Glied in der Sicherheitskette, kann einen SE-Angriff nur erkennen, wenn er sich der Gefahr eines solchen bewusst ist und ihm die wichtigsten Angriffsmechanismen bekannt sind. Diese helfen ihm dabei, den Angriff erfolgreich abzuwehren und Schaden abzuwenden.

Im Schulungsmodul wird die Vermittlung von SE-Grundlagen und weiterführender Problemkreise des SE angesprochen. Als Einleitung in die Schulung wird eine kurze, theoretische Abhandlung über die Grundlagen des SE angeboten.
SE-Attacken laufen (beinahe) immer vierstufig ab:
1)Informationssammlung
2)Verschaffen von Zugang zum Zielsystem
3)Ausnutzen des eingerichteten Zugangs
4)Verwischen der Spuren

Die beiden vorliegenden Rollenspiele sind nach diesem Grundmuster aufgebaut. Diese werden zu einem späteren Zeitpunkt als Video realisiert und auf firmeninternen Seite zu Schulungszwecken abspielbar sein.
Rollenspiel 1: Phising Angriff. Anschliessend wird eine neue Mitarbeiterin dazu gebracht, auf Ihrem Rechner Software zu installieren.
Rollenspiel 2: Preisgabe firmeninterner Informationen im öffentlichen Raum. In der zweiten und dritten Angriffsphase bildet die allzu leichtgläubig durchgeführte Personenidentifizierung, sowie die nicht beachtete Clear Desk Policy eine willkommene Einladung zum Informationsdiebstahl.
Vertiefung: Auf die Videos folgt ein Multiple Choice Test. Beim Ankreuzen der falschen Antwort wird der Mitarbeitende im Anschluss an den Test auf die gemachten Fehler und deren Konsequenzen hingewiesen.
Kritische Erfolgsfaktoren (Attraktives Schulungsmodul, gutes Marketing, begleitete Kampagnen) runden das Dokument ab.

Extrait

Inhaltsverzeichnis

Management Summary
1. Ausgangslage
2. Zielsetzung, sachliche Abgrenzung und Vorgehensweise
- 2.1. Zielsetzung
- 2.2. Sachliche Abgrenzung
- 2.3. Vorgehensweise
3. Definitionen und Begriffe
- 3.1. Phising
  - 3.1.1. Geschickte Tarnung
  - 3.1.2. Komplett reproduzierte Seiten
  - 3.1.3. Schutzmechanismen
4. Grundlagen des Social Engineering
- 4.1. Was ist Social Engineering
- 4.2. Warum wirkt Social Engineering
- 4.3. Wie wirkt Social Engineering
- 4.4. Psychologische Grundmuster des Social Engineering
- 4.5. Anwendungsgebiete und Gefahren von Social Engineering
- 4.6. Gängige Methoden von Social Engineering Angriffen
- 4.7. Abwehrmechanismen gegen Social Engineering
5. Schulungskonzept
- 5.1. Methodik und Didaktik
- 5.2. Grundlagen des Social Engineering vermitteln
- 5.3. Rollenspiele
  - 5.3.1. Aufbau der Rollenspiele
  - 5.3.2. Interne SE-Attacke
    - Szene 1
    - Szene 2
  - 5.3.3. Externe SE-Attacke
    - Szene 1
    - Szene 2
    - Szene 3
6. Erfolgskontrolle
- 6.1. Test
7. Kritische Erfolgsfaktoren
- 7.1. Hohe Attraktivität des Schulungsmoduls
- 7.2. Gutes Marketing für das Schulungsmodul
- 7.3. Begleitende Kampagnen
8. Schlussfolgerungen
9. Danksagung

Zielsetzung und Themenschwerpunkte

Diese Arbeit befasst sich mit dem Thema Social Engineering (SE) und dessen Bedeutung im Kontext der IT-Sicherheit. Ziel ist es, ein Awarenessprogramm zu entwickeln, das Mitarbeiter sensibilisiert und ihnen die notwendigen Kenntnisse vermittelt, um sich vor SE-Angriffen zu schützen.

Grundlagen des Social Engineering
Methoden von Social Engineering Angriffen
Psychologische Aspekte von Social Engineering
Entwicklung eines Schulungskonzepts
Kritische Erfolgsfaktoren für ein Awarenessprogramm

Zusammenfassung der Kapitel

Die Arbeit beginnt mit einer Einleitung, die die Ausgangslage und die Zielsetzung des Projekts beschreibt. Anschließend werden wichtige Definitionen und Begriffe im Zusammenhang mit Social Engineering erläutert. Das Kernstück der Arbeit befasst sich mit den Grundlagen des Social Engineering, seinen Anwendungsmöglichkeiten und den Gefahren, die von SE-Angriffen ausgehen.

Ein großer Teil der Arbeit widmet sich der Entwicklung eines Schulungskonzepts, das Mitarbeiter sensibilisiert und ihnen die notwendigen Kenntnisse vermittelt, um sich vor SE-Angriffen zu schützen. Das Konzept beinhaltet eine theoretische Einführung in das Thema Social Engineering, praktische Rollenspiele und einen abschließenden Test zur Erfolgskontrolle. Abschließend werden kritische Erfolgsfaktoren für ein Awarenessprogramm beleuchtet.

Schlüsselwörter

Social Engineering, IT-Sicherheit, Awarenessprogramm, Schulungskonzept, Phishing, Psychologie, Mitarbeiter-Sensibilisierung, Abwehrmechanismen, Angriffsmethoden, kritische Erfolgsfaktoren.

Fin de l'extrait de 45 pages - haut de page

Résumé des informations

Titre: Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit
Université: University of Applied Sciences Zurich (Wirtschaftsinformatik)
Cours: Projekt Management Seminar
Note: 1,5
Auteur: Anonym (Auteur)
Année de publication: 2005
Pages: 45
N° de catalogue: V118186
ISBN (ebook): 9783640208029
Langue: allemand
mots-clé: Awarenessprogramm Social Engineering Rahmen IT-Sicherheit Projekt Management Seminar
Sécurité des produits: GRIN Publishing GmbH

Citation du texte: Anonym (Auteur), 2005, Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit , Munich, GRIN Verlag, https://www.grin.com/document/118186

Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit