Nach den Veröffentlichungen der NSA Dokumente durch Edward J.Snowden im Mai 2013 wurde die Informationssicherheit über Nacht zum publikumstauglichen Thema. Veröffentlichungen aller Arten befassten sich von Stund an mit der Frage, wie Privatsphäre geschützt werden könne. Dabei gab es zwei Schlagwörter, die zusammenfassend für alle Gefahren in einer zunehmend digitalisierten Welt verwendet wurden: Advanced Persistent Threat (APT) und Social Engineering (SE). Zu Beginn dieser Arbeit werden diese Begriffe erläutert und differenziert.
Anschließend wird analysiert, ob es Standardmaßnahmen gegen Social Engineering gibt und ob bzw. wie die Wirksamkeit solcher Maßnahmen gemessen werden kann. Dazu werden im ersten Schritt unter Berücksichtigung des Grundschutzkatalogs des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und einer Journal Impact Analyse Standardmaßnahmen gegen Social Engineering entwickelt. Anschließend werden ausgewählte Frameworks analysiert, die sich entweder mit Erfolgsmessung in der Informationstechnologie im Allgemeinen oder in der Informationssicherheit im Speziellen befassen.
Inhaltsverzeichnis
1. Einleitung
2. Grundlagen
2.1. Advanced Persistent Threats: Die neue Bedrohung
2.2. Social Engineering: Der Mensch im Mittelpunkt
2.2.1. Eigenschaften von Social Engineering
2.2.2. Beispielfall: Die feindliche Firmenübernahme
2.2.3. Kevin Mitnick - Der bis heute bekannteste Social Engineer
2.2.4. Social Engineering Methoden und deren Typisierung
2.3. Standards und Standardmaßnahmen
2.3.1. Begriffsherkunft und Eigenschaften von Standards
2.3.2. Anforderungen an Standardmaßnahmen
3. Standardmaßnahmen gegen Social Engineering
3.1. Maßnahmen gegen Social Engineering
3.1.1. Maßnahmen gegen Social Engineering und deren Typisierung
3.1.2. Übereinstimmungsanalyse zum BSI-Grundschutz
3.1.3. Journal Impact Analyse
3.1.4. Definition von Standardmaßnahmen
3.2. Eigenschaften der Standardmaßnahmen gegen Social Engineering
3.2.1. Öffentliche Netzzugänge
3.2.2. Rechtevergabe auf Bedarfsbasis
3.2.3. Regelmäßige Awareness Trainings
3.2.4. Protokollierung des Datenverkehrs
3.2.5. Zentrale Meldestelle bei Angriffsverdacht
3.2.6. Notfallplan
4. Frameworks zur Wirksamkeitsmessung in der Informationstechnik
4.1. ISO/IEC 27004:2009
4.2. ISO/IEC 15408:2009
4.3. ISO/IEC 21827:2008
4.4. FIPS 140-2
4.5. NIST SP 800-55 Revision 1
5. Gegenüberstellung der Frameworks
6. Fazit
Zielsetzung & Themen
Die vorliegende Arbeit untersucht die Wirksamkeit und Messbarkeit von Standardmaßnahmen gegen Social Engineering. Ziel ist es, übliche Maßnahmen zu definieren und zu analysieren, wie deren Erfolg im Bereich der Informationssicherheit innerhalb von Unternehmen evaluiert werden kann.
- Grundlagen von Advanced Persistent Threats und Social Engineering
- Entwicklung und Typisierung von Standardmaßnahmen
- Übereinstimmungsanalyse mit dem BSI-Grundschutz
- Journal Impact Analyse zur Verbreitung von Sicherheitsmaßnahmen
- Evaluierung von Frameworks zur Wirksamkeitsmessung (z.B. ISO/IEC 27004, NIST SP 800-55)
Auszug aus dem Buch
2.2.2. Beispielfall: Die feindliche Firmenübernahme
In der Mitte des Sommerquartals veranstaltet ein börsennotiertes Großunternehmen aus der Automobilbranche ein Sommerfest für Mitarbeiter, Freunde und Familien. Bisher wurden solide Gewinne erwirtschaftet und so herrscht ausgelassene Stimmung. Alle freuen sich schon jetzt auf die Verkündung der Geschäftszahlen am Quartalsende und die damit verbundenen erwarteten Kursgewinne, da das Vergütungsmodell der Firma unter anderem eine Aktienoption umfasst. Am späten Abend wird der Chief Financial Officer (CFO) von einer jungen Frau in ein Gespräch verwickelt. Sie gibt sich als Mitarbeiterin der Marketingabteilung aus und zeigt sich interessiert an seiner Arbeit. Da sie einen Firmenausweis trägt besteht kein Grund dazu, ihre Geschichte anzuzweifeln. Nach einem langen Gespräch verleiht sie ihrem Wunsch Ausdruck, sein Büro zu besichtigen. Während der Besichtigung erhält er einen Anruf von einem wichtigen Kunden und lässt sie für kurze Zeit alleine in seinem Büro zurück. Nach seiner Rückkehr verabschiedet sie sich mit der Begründung, dass ihr Kind zu Hause warte und verspricht, sich bald zu melden. Am nächsten Tag macht sich der CFO Gedanken darüber, dass er die Frau in seinem Büro alleine gelassen hat. Da aber nichts fehlt und keine weiteren Konsequenzen auftreten, vergisst er die Begegnung. Kurz vor Quartalsende setzen dann plötzlich anhaltende Leerverkäufe ein. Bis zu diesem Zeitpunkt waren die Kurse konstant geblieben, da die steigenden Gewinne aus dem ersten Halbjahr noch nicht veröffentlicht worden waren. Nachdem der Kurs auf ein historisches Tief gesunken ist, übernimmt eine Investorengruppe die Firma. Was ist geschehen?
Die junge Frau war ein von der Investorengruppe angeheuerter Social Engineer mit dem Auftrag, die aktuellen Geschäftszahlen des Unternehmens zu beschaffen. Nachdem sie über den XING-Auftritt des Unternehmens von dem Sommerfest erfahren hatte, benötigte sie einen Unternehmensausweis, um sich glaubwürdig als Mitarbeiterin ausgeben zu können. Daher verbrachte sie einige Mittagspausen in Cafés und Restaurants im Umkreis der Hauptniederlassung und machte versteckte Aufnahmen von Mitarbeitern, die Ihre Ausweise offen trugen. Einen authentisch-aussehenden Ausweis mit Photoshop nachzubilden war dann kein Problem mehr. Am Abend des Sommerfestes erreichte sie das Firmengelände spät und sprach nach einiger Zeit gezielt den CFO an. Seinen Namen hatte sie zuvor von der Unternehmenswebsite erfahren und hatte sich anschließend über sein Facebook-Profil ein Bild von seinem Charakter und seinen Vorlieben gemacht.
Zusammenfassung der Kapitel
1. Einleitung: Diese Einleitung führt in die Problematik von Social Engineering ein, erläutert die Relevanz der Untersuchung im Kontext von Advanced Persistent Threats und stellt das methodische Vorgehen der Arbeit vor.
2. Grundlagen: Hier werden die Begriffe Advanced Persistent Threat (APT) und Social Engineering (SE) definiert sowie Standards und die Anforderungen an Standardmaßnahmen erläutert.
3. Standardmaßnahmen gegen Social Engineering: In diesem Kapitel werden Maßnahmen identifiziert, typisiert und mittels einer Übereinstimmungsanalyse zum BSI-Grundschutz sowie einer Journal Impact Analyse bewertet, um eine fundierte Definition von Standardmaßnahmen zu ermöglichen.
4. Frameworks zur Wirksamkeitsmessung in der Informationstechnik: Verschiedene internationale Frameworks zur Messung von Wirksamkeit in der IT-Sicherheit werden vorgestellt und auf ihre Anwendbarkeit zur Messung von Standardmaßnahmen untersucht.
5. Gegenüberstellung der Frameworks: Dieses Kapitel vergleicht die untersuchten Frameworks systematisch hinsichtlich ihrer Eignung zur Messung der identifizierten Standardmaßnahmen.
6. Fazit: Das Fazit fasst die Ergebnisse zusammen, beantwortet die Forschungsfrage zur Messbarkeit von Wirksamkeit und gibt einen Ausblick auf künftige Entwicklungen im Bereich der Erfolgsmessung bei Social Engineering Abwehrmaßnahmen.
Schlüsselwörter
Advanced Persistent Threat, Social Engineering, Standardmaßnahmen, Messbarkeit, Wirksamkeit, ISO/IEC 27004:2009, ISO/IEC 15408:2009, ISO/IEC 21827:2008, FIPS 140-2, NIST SP 800-55 Revision 1, Informationssicherheit, Risikomanagement, Sicherheitskultur, Unternehmenssicherheit, BSI-Grundschutz
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Bachelor-Arbeit beschäftigt sich mit der Identifikation und Messbarkeit von Standardmaßnahmen zum Schutz vor Social Engineering in Unternehmen, besonders vor dem Hintergrund der Bedrohung durch Advanced Persistent Threats (APTs).
Was sind die zentralen Themenfelder der Arbeit?
Die Arbeit behandelt die Begriffe APT und Social Engineering, die Entwicklung von Maßnahmenkatalogen, die Sicherheitsvorgaben des BSI-Grundschutzes sowie die Anwendbarkeit internationaler IT-Frameworks zur Erfolgsmessung.
Was ist das primäre Ziel oder die Forschungsfrage?
Das primäre Ziel ist es zu ermitteln, ob es übliche Schutzmaßnahmen gegen Social Engineering gibt und wie Unternehmen deren Wirksamkeit objektiv messen und bewerten können.
Welche wissenschaftlichen Methoden werden verwendet?
Die Autorin nutzt eine Kombination aus Literaturanalyse, einer Übereinstimmungsanalyse mit dem BSI-Grundschutz-Katalog sowie eine Journal Impact Analyse, um relevante Standardmaßnahmen zu definieren und ihre Wirksamkeit zu verifizieren.
Was wird im Hauptteil der Arbeit behandelt?
Im Hauptteil werden zunächst Methoden des Social Engineering klassifiziert, anschließend 39 spezifische Schutzmaßnahmen abgeleitet und mittels verschiedener Frameworks wie ISO/IEC 27004 oder NIST SP 800-55 auf ihre Messbarkeit hin untersucht.
Welche Schlüsselwörter charakterisieren die Arbeit am besten?
Zentrale Begriffe sind Social Engineering, Advanced Persistent Threat (APT), Standardmaßnahmen, Informationssicherheit, BSI-Grundschutz und Wirksamkeitsmessung.
Wie spielt das "Candy Security"-Konzept in die Argumentation hinein?
Das Konzept beschreibt das Problem einer harten äußeren Sicherheitsbarriere bei gleichzeitig weichem Kern, was es Social Engineers erleichtert, nach einem physischen Eindringen frei zu agieren.
Warum spielt die Person des Social Engineers Kevin Mitnick eine so wichtige Rolle?
Die Veröffentlichungen von Kevin Mitnick dienen als Basis für die Analyse der gängigen Angriffsmethoden, da er als eine der bekanntesten Autoritäten auf diesem Gebiet gilt.
Welche Bedeutung haben die Journal-Impact-Werte für die Definition der Standardmaßnahmen?
Die Häufigkeit der Nennung in Fachveröffentlichungen zwischen 2010 und 2014 dient als Indikator für die allgemeine Anerkennung und regelmäßige Verwendung einer Maßnahme in der Praxis.
- Citation du texte
- Sebastian Krüsmann (Auteur), 2014, Wirksamkeit von Standardmaßnahmen gegen Social Engineering, Munich, GRIN Verlag, https://www.grin.com/document/502136
