Social Engineering - Der Mensch als Firewall

Awareness-Schulungen gegen Social-Engineering

Eine Awareness-Schulung teilt sich je nach Grösse der Organisation in drei Schulungsstufen. Die erste Stufe bilden die Mitarbeiter. Die zweite Stufe umfasst das Management und andere Informations- oder Geheimnisträger wie Chief Information Security Officer oder IT-Sicherheitsbeauftragter. Die dritte Stufe ist die IT-Operation – auch wenn diese ausgelagert ist. Die Awareness-Schulung unterscheidet sich für jede Stufe, damit sie die indi­viduellen Bedürfnisse in der Bekämpfung von Social-Engineering-Attacken optimal abdeckt. Als Grundlage dienen entweder eine Schwachstellenanalyse (SE-Audit) oder definierte Kernelemente im Kontext der Organisation, zum Beispiel
  • Öffentlicher beziehungsweise digitaler Abdruck der Organisation (Digital Footprint)
     
  • Elemente der physikalischen Sicherheit (Hochsicherheits- oder geheime Standorte)
     
  • Gefahr aus dem Inneren (Insider Threat), Personensicherheitsüberprüfungen, Strafregisterauszüge, Leumund, digitale Reputation, Überprüfen von Zeugnissen/Diplomen
     
  • Anfälligkeit für imitierte Telefonanrufe (Vishing), imitierte Repräsentation (Impersonation), gefälschte E-Mails (Phi­shing), E-Mail-Attachments (Malware), Geschenke wie CD oder Memory-Stick (Baiting)
     
  • Entsorgung digitaler und physikalischer Medien (Dumpster Diving)
     
  • Ist ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27002 vorhanden?
     
  • Öffentliche Profile von Key-Stakeholdern der Organisation (Spearfishing, Whaling)
Die Schulung richtet sich nach der Einstufung der Risiken, wobei der Fokus auf den grössten Risiken liegt. Social Engineering nutzt hauptsächlich Zeitdruck, Hilfsbereitschaft oder Autorität aus.
Hilfreich ist erfahrungsgemäss die Institutionalisierung klarer Kommunikationsregeln und die Definition einer Eskala­tionsstelle - quasi ein digitaler Alarmknopf. Die Awareness-Schulung vermittelt den Mitarbeitern das richtige Verhalten und die zu kontaktierenden Stellen, falls ein Verdacht oder eine ungewohnte Situation eintritt.
Dasselbe gilt natürlich auch für das Management, das sensibilisiert werden muss und die Mitarbeiter ermuntern soll, sich bei einem Verdacht zu melden. Der Chief Information Security Officer (CISO) oder der IT-Sicherheitsbeauftragte muss die entsprechenden Richtlinien und Weisungen erstellen und Social Engineering als Risiko aufnehmen.




Das könnte Sie auch interessieren