Security Awareness

Awareness Phasen
Die menschliche Psyche ist zusätzlich zu technischen und organisatorischen Sicherheitsmängeln eines der größten Sicherheitsrisiken im Unternehmen. Ein gut geschulter Mitarbeiterstab kann frühzeitig Angriffsversuche erkennen und so essentiell zur Informationssicherheit im Unternehmen beitragen. Dabei wird durch Security Research gezielt auf die zu schulende Gruppe, wie z.B. Management, Administratoren oder User eingegangen. Eine Security Awareness Schulung kann folgende Punkte beinhalten um die wichtigsten Risikopotentiale in Ihrem Betrieb abzudecken:

Passwortsicherheit

Als Einstieg und begleitend werden vor, zwischen und nach den praxisnahen und interaktiven Modulteilen praxisnah und anschaulich Informationen, Fakten und Statistiken zu Passwort-Security im Allgemeinen und Security Awareness im Speziellen präsentiert.

Passwörter sind für sich allein genommen das schwächste Authentifizierungsverfahren. Gerade deswegen müssen alle Benutzer hinsichtlich der Qualität und Verwendung von Passwörtern sensibilisiert werden.

Folgende Punkte werden im Zuge des Kapitels abgedeckt:

  • Information Gathering: Es wird interaktiv demonstriert, mit welch einfachen Mitteln unter Verwendung von im Internet frei verfügbaren Informationen es ist, Anleitungen zum Passwort Cracking auch von technisch nicht versierten Anwendern zu finden.
  • Enumeration von Passworten: Mittels eines einfachen, selbst entwickelten Programms wird gezeigt, wie schnell z.B. alle möglichen Passworte generiert werden können, die nur aus Ziffern bestehen und wenige Stellen lang sind. Folgende Aspekte werden dabei herausgestrichen:
    • Die Wichtigkeit ausreichend komplexer Passworte, die sowohl eine angemessene Länge als auch mehrere, unterschiedliche Bestandteile aufweisen (z.B. Kleinbuchstaben, Großbuchstaben, Ziffern, Sonderzeichen);
    • Die Wichtigkeit einer Verzögerung nach fehlerhafter Passworteingabe, um Brute-Forcing (das sture Durchprobieren möglicher Passworte) zu vermeiden;
    • Die Wichtigkeit der automatischen Sperrung von Benutzerkonten nach einer bestimmten Anzahl von Passwortfehleingaben.

Awareness Themen

Social Engineering Maßnahmen

Versand eines Phishing Mails an Mitarbeiter

In Abstimmung mit dem Auftraggeber wird an eine ausgewählte Gruppe von Mitarbeitern ein Phishing-Mail versandt, das die Empfänger zur Preisgabe persönlichen Daten wie z.B. Wohnadresse, Benutzerkennung und Passwort auffordert. Das Mail ahmt optimaler Weise im Betrieb vorhandene Mechanismen wie Newsletter nach, um maximale Effektivität zu erzielen. Für den Phishing-Versuch kann auch ein Domainname registriert werden, der offiziellen Domains ähnelt.

Weitere Social Engineering Attacken

Zusätzlich können im Rahmen von Security Awareness Maßnahmen folgende Aktionen durchgeführt werden:

  • Ein Mitarbeiter der Security Research gibt sich am Telefon als interner IT-Support Angestellter aus und versucht mit gezielter Fragetechnik und Coverstory die Herausgabe des persönlichen Passworts.
  • Mitarbeiter der Security Research erfragen im Rahmen einer „wissenschaftlichen Umfrage“ Passwortinformationen eines ausgewählten Benutzerkreises.
  • Mitarbeiter von Security Research versenden präparierte USB-Sticks im Unternehmen an einen ausgewählten Mitarbeiterkreis, als Demonstration für mögliche Verbreitungs¬wege bösartiger Software.