Social Engineering Audits
„Social engineering has become about 75% of an average hacker’s toolkit, and for the most successful hackers, it reaches 90% or more.“
– John McAfee
Grundlegende Frage
Um die für Ihr Unternehmen effektivsten Awareness-Maßnahmen bestimmen zu können, muss vor dem Umsetzen von Maßnahmen der aktuelle Sicherheitsstand innerhalb Ihres Unternehmens bestimmt werden. Was ist also ein sinnvolles Vorgehen, den Sicherheitsstand in Ihrem Unternehmen am besten bestimmen zu können?
Social Engineering Audit – Was ist das genau?
Ermittlung Ihres aktuellen Sicherheitsstands
Mithilfe von Social Engineering Audits bestimmen wir von Awarcos den aktuellen Sicherheitsstand Ihres Unternehmens, um Ihnen in Nachgang einen auf Ihr Unternehmen maßgeschneiderten Awareness-Plan zur bestmöglichen Sensibilisierung Ihrer Mitarbeiter bieten zu können. Die Ermittlung des Sicherheitsstands umfasst das Erkennen von aktuellen Schwachstellen sowie organisatorische als auch infrastrukturelle Gegebenheiten Ihres Unternehmens.
Vorgehen und Ablauf
Unsere Auditoren nehmen für die Durchführung der Audits die Rolle eines Angreifers ein und wenden, unter Einhaltung der gesetzlichen und vertraglich vereinbarten Bestimmungen, die gleichen Techniken und Praktiken an. Durch diese Vorgehensweise sollen alle Schwachstellen gefunden werden, die in einem tatsächlichen Angriff auf Ihr Unternehmen auch von Angreifer ausgenutzt werden würden.
Zu Beginn des Audit-Prozesses werden also innerhalb eines Workshops gemeinsam mit Ihnen der Ablauf und die einzelnen Schritte des Audits definiert und vertraglich festgehalten, welche Ziele und Vorgehensweise für das jeweilige Audit bestimmt und erlaubt sein sollen. Anschließend wird das Audit durchgeführt und nach Abschluss ein detaillierter Bericht erstellt, der sowie die Ergebnisse des Audits als auch einen ausgearbeiteten Maßnahmen-Katalog enthält, um die festgestellten Schwachstellen beheben zu können.
Awarcos Social Engineering Audit – Unsere Werte
Gesetzeskonform
Wir halten bei unseren Audits alle gesetzlichen Rahmenbedingungen ein. Jeder unserer Auditoren ist sich der gesetzlichen Lage bewusst. Zwar halten sich die Angreifer nicht an gesetzliche Vorgaben, jedoch werden unsere Auditoren die Vorgehensweise und das Verhalten eines Angreifers bestmöglich übernehmen, um ein authentisches Ergebnis erzielen zu können.
Vermeidung von psychologischen Schäden
Es darf in keiner Weise Schaden bei den „angegriffenen Mitarbeitern“ entstehen. Die Manipulations-Attacken müssen angemessen sein und dem Zweck dienen. Auch wenn Schock-Attacken zu einer effektiven und nachhaltigten Sensibilisierung führen, wird diese Art der Vorgehensweise bei unseren Audits nicht angewendet. Diese Manipulationstechniken werden stattdessen in den Trainings in einer Lernumgebung behandelt.
Vermeidung von technischen und physikalischen sowie monetären Schäden
Diese Arten von Schäden gilt es nach bester Möglichkeit vollständig zu vermeiden. Entdeckt der Auditor eine Möglichkeit einen dieser Schäden hervorzurufen, gilt es diese nur zu dokumentieren und im Audit-Bericht anzugeben.
Beispielsweise könnten Wertgegenstände wie Laptops entwendet werden. Da es sich hierbei um Geschäftszweck dienliche Assets handelt, wird auch hier die Diebstahlmöglichkeit lediglich dokumentiert. Ob andere Gegenstände entwendet werden dürfen, wird vorab mit der Geschäftsführung geklärt und im Audit-Auftrag schriftlich festgehalten.
Anonymität der Beteiligten Dritten
Personen, die namentlich nicht erwähnt werden möchten, werden auch der Geschäftsführung gegenüber anonymisiert behandelt.
Spezialisierung
Ein Audit ist höchst speziell und muss immer individuell geplant und umgesetzt werden. Ein Workshop zum Audit Auftakt ist daher eine klare Empfehlung. Dieser Workshop sollte nicht im Unternehmen, in dem das Audit erfolgen soll, stattfinden, um die Identität des Auditors für das anstehende Audit zu geheim zu halten.
Bei diesem Workshop werden auch die Auftragsdetails geklärt. Vertragliche Punkte, Einschränkungen oder spezielle Ziele, welche Tools genutzt werden sollen, etc. Ein weiterer Punkt ist die Klärung der Reconnaissance-Phase und wie intensiv diese ausfallen soll. Die Reconnaissance-Phase beschreibt die Informationssammlung vor dem eigentlichen Audit. Umso ausführlicher die Reconnaissance-Phase ist, desto umfassender kann das eigentliche Audit erfolgen und entsprechend werthaltiger wird der Audit-Bericht.
Bericht
Am Ende des Audits wird der Geschäftsführung ein ausführlicher Bericht ausgehändigt, welcher in folgende Teile aufgegliedert ist:
- Management Summary
- Umfang, Berechtigungen, Einschränkungen und Scoping
- Errungenschaften der Reconnaissance-Phase
- Errungenschaften des Audits
- Risikoanalyse
- Zusammenfassung und Fazit
- Verbesserungsvorschläge
Ziele des Social Engineering Audits
- Snapshot des aktuellen Awareness- und Sicherheitszustandes des Unternehmens
- Überprüfung bekannter Schwachstellen
- Detektion von neuen Schwachstellen
- Erstellung eines Empfehlungskatalogs für neue Maßnahmen
Herausforderungen bei Social Engineering Audits
- Ein Auditor kann nur eine begrenzte Anzahl an Audits durchführen, bzw. muss einen großen zeitlichen Abstand zwischen den Audits einhalten. Die Gefahr, aufgrund der Bekanntwerdung seiner Person durch Mitarbeiter identifiziert werden zu können, ist nicht zielführend.
- Für den Spagat zwischen einem realitätsgetreuen Audit, als auch der Einhaltung der gesetzlichen und vertraglichen Vorgaben und dabei dennoch Schwachstellen erkennen zu können, welche durch Angreifer ausgenutzt werden können, bedarf es an Expertise.
Interessiert an unserer Social Engineering Audits-Lösung?
Wir freuen uns auf ein persönliches Gespräch mit Ihnen!
* Pflichtfeld