Lade Inhalt...

Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit

Projektarbeit 2005 45 Seiten

BWL - Informationswissenschaften, Informationsmanagement

Leseprobe

Inhaltsverzeichnis

Management Summary

1. Ausgangslage

2. Zielsetzung, sachliche Abgrenzung und Vorgehensweise
2.1. Zielsetzung
2.2. Sachliche Abgrenzung
2.3. Vorgehensweise

3. Definitionen und Begriffe
3.1. Phising
3.1.1. Geschickte Tarnung
3.1.2. Komplett reproduzierte Seiten
3.1.3. Schutzmechanismen

4. Grundlagen des Social Engineering
4.1. Was ist Social Engineering
4.2. Warum wirkt Social Engineering
4.3. Wie wirkt Social Engineering
4.4. Psychologische Grundmuster des Social Engineering
4.5. Anwendungsgebiete und Gefahren von Social Engineering
4.6. Gängige Methoden von Social Engineering Angriffen
4.7. Abwehrmechanismen gegen Social Engineering

5. Schulungskonzept
5.1. Methodik und Didaktik
5.2. Grundlagen des Social Engineering vermitteln
5.3. Rollenspiele
5.3.1. Aufbau der Rollenspiele
5.3.2. Interne SE-Attacke
Szene 1.
Szene 2.
5.3.3. Externe SE-Attacke
Szene 1
Szene 2
Szene 3

6. Erfolgskontrolle
6.1. Test

7. Kritische Erfolgsfaktoren
7.1. Hohe Attraktivität des Schulungsmoduls
7.2. Gutes Marketing für das Schulungsmodul
7.3. Begleitende Kampagnen

8. Schlussfolgerungen

9. Danksagung

Abkürzungsverzeichnis

Literaturverzeichnis

Abbildungsverzeichnis

Endnotenverzeichnis

Management Summary

Das vorliegende Dokument beinhaltet die Grundlagen des Social Engineering (SE) sowie mögliche Abwehrmechanismen gegen Attacken dieser Art. Im Schulungmodul wird die Vermittlung von SE-Grundlagen und weiterführender Problemkreise des SE angesprochen. Durch zwei Schulungsvideos werden diese geschult und im anschliessenden Multiple Choice Test vertieft. Zu beachtende kritische Erfolgsfaktoren runden das Dokument ab.

Nachfolgend ein Überblick über die Hauptbestandteile des Dokuments:

Grundlagen des SE: SE ist die Kunst, Schranken durch Ausnützung menschlicher Schwächen zu überwinden. Dies erreicht der SE durch Angst, Betrug, Überredung und Täuschung. Dabei macht er sich z.B. Unkenntnis, Vertrauen oder Sympathie bei seinen Opfern zunutze. Der Mensch als schwaches Glied in der Sicherheitskette, kann einen SE-Angriff nur erkennen, wenn er sich der Gefahr eines solchen bewusst ist und ihm die wichtigsten Angriffsmechanismen bekannt sind. Diese helfen ihm dabei, den Angriff erfolgreich abzuwehren und Schaden abzuwenden.

Im Schulungsmodul wird die Vermittlung von SE-Grundlagen und weiterführender Problemkreise des SE angesprochen. Als Einleitung in die Schulung wird eine kurze, theoretische Abhandlung über die Grundlagen des SE angeboten.

SE-Attacken laufen (beinahe) immer vierstufig ab:

- Informationssammlung
- Verschaffen von Zugang zum Zielsystem
- Ausnutzen des eingerichteten Zugangs
- Verwischen der Spuren

Die beiden vorliegenden Rollenspiele sind nach diesem Grundmuster aufgebaut. Diese werden zu einem späteren Zeitpunkt als Video realisiert und auf der internen XY SecAP Seite zu Schulungszwecken abspielbar sein.

Im ersten Video (Rollenspiel) wird in der primären Angriffsphase ein Phising-Angriff skizziert. Zielobjekt der zweiten Angriffsphase ist eine neue Mitarbeiterin, welche dazu gebracht wird, auf ihrem Rechner Software zu installieren.

Im zweiten Video (Rollenspiel) wird die Preisgabe firmeninterner Informationen im öffentlichen Raum skizziert. In der zweiten und dritten Angriffsphase bildet die allzu leichtgläubig durchgeführte Personenidentifizierung, sowie die nicht beachtete Clear Desk Policy eine willkommene Einladung zum Informationsdiebstahl.

Vertiefung: Der auf die Videos folgende Multiple Choice Test umfasst zehn spezifische Fragen mit jeweils vier möglichen Antworten. Davon ist eine Antwort korrekt. Beim Ankreuzen der falschen Antwort wird der XY-Mitarbeitende im Anschluss an den Test auf die gemachten Fehler und deren Konsequenzen hingewiesen.

Kritische Erfolgsfaktoren: Unter Berücksichtigung der folgenden kritischen Erfolgsfaktoren kann von einem maximalen Erfolg der Schulungskampagne ausgegangen werden:

- Hohe Attraktiviät des Schulungsmoduls – z.B. durch Einbindung einer Schweizer Persönlichkeit
- Gutes Marketing für das Schulungsmodul – z.B. durch Wettbewerbe
- Begleitende Kampagnen – z.B.durch Drucken und Verteilen der wichtigsten Grundsätze und Abwehrmechanismen gegen SE auf Mausmatten

1. Ausgangslage

In der XY gibt es einige Faktoren, die einen SE-Angriff begünstigen: Eine grosse Anzahl von Mitarbeitenden, mehrere Gebäude oder Niederlassungen, Angaben über den Verbleib von Mitarbeitern auf dem Voicemail und wenige Sicherheitstrainings.

Bezüglich der Datensicherheit ist der Mensch das schwache Glied der Kette. Firma

(XY) ist sich dessen bewusst und hat bereits ein SecAP gestartet.

In einem weiteren Schritt dieses Programms soll bei allen Mitarbeitenden ein ausgeprägtes Verständnis für die Problematik des SE geschaffen werden. Das bisherige Wissen über IT-Security und SE soll gefestigt und das Bewusstsein im Hinblick auf SE soll verstärkt werden. Die Grundlage hierfür muss im folgenden Dokument erarbeitet werden.

Das Dokument soll kurz und prägnant in leicht verständlicher Sprache geschrieben sein.

2. Zielsetzung, sachliche Abgrenzung und Vorgehensweise

2.1. Zielsetzung

Ziel dieses Dokuments ist es, aufzuzeigen, wie das XY Personal in die Grundlagen des SE eingeführt werden kann. Die Grundlagen zu SE werden durch anschauliche Videos (Rollenspiel) illustriert. Dadurch soll ein Bewusstsein geschaffen werden, welches den Grundstein für die Abwehr gegen SE-Attacken legt. Die gewonnenen Erkenntnisse werden durch einen Multiple Choice Test vertieft.

2.2. Sachliche Abgrenzung

Es wird ausschliesslich auf die Grundlagen des SE und deren Abwehrmechanismen eingegangen. Auf die organisatorischen, sowie die technischen Mittel und Möglichkeiten von Hackerangriffen wird nicht eingegangen.

Nachfolgende Grafik dient zur Veranschaulichung der Mittel des Hackers.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 - Mittel des Hackers

Die Grundlagen, sowie die folgenden Problemkreise des SE werden durch das Schulungsmodul angesprochen: Phising, Personenauthentifizierung, Informationsbeschaffung, physischer Gebäudezugang, Clear Desk Policy, Installation von unbekannter Software, Druck aufsetzen, Androhung negativer Konsequenzen bei Nicht-Kooperation, Name Dropping, Verwenden von Insiderjargon und Fachterminologie.

Zu einem späteren Zeitpunkt müssen weiterführende Schwerpunkte durch die XY festgelegt und entsprechend die Videos (Rollenspiele), sowie der Test angepasst werden.

Folgende Punkte werden nicht behandelt:

- Die Transformation der Rollenspiele in Videos.
- Die Layout der SecAP Seite
- Spezifische Problemkreise und Zielgruppen der Schulung

2.3. Vorgehensweise

In einem ersten Schritt wurden die Grundlagen des SE erarbeitet, danach folgten die Konzeption des Schulungsmoduls und die Erstellung der beiden Rollenspiele.

Abgerundet wurde das Konzept durch einen Multiple Choice Test, welcher als Lernkontrolle dienen wird. Das vorliegende Dokument beinhaltet die konsolidierten Informationen aus diesen Einzeldokumenten.

3. Definitionen und Begriffe

Awareness:

- Die Schaffung von Bewusstsein.

Social Engineering (SE):

- Jemand, der Täuschung, Betrug und Überredung bei Firmen oder privaten Personen einsetzt, um in der Regel an deren Informationen zu gelangen.1
- „Wie man Leute dazu bringt, Dinge für Ihnen fremde Personen auszuführen, die Sie normalerweise nicht tun würden.”2
- Ein Versuch, an vertrauliche Informationen zu gelangen durch die Ausnützung menschlicher Schwächen wie Vertrauen oder Fehleinschätzung.3

Hacking:

- Ein Computer Spezialist, welcher unautorisiert in IT-Systeme eindringt um diese zu erforschen und besser zu verstehen. Primäres Ziel ist der Vorgang an sich.4

Cracking:

- Hacker, welche anderer Leute Dateien oder deren IT-Systeme verändern oder zerstören.5

Name Dropping:

- Ein „Name Dropper“ erwähnt häufig Namen angesehener Persönlichkeiten, mit welchen er in Beziehung zu stehen vorgibt, um sein Gegenüber zu beeindrucken.

Clear Desk Policy:

- Unter Clear Desk Policy versteht man die Weisung, sämtliche vertrauliche Datenträger und Dokumente unter Verschluss zu halten, d.h. nicht auf dem Schreibtisch oder auf dem Drucker liegen zu lassen.

Kinästhetisch:

- Lernen durch schreiben

3.1. Phising

Fälle von Phising6 sind in letzter Zeit vermehrt aufgetreten. Dabei handelt es sich um eine sehr clevere Form von Betrug. Dem Opfer werden wertvolle Informationen mittels gefälschter Web-Seiten gestohlen. Dies können beispielsweise Zutrittsdaten zu Online Banking Applikationen sein, wie in einem kürzlich bekannt gewordenen Fall bei der ZKB (Zürcher Kantonalbank). Hier wurden diverse Kunden auf eine Website gelockt, welche derjenigen der ZKB im Aussehen entsprach. Dort wurden sie aufgefordert ihre Zutrittsdaten einzugeben.

3.1.1. Geschickte Tarnung

SEs senden dem Opfer eine E-Mail mit einem "plausiblen" Inhalt zu. Zum Beispiel wird der Mitarbeiter aufgefordert, Login und Passwort zu aktualisieren. Die Begründung dafür könnte sein, dass diese Daten aus Sicherheitsgründen regelmässig aktualisiert werden müssen oder etwa, dass ein System ausgewechselt wurde. Den meisten Mitarbeitern ist bewusst, dass sie niemals Passwörter und sensible Informationen via E- Mail senden sollten. Das Opfer wird daher durch einen Link in der E-Mail überlistet, welcher auf eine vermeintlich sichere Intranet verweist.

3.1.2. Komplett reproduzierte Seiten

Um den Benutzer zu täuschen, bauen SEs gesamte Webseiten nach. Diese sind im Aussehen absolut identisch zur Original-Seite. Viele Mitarbeiter würden einen Link auf eine Intranet-Seite anklicken ohne misstrauisch zu werden, weil sie sich im Intranet sorglos bewegen. Sie beachten weder die URL noch können sie anhand von hunderten möglicher URLs innerhalb der XY Group verifizieren, ob diese "echt" sind. Mittels Javascript ist es möglich eine andere URL im Browser anzeigen zu lassen, als die, die tatsächlich aufgerufen wird. Damit ist die Täuschung komplett. Der Mitarbeiter wähnt sich auf der Original-Seite und gibt sorglos seine Daten ein.

3.1.3. Schutzmechanismen

Die XY oder auch andere Unternehmen, fragen niemals via E-Mail nach einem Passwort oder verlangen, dass man die Kontoinformationen aktualisieren soll. Falls ein Kollege über eine E-Mail von einem Kollegen verlangt, einen Link anzuwählen, kann sich dieser absichern. Er kann auf die Original-Seite gehen (die Adresse manuell eintippen und keine Links verwenden), sich normal anmelden und kontrollieren, ob die Daten noch vorhanden sind. Falls nicht, selbst ein E-Mail schreiben, den Adressaten aus dem offiziellen Telefonbuch wählen (nicht auf die E-Mail antworten, denn auch E- Mail-Absender kann man sehr einfach fälschen) und nachfragen, ob es tatsächlich einen solchen Auftrag gibt. Dabei handelt es sich um eine sehr clevere Art von Betrug mittels gefälschten Web-Seiten dem Opfer wertvolle Informationen zu stehlen. Dies können beispielsweise Zutrittsdaten zu Online Banking Applikationen sein.

4. Grundlagen des Social Engineering

4.1. Was ist Social Engineering

Als SE wird gemeinhin der Vorgang bezeichnet, durch Einsatz von Betrug, Überredung und Täuschung illegal an Informationen von Firmen oder privaten Personen zu gelangen.7

Menschen werden dazu gebracht, Dinge für unbekannte Personen auszuführen, die sie normalerweise nicht tun würden.8

Das Gelangen an vertrauliche Informationen geschieht immer durch die Ausnützung grundlegender, menschlicher Eigenschaften wie Vertrauen oder Fehleinschätzung.9 Ein SE spielt immer mit der menschlichen Leichtgläubigkeit und dem Bedürfnis, hilfsbereit zu sein. Dabei macht er sich Vertrauen und Sympathie zunutze.

Das Bewußtsein von SE ist der grundlegende Baustein gegen die Abwehr von SE Attacken – bildet doch der Mensch selbst das schwache Glied in jeder Sicherheitskette.

4.2. Warum wirkt Social Engineering

Der eigentliche Grund hinter dem Erfolg vieler SE Attacken liegt darin, dass Menschen Informationen als unterschiedlich wichtig oder vertraulich erachten. Vielen Menschen fehlt (noch) das Verständnis, dass scheinbar harmlose Informationen nahezu jeden SE dazu befähigen durch Kombination dieser in firmeninterne Systeme einzudringen um an höchst vertrauliche Daten zu gelangen.

4.3. Wie wirkt Social Engineering

In nahezu jedem Fall gibt sich ein Social Engineer beispielsweise als Mitarbeiter, Berater, Buchautor oder Autorität zu erkennen, da Menschen grundsätzlich dazu neigen, diesen zu vertrauen oder respektvoll mit ihnen umzugehen. Dies wiederum macht es dem Social Engineer sehr leicht, scheinbar harmlose Informationen zu sammeln.

Vertrauen wird oft durch folgende Mechanismen aufgebaut:

- Schmeichelei : Wer fühlt sich nicht geehrt, mit seiner Aussage in einem Buch zu erscheinen. Deshalb steht man z.B. Buchautoren sehr wohlwollend gegenüber.
- Täuschung: Oft versteckt sich die wichtige Information, an welche ein SE gelangen will, in einer netten Plauderei. Beiläufig wird im richtigen Moment die ausschlaggebende Frage gestellt. Das Gespräch endet dabei meist auch mit Plauderei.
- Eigene Hilfsbereitschaft: Wer hilft nicht einem netten Kollegen, der in der Klemme steckt? Schliesslich ist man in einer ähnlichen Situation ebenfalls froh um Hilfe.
- Erbrachte Hilfsbereitschaft: Wer ist nicht froh, wenn einem bei einem (scheinbaren) Netzwerkunterbruch oder Systemabsturz geholfen wird? Bei einer SE Attacke verbirgt sich dahinter immer ein Betrug. Wer kommt schon auf die Idee, der Unterbruch sei künstlich herbeigeführt um während der dankbar angenommenen Hilfe an sensitive Informationen zu gelangen oder den firmeninternen Rechner zu infiltrieren?
- Schuldgefühle: Wer hilft nicht einem Mitarbeiter, der in einer verzwickten und peinlichen Lage steckt, hinaus?
- Einschüchterung: Wer reagiert nicht, wenn plausibel erklärt wird, dass es sich um einen Notfall handelt, oder ein Vorgesetzter persönlich eine Information benötigt?

4.4. Psychologische Grundmuster des Social Engineering

Es ist ein natürliches Bedürfnis, sich nach vollkommener Geborgenheit zu sehnen. Leider führt dies viele Menschen dazu, sich in falscher Sicherheit zu wiegen.10 SEs verfügen über ausgefeilte psychologische Kenntnisse, jeden Menschen in genau dieser scheinbaren Sicherheit wiegen zu lassen. Oft gibt sich ein SE daher als Mitarbeiter aus.

Menschen sind nicht darauf trainiert, grundsätzlich argwöhnisch miteinander umzugehen. Wir haben gelernt, unseren „Nächsten“ zu lieben und uns vertrauensvoll zu begegnen. Die Menschen gehen davon aus, dass sie von anderen nicht getäuscht werden, und gründen dies auf den Glauben, dass die Wahrscheinlichkeit einer Täuschung sehr gering sei. Der Angreifer wiederum berücksichtigt dieses weitverbreitete Wunschdenken und lässt seine Bitte so vernünftig erscheinen, dass diese völlig unverdächtig wirkt, während er gleichzeitig das Vertrauen des Opfers missbraucht.11

[...]


1 Vgl. Mitnick, Kevin (2003, S. 12)

2 Vgl. Mitnick, Kevin (2003, S. 12)

3 Vgl. http://www.itsecurity.com/asktecs/may1003.htm , S. 2, Stand: August 2004

4 Vgl. Mitnick, Kevin (2003, S. 11)

5 Vgl. Mitnick, Kevin (2003, S. 9)

6 Vgl. http://www.securityinfo.ch/phising.html (Stand 18.08.04)

7 Vgl. Mitnick, Kevin (2003, S. 12)

8 Vgl. Mitnick, Kevin (2003, S. 12)

9 Vgl. http://www.itsecurity.com/asktecs/may1003.htm , S. 2, Stand: August 2004

10 Vgl. Mitnick, Kevin (2003, S. 19)

11 Vgl. Mitnick, Kevin (2003, S. 25)

Details

Seiten
45
Jahr
2005
ISBN (eBook)
9783640208029
Dateigröße
1 MB
Sprache
Deutsch
Katalognummer
v118186
Institution / Hochschule
Hochschule für Wirtschaft Zürich – Wirtschaftsinformatik
Note
1,5
Schlagworte
Awarenessprogramm Social Engineering Rahmen IT-Sicherheit Projekt Management Seminar
Zurück

Titel: Awarenessprogramm Social Engineering  im Rahmen der IT-Sicherheit