Sie sind hier
E-Book

Social Engineering - Der Mensch als Sicherheitsrisiko in der IT

Der Mensch als Sicherheitsrisiko in der IT

AutorMarcus Lipski
VerlagDiplomica Verlag GmbH
Erscheinungsjahr2009
Seitenanzahl88 Seiten
ISBN9783836625746
FormatPDF
Kopierschutzkein Kopierschutz/DRM
GerätePC/MAC/eReader/Tablet
Preis34,99 EUR
Wenn man in der IT über die Sicherheit spricht, fallen meistens Begriffe wie Firewall, Virenscanner, Demilitarisierte Zone (DMZ), Proxy, Verschlüsselung, Benutzername und Passwort, Token, um nur einige zu nennen. Es ist durchaus richtig, dass all diese Komponenten für die Sicherheit der IT unverzichtbar sind, doch leider wird bis heute eine Schwachstelle nicht genügend beachtet: der Mensch! Gerade in der IT-Sicherheit ist das Sprichwort 'Keine Kette ist stärker, als ihr schwächstes Glied' sehr treffend. Jedes Sicherheitskonzept, egal wie raffiniert und durchdacht es ist, lässt sich in Sekundenschnelle aushebeln, wenn die Mitarbeiter freiwillig ihre Passwörter oder andere wichtige Informationen preisgeben, sobald man sie danach fragt. Social Engineering ist eine von vielen Angriffsarten, die zum Ziel haben die Kontrolle über Computersysteme bzw. die darin enthaltenen Informationen zu erlangen. Durch die geschickte Ausnutzung des Menschen ist es dem Angreifer, meist ohne ein technisches Hilfsmittel einzusetzen, möglich, an die gewünschten Informationen zu gelangen. Im Zuge dieses Buches wird erläutert, was Social Engineering ist, warum es funktioniert, wie ein Angreifer sich vorbereitet, wie ein Angriff abläuft, wie man ihn erkennt, wie man ihn abwehrt und wie man ihm vorbeugt. Der Leser wird mit den verschiedensten Arten der Informationsbeschaffung und Angriffsvarianten vertraut gemacht. Am Ende werden Maßnahmen zur effektiven Vorbeugung von Angriffen erläutert. Dies umfasst z.B. die Definition von Regeln für eine Sicherheitsleitlinie, sowie die Auflistung der wichtigsten Abwehrmaßnahmen.

Marcus Lipski, Diplom-Informatiker (FH), Studium der Informatik mit Schwerpunkt Informations- und Kommunikationsmanagement an der Wilhelm Büchner Hochschule Darmstadt. Abschluss 2009 als Diplom-Informatiker. Derzeit tätig als Mitarbeiter eines Service Centers im Bereich der Endgeräte- und Kundenbetreuung (IT).

Kaufen Sie hier:

Horizontale Tabs

Leseprobe
Textprobe: Kapitel 4, Vorbereitung eines Angriffs: Beim Social Engineering kommt es auf die Gewinnung von Informationen an. Es geht nicht nur um die Zielinformationen die der Social Engineer haben will, sondern auch um die Informationen, die er benötigt um sein Ziel zu erreichen. Je mehr der Social Engineer von seinem 'Opfer' weiß, desto größer sind seine Erfolgschancen. Es gibt viele unscheinbare Informationen in einem Unternehmen, die den Social Engineer näher an sein Ziel bringen. So reicht meist schon eine einfache Telefonliste, um herauszufinden, wer in welcher Abteilung arbeitet, wie seine Telefonnummer ist und vielleicht sogar, wie seine E-Mail-Adresse lautet. Hat der Social Engineer erst einmal die notwendigen Informationen, ist es für ihn ein leichtes, sich innerhalb der Firmenstruktur zu bewegen und seine breite Palette an schauspielerischen Talenten auszuspielen. Die nachfolgenden zwei Kapitel geben einen Überblick darüber, welche Informationen für einen Social Engineer interessant sind und wie er sich diese Informationen beschafft. Durch die Kenntnisse der Verfahrensweisen und Begehrlichkeiten können Sie dem Social Engineer bereits seine Vorbereitungsphase erschweren, wenn Sie geeignete Maßnahmen ergreifen. Kapitel 4.1, Informationsbeschaffung: Um etwas in einem fremden (oder auch bekannten) Unternehmen zu erreichen, sind Informationen das Wichtigste. Je nach Ziel des Angriffs werden mehr oder weniger Informationen benötigt. Mithilfe von Telefon- und Mitarbeiterlisten ist es dem Social Engineer möglich, die Nummern von Ansprechpartnern zu ermitteln. Da die meisten Telefonlisten auch Informationen wie E-Mail-Adressen, Abteilungszugehörigkeit und vielleicht sogar die Position der jeweiligen Person enthalten, ist durch Kenntnisnahme einer solchen Liste ein hohes Sicherheitsrisiko gegeben. Der Social Engineer findet auf dieser Liste jede Menge potenzieller Opfer, die ihm gewünschte Informationen geben können. Diese Listen liegen meist neben jedem Telefon, auch in Besprechungsräumen, die vom Social Engineer leicht erreicht werden können, wenn er erst einmal im Gebäude ist. Durch die Kenntnisnahme von Organigrammen oder Hierarchiestrukturen weiß der Social Engineer, wer nur ein einfacher Mitarbeiter und wer Entscheidungsträger ist. Damit sind unnötige Anrufe bei weniger hilfreichen Personen vermeidbar, was das Risiko einer Entdeckung drastisch reduziert. Auch Raumpläne geben einem Angreifer die Möglichkeit Hierarchien zu ermitteln oder sich mit der technischen Umgebung vertraut zu machen. Somit kann er sich zielsicher und selbstbewusst im Gebäude bewegen und wird vermutlich niemandem weiter auffallen. Sobald der Social Engineer weiß, mit welchen Dienstleistern und Zulieferern ein Unternehmen zu tun hat, kann er dies als Eintrittskarte für das Firmengelände benutzen oder mithilfe dieser Informationen sogar weitere telefonische Anfragen stellen, die einem Zulieferer, der ja nur seine Arbeit machen will, eher beantwortet werden, als einem unbekannten externen Anrufer. Auch ein Anruf bei einem der Zulieferer oder Dienstleister kann wertvolle Informationen liefern. Dies können Sie leicht verhindern durch die Definition von festen Ansprechpartnern auf beiden Seiten. Dienst- und Schichtpläne sind ebenfalls hilfreiche Informationsquellen. Wenn z.B. der Social Engineer bereits mit einem Mitarbeiter sprach, der ihm bereitwillig Auskunft gegeben hat, so könnte er anhand der Dienst- und Schichtpläne schnell feststellen, wann dieser Mitarbeiter wieder da ist, um so weitere Informationen zu erhalten. Man kennt sich ja schließlich und hilft sich gerne untereinander. Auch Schichtwechsel, in denen die Aufmerksamkeit nicht ganz so hoch ist, können dem Social Engineer von Nutzen sein. Der Informationsgehalt von Memos und Briefen dürfte jeden Social Engineer freuen. Der Social Engineer gewinnt dadurch Informationen über die Art und Weise, wie kommuniziert wird. Er hat die Möglichkeit die 'Sprache' der Firma zu lernen. Eine unschätzbare Fähigkeit, um sich als Insider auszugeben. Des Weiteren erfährt der Social Engineer auch genug über interne Vorgehensweisen, um diese für seine Angriffe zu nutzen. Mithilfe von Netzplänen, Computernamen und Netzwerkadressen lernt der Social Engineer die Struktur der Firma kennen. Durch diese Informationen könnte sich der Social Engineer z.B. auch als Fachmann der IT ausgeben und so unbedarfte Mitarbeiter verunsichern oder auf einer Ebene mit den Fachleuten aus der IT kommunizieren und sie somit glauben lassen, er wäre einer von Ihnen. Die Kenntnisse zur Funktionsweise von Zugangskontrollsystemen ist hilfreich um auch hier unerlaubten Zugriff, entweder durch direktes aushebeln der Zugangskontrollsysteme oder durch Manipulation der Sicherheitsleute bzw. Verantwortlichen für das Zugangskontrollsystem, zu erlangen. Wenn ein Social Engineer weiß, wie die Menschen arbeiten, kann er Schwachstellen in den Prozessen ermitteln und diese als Angriffspunkte benutzen. Dazu versucht er an Arbeitsanweisungen und Policies (bzw. Richtlinien) oder auch Prozessbeschreibungen zu kommen. Die Kenntnisse dieser Dokumente sind hilfreich, um Mitarbeiter der Firma glauben zu lassen, man sei einer von Ihnen, denn woher sollte ein Externer davon wissen?! Entsorgte Datenträger können für einen Social Engineer zum Heiligen Gral der Informationsbeschaffung werden. Je nach den auf dem Datenträger gespeicherten Informationen kann der Social Engineer mit ein wenig Glück bereits alle oben aufgeführten Informationen ohne viel Aufwand erhalten oder vielleicht sogar die Daten in den Händen halten, die er eigentlich sucht. Eine Entdeckung ist fast ausgeschlossen, da der Datenträger nicht mehr vermisst wird. Der Arbeitsaufwand für die Beschaffung dieser Datenträger dürfte auch nicht besonders groß sein.
Blick ins Buch
Inhaltsverzeichnis
Inhaltsverzeichnis3
Abkürzungsverzeichnis5
Abbildungsverzeichnis6
1 Einleitung7
1.1 Projekteinbettung7
1.2 Zielstellung9
1.3 Methodik10
2 Was ist Social Engineering?13
3 Warum funktioniert Social Engineering?17
4 Vorbereitung eines Angriffs21
4.1 Informationsbeschaffung21
4.2 Arten der Informationsbeschaffung24
5 Der Angriff27
5.1 Der Zyklus des Social Engineering27
5.2 Die Rollen des Social Engineers28
5.3 Übliche Methoden des Social Engineer31
5.3.1 Manipulation und Täuschung von Menschen31
5.3.2 Nutzung technischer Hilfsmittel32
5.4 Warnzeichen für einen Angriff33
5.5 Allgemeine Angriffsziele33
5.6 Faktoren, die einen Angriff begünstigen34
5.7 Der Angriff in zehn Schritten35
6 Abwehren eines Angriffs37
6.1 Verifikation und Datenklassifikation37
6.1.1 Verfahren zur Prüfung der Identitiät37
6.1.2 Verfahren zur Prüfung des Angestelltenstatus39
6.1.3 Verfahren zum Feststellen der Informationsberechtigung40
6.1.4 Kriterien zur Bestimmung von Nicht-Angestellten40
6.1.5 Datenklassifikation41
6.2 Rhetorik43
6.3 Die zentrale Anlaufstelle43
7 Einen Angriff verhindern, bzw. die Gefahr reduzieren45
7.1 Sensibilisierung45
7.2 Schulungen46
7.2.1 Schulungsziel47
7.2.2 Schulungsstruktur48
7.2.3 Schulungsinhalte48
7.2.4 Fortlaufende Sensibilisierung50
7.3 Physikalischer Schutz51
7.4 Prozessoptimierung (inkl. Notfallprozessen)51
7.5 Arbeitskomfort vs. Schutz52
7.6 Audits52
7.7 Betriebsklima53
7.8 Sanktionen und Belohnungen54
7.9 Die Sicherheitsleitlinie55
7.9.1 Aufbau einer Sicherheitsleitlinie55
7.9.2 Vorschläge für eine Sicherheitsleitlinie56
7.10 Zehn Regeln zur Abwehr eines Angriffs67
8 Zusammenfassung und Ausblick69
A Bearbeitung einer Anfrage nach ...73
A.1 ... Informationen74
A.2 ... Handlungen75
B Fallbeispiele76
B.1 HBSE - Die Geschichte von Janie Acton76
B.2 RSE & CBSE - Netzwerkausfall78
C Literaturverzeichnis83

Weitere E-Books zum Thema: Sicherheit - IT Security

Security Awareness

E-Book Security Awareness
Neue Wege zur erfolgreichen Mitarbeiter-Sensibilisierung Format: PDF

Security ist in aller Munde. Und unbestritten gilt heute nach Jahren der Konzentration auf stets neue technische Tools der Mensch als Schlüssel zum Erfolg der Unternehmenssicherheit. In diesem…

IT-Risiko-Management mit System

E-Book IT-Risiko-Management mit System
Von den Grundlagen bis zur Realisierung - Ein praxisorientierter Leitfaden Format: PDF

Der praxisbezogene Leitfaden für das IT-Risiko-Management im Unternehmen ist branchenneutral und angepasst an die aktuelle Situation der Standardisierung, der IT Governance und der aktuellen…

Ich glaube, es hackt!

E-Book Ich glaube, es hackt!
Ein Blick auf die irrwitzige Realität der IT-Sicherheit Format: PDF

Die Technik, die uns heute überschwemmt, lässt uns gar keine Chance mehr, alles so abzusichern, dass wir auch wirklich sicher sind. Lernen Sie die Waffen Ihrer Gegner und Ihre eigenen…

Security Einfach Machen

E-Book Security Einfach Machen
IT-Sicherheit als Sprungbrett für die Digitalisierung Format: PDF

In diesem Buch beleuchten Autoren aus der Politik, Wirtschaft und Forschung das Thema Security: Was wird sie kosten und wer wird sie anbieten? Wird Security vielleicht sogar Spaß machen? …

Cybersecurity Best Practices

E-Book Cybersecurity Best Practices
Lösungen zur Erhöhung der Cyberresilienz für Unternehmen und Behörden Format: PDF

Das Thema Cybersecurity ist so aktuell wie nie, denn im Cyberspace lassen sich nur schwer Grenzen in Bezug auf den Zugang zu Informationen, Daten und Redefreiheit setzen. Kriminelle nutzen die Lücken…

IT-Risiko-Management mit System

E-Book IT-Risiko-Management mit System
Von den Grundlagen bis zur Realisierung - Ein praxisorientierter Leitfaden Format: PDF

Der praxisbezogene Leitfaden für das IT-Risiko-Management im Unternehmen ist branchenneutral und angepasst an die aktuelle Situation der Standardisierung, der IT Governance und der aktuellen…

Weitere Zeitschriften

Ärzte Zeitung

Ärzte Zeitung

Zielgruppe: Niedergelassene Allgemeinmediziner, Praktiker undInternisten.Charakteristik: Die Ärzte Zeitung liefert 3 x pro Woche bundesweitan niedergelassene Mediziner den ...

Courier

Courier

The Bayer CropScience Magazine for Modern AgriculturePflanzenschutzmagazin für den Landwirt, landwirtschaftlichen Berater, Händler und generell am Thema Interessierten, mit umfassender ...

küche + raum

küche + raum

Internationale Fachzeitschrift für Küchenforschung und Küchenplanung. Mit Fachinformationen für Küchenfachhändler, -spezialisten und -planer in Küchenstudios, Möbelfachgeschäften und den ...

Demeter-Gartenrundbrief

Demeter-Gartenrundbrief

Einzige Gartenzeitung mit Erfahrungsberichten zum biologisch-dynamischen Anbau im Hausgarten (Demeter-Anbau). Mit regelmäßigem Arbeitskalender, Aussaat-/Pflanzzeiten, Neuigkeiten rund um den ...

Deutsche Hockey Zeitung

Deutsche Hockey Zeitung

Informiert über das internationale, nationale und internationale Hockey. Die Deutsche Hockeyzeitung ist Ihr kompetenter Partner für Ihr Wirken im Hockeymarkt. Sie ist die einzige ...

ea evangelische aspekte

ea evangelische aspekte

evangelische Beiträge zum Leben in Kirche und Gesellschaft Die Evangelische Akademikerschaft in Deutschland ist Herausgeberin der Zeitschrift evangelische aspekte Sie erscheint viermal im Jahr. In ...

building & automation

building & automation

Das Fachmagazin building & automation bietet dem Elektrohandwerker und Elektroplaner eine umfassende Übersicht über alle Produktneuheiten aus der Gebäudeautomation, der Installationstechnik, dem ...

Evangelische Theologie

Evangelische Theologie

 Über »Evangelische Theologie« In interdisziplinären Themenheften gibt die Evangelische Theologie entscheidende Impulse, die komplexe Einheit der Theologie wahrzunehmen. Neben den ...