Awarenessprogramm Social Engineering im Rahmen der IT-Sicherheit

Projektarbeit aus dem Jahr 2005 im Fachbereich BWL - Informationswissenschaften, Informationsmanagement, Note: 1,5, Hochschule für Wirtschaft Zürich (Wirtschaftsinformatik), Veranstaltung: Projekt Management Seminar, Sprache: Deutsch, Abstract: Das vorliegende Dokument beinhaltet die Grundlagen des Social Engineering (SE) sowie mögliche Abwehrmechanismen gegen Attacken dieser Art. Im Schulungmodul wird die Vermittlung von SE-Grundlagen und weiterführender Problemkreise des SE angesprochen. Durch zwei Schulungsvideos (hier als Rollenspiele skizziert) werden diese geschult und im anschliessenden Multiple Choice Test vertieft. Zu beachtende kritische Erfolgsfaktoren runden das Dokument ab. Nachfolgend ein Überblick über die Hauptbestandteile des Dokuments: Grundlagen des SE: SE ist die Kunst, Schranken durch Ausnützung menschlicher Schwächen zu überwinden. Dies erreicht der SE durch Angst, Betrug, Überredung und Täuschung. Dabei macht er sich z.B. Unkenntnis, Vertrauen oder Sympathie bei seinen Opfern zunutze. Der Mensch als schwaches Glied in der Sicherheitskette, kann einen SE-Angriff nur erkennen, wenn er sich der Gefahr eines solchen bewusst ist und ihm die wichtigsten Angriffsmechanismen bekannt sind. Diese helfen ihm dabei, den Angriff erfolgreich abzuwehren und Schaden abzuwenden. Im Schulungsmodul wird die Vermittlung von SE-Grundlagen und weiterführender Problemkreise des SE angesprochen. Als Einleitung in die Schulung wird eine kurze, theoretische Abhandlung über die Grundlagen des SE angeboten. SE-Attacken laufen (beinahe) immer vierstufig ab: 1)Informationssammlung 2)Verschaffen von Zugang zum Zielsystem 3)Ausnutzen des eingerichteten Zugangs 4)Verwischen der Spuren Die beiden vorliegenden Rollenspiele sind nach diesem Grundmuster aufgebaut. Diese werden zu einem späteren Zeitpunkt als Video realisiert und auf firmeninternen Seite zu Schulungszwecken abspielbar sein. Rollenspiel 1: Phising Angriff. Anschliessend wird eine neue Mitarbeiterin dazu gebracht, auf Ihrem Rechner Software zu installieren. Rollenspiel 2: Preisgabe firmeninterner Informationen im öffentlichen Raum. In der zweiten und dritten Angriffsphase bildet die allzu leichtgläubig durchgeführte Personenidentifizierung, sowie die nicht beachtete Clear Desk Policy eine willkommene Einladung zum Informationsdiebstahl. Vertiefung: Auf die Videos folgt ein Multiple Choice Test. Beim Ankreuzen der falschen Antwort wird der Mitarbeitende im Anschluss an den Test auf die gemachten Fehler und deren Konsequenzen hingewiesen. Kritische Erfolgsfaktoren (Attraktives Schulungsmodul, gutes Marketing, begleitete Kampagnen) runden das Dokument ab.