Awareness Training ‚Social Engineering‘

Schutz vor Spionageangriffen

Zum Begriff des Social Engineering

Angriffe auf IT-Strukturen werden zunehmend professionell geplant und realisiert. Früher wurden an bekannte Mailadressen eines Unternehmens inflationär Emails versandt. Wie in der Vor-Internet-Zeit der berüchtigten „Faxe & Briefe aus Nigeria“ bestand die Annahme, dass schon irgendjemand auf die Spam-Mail reagieren und die Schadsoftware im Anhang öffnen wird.

Heute werden mit hohem Aufwand zielgenau jene Mitarbeiter gesucht und identifiziert, die tatsächlich Zugang zu sensiblen Daten haben. Diese Zielpersonen werden im zweiten Schritt kontaktiert und korrumpiert. Dass eine Zielperson Angreifern Zugriff auf ein nach außen geschütztes System ermöglicht, ist ihr mitunter nicht einmal bewusst.

Für die Manipulation zur gezielten Informationserlangung wird der Terminus des Social Engineering aktuell inflationär verwendet. Was genau darunter zu verstehen ist, bleibt manchmal unklar. Wird in Awareness-Seminaren allgemein auf „menschliche Schwächen und Anfälligkeit“ verwiesen, die Angreifer erfolgreich nutzen, ist die Darstellung unzureichend. Mitarbeitern „kreative“ Wege zur Generierung komplexer Passwörter aufzuzeigen, reicht zum Schutz gegen versiertes Social Engineering nur bedingt aus.

Zielsetzung und Zielgruppe des Seminars

Social Engineering beruht auf der Anwendung psychologischer Techniken der Beeinflussung mit dem Ziel der Manipulation. Im Seminar werden diese Techniken und ihre Wirkung erläutert. Demonstriert wird das Vorgehen von Angreifern, die trotz versierter IT-Sicherheitsmaßnahmen ein System infiltrieren. Das Wissen über die Methodik des Social Engineering reduziert die Erfolgsaussichten signifikant. Durch Kenntnisse der Mechanismen psychologischer Manipulation lassen sich im Unternehmen Abwehrstrategien entwickeln und mit relativ geringem Aufwand realisieren. Die Teilnehmer lernen wie sie mit einfachen Mitteln Social Engineering erkennen und wirkungsvoll parieren.

Zielgruppe des Seminars

Alle Personen, die Zugang zum Unternehmen haben, sind beim Social Engineering Ziele. Es muss sich nicht einmal um Unternehmensangehörige bzw. Festangestellte handeln; auch Externe wie das Reinigungs-, Sicherheits- und Empfangspersonal liefern wertvolle Informationen oder werden selbst zum Bestandteil einer Infiltration.

Inhalte und Umsetzung des Seminars

In unserem Seminaransatz werden folgende Inhalte mit den Teilnehmern erarbeitet:

  • Möglichkeiten der Identifizierung von Zielpersonen im Unternehmen
  • Techniken der Kontaktaufnahme mit Zielpersonen
  • Techniken der Manipulation durch gezielte Kommunikation und durch so genanntes „Cold Reading“
  • Möglichkeiten der Abschirmung gegen Angriffe auf struktureller und persönlicher Ebene

 

Das Seminar wird auf die jeweilige Zielgruppe abgestimmt. Mitarbeiter der Forschung & Entwicklung und IT-Fachkräfte werden von Angreifern in anderer Form „kontaktiert“ als eine Empfangssekretärin. Hier gibt es zielgruppenspezifische Angriffszenarien, die bei der Gestaltung des Seminars und der Übungsinhalte berücksichtigt werden.

In ausführlicher Darstellung erfahren die Teilnehmer, mit welchen subtilen Methoden Angreifer Zielpersonen kontaktieren und letztlich korrumpieren. Bei kleinen Gruppen werden abschließend in Rollenspielen Kommunikationstechniken zur Identifizierung und Abwehr von Angreifern dargestellt.

Die Trainings können bei Ihnen als Inhouse-Schulung, oder an jedem beliebigen Ort, durchgeführt werden.

Das Standard-Training findet in der Regel von 09.00 Uhr bis 17.00 Uhr statt.

Bis zu 12 Teilnehmer sind möglich.

Bitte nehmen Sie für ein individuelles Angebot Verbindung mit uns auf.

Zum Flyer Download