Social Engineering Penetrationstest - Prof. Dr. Norbert Pohlmann

Social Engineering Penetrationstest

Inhaltsverzeichnis

Was ist ein Social Engineering Penetrationstest?

Ein Social Engineering Penetrationstest oder Social-Engineering-Pentest ist eine besondere Unterart eines klassischen Penetrationstests. Die meisten Arten von Penetrationstests setzen auf technischer Ebene an und evaluieren technische IT-Systeme, IT-Produkte oder IT-Infrastrukturen in Hinsicht auf ihre IT-Sicherheit.

Hierbei werden prinzipiell die organisatorisch, technisch, menschlich und physischen Aspekte der Informationssicherheit betrachtet.

Im Rahmen von Social Engineering Penetrationstest werden Tests zur Überprüfung möglichen menschlichen Fehlverhaltens durchgeführt. .

Das Ziel eines Social Engineering Penetrationstests ist es zu überprüfen, ob die von Organisationen definierten Sicherheitsrichtlinien durch die Mitarbeiter eingehalten werden.

Das Ergebnis eines Social-Engineering-Pentests ist, dass eine Organisation erfährt, ob ein Angreifer in er Lage war, einen Mitarbeiter dazu bringen, vorgegebene Sicherheitsrichtlinien nicht einzuhalten oder vertrauliche Informationen weiterzugeben.

Aus diesem Grund ist es enorm wichtig, dass Organisationen eine passende Sicherheitsrichtlinie erstellen, die die Mitarbeiter kennen und verstehen.

Durch die Social Engineering Penetrationstests wird auch festgestellt, wie erfolgreich eine Security Awareness Schulung war.

Wie kann ein Social Engineering Penetrationstest umgesetzt werden?

Im Rahmen eines Social Engineering Penetrationstests werden verschiedenste Angriffstechniken verwendet. Bevor diese allerdings zur Anwendung kommen, sollten die klassischen Anfangsphasen eines Penetrationstests durchlaufen werden. Somit sollte als erstes die Informationsbeschaffungsphase durchgeführt werden, wozu eine OSINT Analyse in Bezug auf das Ziel – Mitarbeiter – durchgeführt wird.

Nun sollten sich die Penetrationstester verschiedene gefälschte digitale Identitäten erstellen, mit denen sie Kontakt zu einzelnen Mitarbeitern aufnehmen. Diese Identitäten helfen dabei, weitere Informationen zu extrahieren, dieser Vorgang wird Pretexting genannt. Dies können zum Beispiel Kunden, Techniker, Dienstleister des Opfers oder ähnliches sein. Ziel ist es, wie im Social Engineering üblich, über eine gefälschte Identität das Vertrauen des Opfers zu gewinnen und somit an Informationen zukommen, die der Angreifer unter normalen Umständen nicht erhalten könnte.

Durch diese ersten Angriffe kann die Informationsbeschaffung ausgeweitet werden. Nachdem genug Informationen gesammelt wurden, können potenzielle Angriffsvektoren identifiziert und Angriffe konstruiert werden. Nach der detaillierten Planung der Angriffe kommt es zur Ausführung des Social Engineering Penetrationstests.

Beispiel-Angriffe eines Social Engineering Penetrationstests

Phishing via E-Mail
Phishing via Telefon ggf. mit gespoofter Telefonnummer
Bösartige Hardware an Mitarbeiter verteilen
Informationen durch Mitarbeiter extrahieren
Mitarbeiter gezielt dazu überreden, gegen Sicherheitsrichtlinien zu verstoßen
Zugang zum Gebäude und Räumlichkeiten verschaffen

Warum sind Social Engineering Penetrationstests wichtig?

Social Engineering Penetrationstests sind einer der wenigen Möglichkeiten, die Sicherheit der menschlichen Komponente realistisch zu testen. Viele andere Tests fragen theoretisches Wissen ab. Ob sich die Mitarbeiter aber in der Realität auch so verhalten, lässt sich nur durch reale Tests feststellen. Ein weiterer Vorteil stell das weite Spektrum der Social Engineering Penetrationstests dar. Der Auftraggeber erhält einen sehr aufschlussreichen und ganzheitlichen Einblick in seine Cyber-Sicherheit in Bezug auf die menschliche Komponente.