Social Engineering Penetrationstest - Prof. Dr. Norbert Pohlmann
Social Engineering Penetrationstest | |
Inhaltsverzeichnis Was ist ein Social Engineering Penetrationstest?
Hierbei werden prinzipiell die organisatorisch, technisch, menschlich und physischen Aspekte der Informationssicherheit betrachtet. Im Rahmen von Social Engineering Penetrationstest werden Tests zur Überprüfung möglichen menschlichen Fehlverhaltens durchgeführt. . Das Ziel eines Social Engineering Penetrationstests ist es zu überprüfen, ob die von Organisationen definierten Sicherheitsrichtlinien durch die Mitarbeiter eingehalten werden. Das Ergebnis eines Social-Engineering-Pentests ist, dass eine Organisation erfährt, ob ein Angreifer in er Lage war, einen Mitarbeiter dazu bringen, vorgegebene Sicherheitsrichtlinien nicht einzuhalten oder vertrauliche Informationen weiterzugeben. Aus diesem Grund ist es enorm wichtig, dass Organisationen eine passende Sicherheitsrichtlinie erstellen, die die Mitarbeiter kennen und verstehen. Durch die Social Engineering Penetrationstests wird auch festgestellt, wie erfolgreich eine Security Awareness Schulung war. Wie kann ein Social Engineering Penetrationstest umgesetzt werden?Im Rahmen eines Social Engineering Penetrationstests werden verschiedenste Angriffstechniken verwendet. Bevor diese allerdings zur Anwendung kommen, sollten die klassischen Anfangsphasen eines Penetrationstests durchlaufen werden. Somit sollte als erstes die Informationsbeschaffungsphase durchgeführt werden, wozu eine OSINT Analyse in Bezug auf das Ziel – Mitarbeiter – durchgeführt wird. Nun sollten sich die Penetrationstester verschiedene gefälschte digitale Identitäten erstellen, mit denen sie Kontakt zu einzelnen Mitarbeitern aufnehmen. Diese Identitäten helfen dabei, weitere Informationen zu extrahieren, dieser Vorgang wird Pretexting genannt. Dies können zum Beispiel Kunden, Techniker, Dienstleister des Opfers oder ähnliches sein. Ziel ist es, wie im Social Engineering üblich, über eine gefälschte Identität das Vertrauen des Opfers zu gewinnen und somit an Informationen zukommen, die der Angreifer unter normalen Umständen nicht erhalten könnte. Durch diese ersten Angriffe kann die Informationsbeschaffung ausgeweitet werden. Nachdem genug Informationen gesammelt wurden, können potenzielle Angriffsvektoren identifiziert und Angriffe konstruiert werden. Nach der detaillierten Planung der Angriffe kommt es zur Ausführung des Social Engineering Penetrationstests. Beispiel-Angriffe eines Social Engineering Penetrationstests
Warum sind Social Engineering Penetrationstests wichtig?Social Engineering Penetrationstests sind einer der wenigen Möglichkeiten, die Sicherheit der menschlichen Komponente realistisch zu testen. Viele andere Tests fragen theoretisches Wissen ab. Ob sich die Mitarbeiter aber in der Realität auch so verhalten, lässt sich nur durch reale Tests feststellen. Ein weiterer Vorteil stell das weite Spektrum der Social Engineering Penetrationstests dar. Der Auftraggeber erhält einen sehr aufschlussreichen und ganzheitlichen Einblick in seine Cyber-Sicherheit in Bezug auf die menschliche Komponente. Weitere Informationen zum Begriff “Social Engineering Penetrationstest”:
„Social Media Scraper im Einsatz – Wie Kriminelle hoch personalisierte Phishing-Attacken vorbereiten“ „Business Chat ist verwirrt. Es hat sich vor Verwirrung selbst verletzt! – Chishing“ „Sei gewarnt! Vorhersage von Angriffen im Online-Banking“ „Plenty of Phish in the Sea: Analyzing Potential Pre-Attack Surface“ „Dreiklang der IT-Sicherheit: Menschen, Prozesse, Technologie“ „Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“ „Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“
„Security: Kann es Sicherheit im Netz geben?“ „Self-Sovereign Identity (SSI) – Das souveräne europäische Ökosystem für Identitätsdaten“ „Experten-Roundtable “EDGE: Cloud-Continuum oder Revolution?”“
„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“ Zurück zur Übersicht Summary Article Name Social Engineering Penetrationstest Description Das Ergebnis eines Social-Engineering-Pentests ist, dass eine Organisation erfährt, ob ein Angreifer in er Lage war, einen Mitarbeiter dazu bringen, vorgegebene Sicherheitsrichtlinien nicht einzuhalten oder vertrauliche Informationen weiterzugeben. Author Prof. Norbert Pohlmann Publisher Name Institut für Internet-Sicherheit – if(is) Publisher Logo | |