Sie sind hier
E-Book

Social Engineering - Der Mensch als Sicherheitsrisiko in der IT

Der Mensch als Sicherheitsrisiko in der IT

AutorMarcus Lipski
VerlagDiplomica Verlag GmbH
Erscheinungsjahr2009
Seitenanzahl88 Seiten
ISBN9783836625746
FormatPDF
Kopierschutzkein Kopierschutz/DRM
GerätePC/MAC/eReader/Tablet
Preis34,99 EUR
Wenn man in der IT über die Sicherheit spricht, fallen meistens Begriffe wie Firewall, Virenscanner, Demilitarisierte Zone (DMZ), Proxy, Verschlüsselung, Benutzername und Passwort, Token, um nur einige zu nennen. Es ist durchaus richtig, dass all diese Komponenten für die Sicherheit der IT unverzichtbar sind, doch leider wird bis heute eine Schwachstelle nicht genügend beachtet: der Mensch! Gerade in der IT-Sicherheit ist das Sprichwort 'Keine Kette ist stärker, als ihr schwächstes Glied' sehr treffend. Jedes Sicherheitskonzept, egal wie raffiniert und durchdacht es ist, lässt sich in Sekundenschnelle aushebeln, wenn die Mitarbeiter freiwillig ihre Passwörter oder andere wichtige Informationen preisgeben, sobald man sie danach fragt. Social Engineering ist eine von vielen Angriffsarten, die zum Ziel haben die Kontrolle über Computersysteme bzw. die darin enthaltenen Informationen zu erlangen. Durch die geschickte Ausnutzung des Menschen ist es dem Angreifer, meist ohne ein technisches Hilfsmittel einzusetzen, möglich, an die gewünschten Informationen zu gelangen. Im Zuge dieses Buches wird erläutert, was Social Engineering ist, warum es funktioniert, wie ein Angreifer sich vorbereitet, wie ein Angriff abläuft, wie man ihn erkennt, wie man ihn abwehrt und wie man ihm vorbeugt. Der Leser wird mit den verschiedensten Arten der Informationsbeschaffung und Angriffsvarianten vertraut gemacht. Am Ende werden Maßnahmen zur effektiven Vorbeugung von Angriffen erläutert. Dies umfasst z.B. die Definition von Regeln für eine Sicherheitsleitlinie, sowie die Auflistung der wichtigsten Abwehrmaßnahmen.

Marcus Lipski, Diplom-Informatiker (FH), Studium der Informatik mit Schwerpunkt Informations- und Kommunikationsmanagement an der Wilhelm Büchner Hochschule Darmstadt. Abschluss 2009 als Diplom-Informatiker. Derzeit tätig als Mitarbeiter eines Service Centers im Bereich der Endgeräte- und Kundenbetreuung (IT).

Kaufen Sie hier:

Horizontale Tabs

Leseprobe
Textprobe: Kapitel 4, Vorbereitung eines Angriffs: Beim Social Engineering kommt es auf die Gewinnung von Informationen an. Es geht nicht nur um die Zielinformationen die der Social Engineer haben will, sondern auch um die Informationen, die er benötigt um sein Ziel zu erreichen. Je mehr der Social Engineer von seinem 'Opfer' weiß, desto größer sind seine Erfolgschancen. Es gibt viele unscheinbare Informationen in einem Unternehmen, die den Social Engineer näher an sein Ziel bringen. So reicht meist schon eine einfache Telefonliste, um herauszufinden, wer in welcher Abteilung arbeitet, wie seine Telefonnummer ist und vielleicht sogar, wie seine E-Mail-Adresse lautet. Hat der Social Engineer erst einmal die notwendigen Informationen, ist es für ihn ein leichtes, sich innerhalb der Firmenstruktur zu bewegen und seine breite Palette an schauspielerischen Talenten auszuspielen. Die nachfolgenden zwei Kapitel geben einen Überblick darüber, welche Informationen für einen Social Engineer interessant sind und wie er sich diese Informationen beschafft. Durch die Kenntnisse der Verfahrensweisen und Begehrlichkeiten können Sie dem Social Engineer bereits seine Vorbereitungsphase erschweren, wenn Sie geeignete Maßnahmen ergreifen. Kapitel 4.1, Informationsbeschaffung: Um etwas in einem fremden (oder auch bekannten) Unternehmen zu erreichen, sind Informationen das Wichtigste. Je nach Ziel des Angriffs werden mehr oder weniger Informationen benötigt. Mithilfe von Telefon- und Mitarbeiterlisten ist es dem Social Engineer möglich, die Nummern von Ansprechpartnern zu ermitteln. Da die meisten Telefonlisten auch Informationen wie E-Mail-Adressen, Abteilungszugehörigkeit und vielleicht sogar die Position der jeweiligen Person enthalten, ist durch Kenntnisnahme einer solchen Liste ein hohes Sicherheitsrisiko gegeben. Der Social Engineer findet auf dieser Liste jede Menge potenzieller Opfer, die ihm gewünschte Informationen geben können. Diese Listen liegen meist neben jedem Telefon, auch in Besprechungsräumen, die vom Social Engineer leicht erreicht werden können, wenn er erst einmal im Gebäude ist. Durch die Kenntnisnahme von Organigrammen oder Hierarchiestrukturen weiß der Social Engineer, wer nur ein einfacher Mitarbeiter und wer Entscheidungsträger ist. Damit sind unnötige Anrufe bei weniger hilfreichen Personen vermeidbar, was das Risiko einer Entdeckung drastisch reduziert. Auch Raumpläne geben einem Angreifer die Möglichkeit Hierarchien zu ermitteln oder sich mit der technischen Umgebung vertraut zu machen. Somit kann er sich zielsicher und selbstbewusst im Gebäude bewegen und wird vermutlich niemandem weiter auffallen. Sobald der Social Engineer weiß, mit welchen Dienstleistern und Zulieferern ein Unternehmen zu tun hat, kann er dies als Eintrittskarte für das Firmengelände benutzen oder mithilfe dieser Informationen sogar weitere telefonische Anfragen stellen, die einem Zulieferer, der ja nur seine Arbeit machen will, eher beantwortet werden, als einem unbekannten externen Anrufer. Auch ein Anruf bei einem der Zulieferer oder Dienstleister kann wertvolle Informationen liefern. Dies können Sie leicht verhindern durch die Definition von festen Ansprechpartnern auf beiden Seiten. Dienst- und Schichtpläne sind ebenfalls hilfreiche Informationsquellen. Wenn z.B. der Social Engineer bereits mit einem Mitarbeiter sprach, der ihm bereitwillig Auskunft gegeben hat, so könnte er anhand der Dienst- und Schichtpläne schnell feststellen, wann dieser Mitarbeiter wieder da ist, um so weitere Informationen zu erhalten. Man kennt sich ja schließlich und hilft sich gerne untereinander. Auch Schichtwechsel, in denen die Aufmerksamkeit nicht ganz so hoch ist, können dem Social Engineer von Nutzen sein. Der Informationsgehalt von Memos und Briefen dürfte jeden Social Engineer freuen. Der Social Engineer gewinnt dadurch Informationen über die Art und Weise, wie kommuniziert wird. Er hat die Möglichkeit die 'Sprache' der Firma zu lernen. Eine unschätzbare Fähigkeit, um sich als Insider auszugeben. Des Weiteren erfährt der Social Engineer auch genug über interne Vorgehensweisen, um diese für seine Angriffe zu nutzen. Mithilfe von Netzplänen, Computernamen und Netzwerkadressen lernt der Social Engineer die Struktur der Firma kennen. Durch diese Informationen könnte sich der Social Engineer z.B. auch als Fachmann der IT ausgeben und so unbedarfte Mitarbeiter verunsichern oder auf einer Ebene mit den Fachleuten aus der IT kommunizieren und sie somit glauben lassen, er wäre einer von Ihnen. Die Kenntnisse zur Funktionsweise von Zugangskontrollsystemen ist hilfreich um auch hier unerlaubten Zugriff, entweder durch direktes aushebeln der Zugangskontrollsysteme oder durch Manipulation der Sicherheitsleute bzw. Verantwortlichen für das Zugangskontrollsystem, zu erlangen. Wenn ein Social Engineer weiß, wie die Menschen arbeiten, kann er Schwachstellen in den Prozessen ermitteln und diese als Angriffspunkte benutzen. Dazu versucht er an Arbeitsanweisungen und Policies (bzw. Richtlinien) oder auch Prozessbeschreibungen zu kommen. Die Kenntnisse dieser Dokumente sind hilfreich, um Mitarbeiter der Firma glauben zu lassen, man sei einer von Ihnen, denn woher sollte ein Externer davon wissen?! Entsorgte Datenträger können für einen Social Engineer zum Heiligen Gral der Informationsbeschaffung werden. Je nach den auf dem Datenträger gespeicherten Informationen kann der Social Engineer mit ein wenig Glück bereits alle oben aufgeführten Informationen ohne viel Aufwand erhalten oder vielleicht sogar die Daten in den Händen halten, die er eigentlich sucht. Eine Entdeckung ist fast ausgeschlossen, da der Datenträger nicht mehr vermisst wird. Der Arbeitsaufwand für die Beschaffung dieser Datenträger dürfte auch nicht besonders groß sein.
Blick ins Buch
Inhaltsverzeichnis
Inhaltsverzeichnis3
Abkürzungsverzeichnis5
Abbildungsverzeichnis6
1 Einleitung7
1.1 Projekteinbettung7
1.2 Zielstellung9
1.3 Methodik10
2 Was ist Social Engineering?13
3 Warum funktioniert Social Engineering?17
4 Vorbereitung eines Angriffs21
4.1 Informationsbeschaffung21
4.2 Arten der Informationsbeschaffung24
5 Der Angriff27
5.1 Der Zyklus des Social Engineering27
5.2 Die Rollen des Social Engineers28
5.3 Übliche Methoden des Social Engineer31
5.3.1 Manipulation und Täuschung von Menschen31
5.3.2 Nutzung technischer Hilfsmittel32
5.4 Warnzeichen für einen Angriff33
5.5 Allgemeine Angriffsziele33
5.6 Faktoren, die einen Angriff begünstigen34
5.7 Der Angriff in zehn Schritten35
6 Abwehren eines Angriffs37
6.1 Verifikation und Datenklassifikation37
6.1.1 Verfahren zur Prüfung der Identitiät37
6.1.2 Verfahren zur Prüfung des Angestelltenstatus39
6.1.3 Verfahren zum Feststellen der Informationsberechtigung40
6.1.4 Kriterien zur Bestimmung von Nicht-Angestellten40
6.1.5 Datenklassifikation41
6.2 Rhetorik43
6.3 Die zentrale Anlaufstelle43
7 Einen Angriff verhindern, bzw. die Gefahr reduzieren45
7.1 Sensibilisierung45
7.2 Schulungen46
7.2.1 Schulungsziel47
7.2.2 Schulungsstruktur48
7.2.3 Schulungsinhalte48
7.2.4 Fortlaufende Sensibilisierung50
7.3 Physikalischer Schutz51
7.4 Prozessoptimierung (inkl. Notfallprozessen)51
7.5 Arbeitskomfort vs. Schutz52
7.6 Audits52
7.7 Betriebsklima53
7.8 Sanktionen und Belohnungen54
7.9 Die Sicherheitsleitlinie55
7.9.1 Aufbau einer Sicherheitsleitlinie55
7.9.2 Vorschläge für eine Sicherheitsleitlinie56
7.10 Zehn Regeln zur Abwehr eines Angriffs67
8 Zusammenfassung und Ausblick69
A Bearbeitung einer Anfrage nach ...73
A.1 ... Informationen74
A.2 ... Handlungen75
B Fallbeispiele76
B.1 HBSE - Die Geschichte von Janie Acton76
B.2 RSE & CBSE - Netzwerkausfall78
C Literaturverzeichnis83

Weitere E-Books zum Thema: Sicherheit - IT Security

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Weitere Zeitschriften

Berufsstart Bewerbung

Berufsstart Bewerbung

»Berufsstart Bewerbung« erscheint jährlich zum Wintersemester im November mit einer Auflage von 50.000 Exemplaren und ermöglicht Unternehmen sich bei Studenten und Absolventen mit einer ...

BIELEFELD GEHT AUS

BIELEFELD GEHT AUS

Freizeit- und Gastronomieführer mit umfangreichem Serviceteil, mehr als 700 Tipps und Adressen für Tag- und Nachtschwärmer Bielefeld genießen Westfälisch und weltoffen – das zeichnet nicht ...

Computerwoche

Computerwoche

Die COMPUTERWOCHE berichtet schnell und detailliert über alle Belange der Informations- und Kommunikationstechnik in Unternehmen – über Trends, neue Technologien, Produkte und Märkte. IT-Manager ...

Correo

Correo

 La Revista de Bayer CropScience para la Agricultura ModernaPflanzenschutzmagazin für den Landwirt, landwirtschaftlichen Berater, Händler und am Thema Interessierten mit umfassender ...

Das Hauseigentum

Das Hauseigentum

Das Hauseigentum. Organ des Landesverbandes Haus & Grund Brandenburg. Speziell für die neuen Bundesländer, mit regionalem Schwerpunkt Brandenburg. Systematische Grundlagenvermittlung, viele ...

Die Versicherungspraxis

Die Versicherungspraxis

Behandlung versicherungsrelevanter Themen. Erfahren Sie mehr über den DVS. Der DVS Deutscher Versicherungs-Schutzverband e.V, Bonn, ist der Interessenvertreter der versicherungsnehmenden Wirtschaft. ...

e-commerce magazin

e-commerce magazin

e-commerce magazin Die Redaktion des e-commerce magazin versteht sich als Mittler zwischen Anbietern und Markt und berichtet unabhängig, kompetent und kritisch über ...

elektrobörse handel

elektrobörse handel

elektrobörse handel gibt einen facettenreichen Überblick über den Elektrogerätemarkt: Produktneuheiten und -trends, Branchennachrichten, Interviews, Messeberichte uvm.. In den monatlichen ...

FileMaker Magazin

FileMaker Magazin

Das unabhängige Magazin für Anwender und Entwickler, die mit dem Datenbankprogramm Claris FileMaker Pro arbeiten. In jeder Ausgabe finden Sie von kompletten Lösungsschritten bis zu ...

filmdienst#de

filmdienst#de

filmdienst.de führt die Tradition der 1947 gegründeten Zeitschrift FILMDIENST im digitalen Zeitalter fort. Wir begleiten seit 1947 Filme in allen ihren Ausprägungen und Erscheinungsformen.  ...