Vorbereitung

Ein Industriespionageangriff ist eine sehr heikle Sache - ob real oder in einer Simulation. Die Ergebnisse schlagen in der Regel hohe Wellen und bereits während eines simulierten Assessments können kritische Situationen entstehen. Daher ist die Anbieterauswahl absolut erfolgskritisch. HvS-Consulting führt seit über 10 Jahren solche Assessments bei Kunden in hochsensiblen Branchen (Banken, Versicherungen, Luft- und Raumfahrt, Rüstung, etc.) durch. Nahezu jeder Auftraggeber hat vorab unsere Leistungen bei einem oder mehreren Referenzkunden verifiziert. Das sollten Sie auch tun!

Wir definieren gemeinsam mit Ihnen die Geschäftsbereiche und sensiblen Informationen, die für das Social Engineering Assessment in Frage kommen. Typische Zielobjekte sind beispielsweise Personal- und Buchhaltungsdaten, Businesspläne und Strategien, Vorstandsinformationen und Entwicklungsdaten.

Zusammen legen wir den detaillierten Umfang (Reines Social Engineering, mit Hacking, mit physischem Zugang, etc.) und die Art der Durchführung (Black Box oder White Box - Test) fest. Wir beraten Sie, wer vorab in ein solches Assessment mit einbezogen werden sollte.

Durchführung

Das eigentliche Assessment gliedert sich in drei Phasen:

  • Informationsrecherche: Mit einer gezielten Recherche suchen wir nach verfügbaren Informationen, um den eigentlichen Angriff vorzubereiten und mögliche Angriffsszenarien und potenzielle Opfer zu identifizieren.
  • Zugang: In den meisten Assessments lautet der Auftrag, vor Ort physischen Zugang zu Ihrem Werksgelände und den Büros zu erlangen... was in der Regel auch möglich ist, sei es durch freundliches Reinigungspersonal, eine Besuchergruppe oder klassisches "Tailgaiting".
  • Informationsdiebstahl: Nun beginnt die Kernphase. Mit Telefonanrufen und gefälschten E-Mails entlocken wir Mitarbeitern Zugangsdaten zu Systemen und melden uns mit diesen Zugangsdaten an. Den Erfolg dokumentieren wir durch anonymisierte Screenshots, beispielsweise vom Laufwerk der Personalabteilung. "Dumpster Diving" in den Abendstunden rundet ein typisches Assessment ab.

Sie behalten als Auftraggeber während des gesamten Assessments volle Kontrolle. Sie bestimmen die Intensität der einzelnen Angriffsstufen und sind fortlaufend über die Ereignisse informiert.

Nachbereitung

Nach erfolgtem Assessment werden Vorgehen und Ergebnisse mit Screenshots sauber dokumentiert. Sie erhalten von HvS eine Einschätzung Ihres Unternehmens im Vergleich zu anderen Unternehmen und bekommen konkrete Handlungsempfehlungen zur Minimierung der aufgedeckten Risiken.

Typischerweise präsentieren wir die Ergebnisse gemeinsam mit Ihnen vor der Geschäftsleitung.