Fragestellung
Könnten Angreifer in einen (Hoch-)Sicherheitsbereich eindringen? Könnten Sie die Produktion sabotieren oder Betriebsgeheimnisse stehlen? Wie verhalten sich die Mitarbeiter bei solchen Social Engineering Angriffen?
Umsetzung
Wir definieren das Bedrohungsszenario, überlegen uns Angriffswege, bei denen Mitarbeiter im Fokus stehen und führen die Angriffe vor Ort durch. Das Ziel, das wir erreichen sollen, kann aber durchaus auch der Zugriff auf IT-Ressourcen sein.
Ergebnis
Sie erhalten eine ausführliche Dokumentation der Angriffe mit identifizierten Schwachstellen und einem Benchmark zum Industriestandard. Und sehr viel Security Awareness in der Geschäftsleitung bei der Management-Präsentation.
Social Engineering: Angriffe über unerwartete Wege
Viele Unternehmen schützen sich schwerpunktmäßig gegen Angriffe aus dem Cyber Space, indem sie ihre Systeme absichern, Security Monitoring aufbauen und ihre Mitarbeiter für Phishing-E-Mails sensibilisieren.
Angreifer können aber auch unerwartete Wege einschlagen, abhängig von ihrer Motivation und ihren Möglichkeiten: Vor Ort kommt man als Angreifer spielend leicht an interne Informationen und wenn es kompliziert werden sollte, kann man einfach nachfragen.
Manipulation von Menschen durch Ausnutzung psychologischer Tricks nennt man Social Engineering. Wir kundschaften Ihren Standort aus und beobachten die Unternehmenskultur. Wir wechseln geschickt die Verkleidung und Identität, verschaffen uns durch Tailgaiting oder Lock-Picking (Schlößer knacken) Zutritt und legen infizierte USB-Sticks aus. Wir verteilen als IT-Mitarbeiter neue Tastaturen mit Keylogger oder fragen gleich direkt nach dem Passwort - natürlich immer mit einem plausiblen Grund. Da unsere Social Engineers auch gute Hacker sind, nutzen wir die vor Ort gewonnen Informationen, um Ihre IT zu missbrauchen, eigene Zutrittsberechtigungen auszustellen oder weitere Besucher anzumelden.
In den vergangenen 20 Jahren haben wir in Social Engineering Assessments Prototypen gestohlen, sind in abgeschottete Forschungsbereiche eingedrungen, haben Wanzen im CEO Büro platziert oder Bombenattrappen in Hochsicherheitsrechenzentren geschmuggelt. Alles im Kundenauftrag, immer auf der guten Seite der Macht.
Nutzen von Social Engineering Assessments
Top-Management Sensibilisierung
Die Ergebnisse eines Social Engineering Assessments sind sehr gut geeignet, um das Top-Management zum Thema Security zu sensibilisieren, weil die Risiken sehr greifbar sind und eine hohe persönliche Betroffenheit erzeugen. Wenn Ihr CEO seine eigene Zielvereinbarung in der Ergebnispräsentation sieht, wird Security zur Chefsache. Versprochen!
Messung Ihrer physischen Sicherheit
Sie bekommen einen sehr realitätsnahen Eindruck, ob Ihre physischen Sicherheitsmaßnahmen wirksam sind und wie Ihre Mitarbeiter in der Praxis auf Manipulationsversuche reagieren. Wir decken durch die Kombination von Hacking und Social Engineering Schwachstellen in als sicher erachteten Zutrittsprozessen auf und liefern viele Optimierungsvorschläge.
Konvergenz von Corporate- und IT-Security
Social Engineering Assessments schaffen sehr häufig einen Perspektivwechsel, weg von IT-Sicherheit in der einen und physischer Sicherheit in der anderen Ecke, hin zu einem verzahnten, ganzheitlichen Ansatz von Informationssicherheit (neu-deutsch "Cyber-Security"). Das mündet häufig in einer konstruktiven Vernetzung dieser beiden wichtigen Security-Disziplinen.
Ablauf und Hintergrundinformationen
Vorgehen und Inhalte
Entscheidend für ein erfolgreiches Assessment ist eine gute Vorbereitung. Ein kleiner Fehler und die Lage kann außer Kontrolle geraten oder wir fliegen auf und müssen aufhören. Dann hätten wir viel Zeit und Mühe für einen geringen Erkenntnisgewinn investiert.
Deswegen bereiten wir das Assessment zusammen mit Ihnen gründlich vor:
- Wir definieren Ziele, die gleichzeitig herausfordernd, aber auch realistisch sind und Betroffenheit erzeugen. Das steigert die Akzeptanz für abgeleitete Maßnahmen.
- Der Kreis der Informierten muss gut überlegt sein, die Lage darf weder eskalieren, noch darf es zu viele Eingeweihte geben.
Wichtig sind auch klar definierte Spielregeln und Grenzen. Sie behalten während des gesamten Assessments die Kontrolle und sind jederzeit über unsere Schritte informiert. Sie können "No Gos" definieren und einzelne Aktionen stoppen. Wir achten ethische Grundsätze: Angriffe auf der Beziehungsebene sind für uns ein absolutes Tabu, genauso wie eine persönliche Bloßstellung einzelner Beteiligter.
Vorbereitung
- Termin zur Abstimmung des Scopes
- Kick-Off-Meeting
Durchführung
- Workshop zur Definition der konkreten Ziele und Spielregeln
- Informationsrecherche (HUMINT, OSINT, "Vor-Ort Begehung")
- Angriffsplanung und Vorbereitung
- Durchführung des Angriffs mit physischen Angriffen und Social Engineering und ggf. Hacking
- Regelmäßige Status Meetings
Auswertung
- Anschauliche Dokumentation des Angriffspfads
- Replay-Workshop mit dem Projekt Team
- Management Präsentation
Ein Blick in unseren Werkzeugkasten
- Spear-Phishing
- Phishing Anrufe (Vishing)
- Gefälschte Ausweise
- Verkleidungen
- Einschleusen von Mitarbeitern (über Bewerbungen)
- Tailgating
- ...
- Lock Picking
- Keylogger
- Wanzen
- Dropbox mit mobilem Internet (Remotezugang/Exfiltration)
- Screen Grabber
- präparierte USB Sticks
- ...
Wollen Sie wissen, wie gut Sie gegen einen "Besuch" durch uns gewappnet sind?
Lassen Sie uns in einem Webmeeting kennenlernen und über Ihre Zielsetzungen sprechen
Weitere Adversary Simulations

Das Trainingslager für Incident Response Teams. Wie schnell erkennt Ihr Blue Team Angriffsaktionen? Wird der Schweregrad richtig eingestuft und wie lange dauert es bis zur erfolgreichen Abwehr? Schicken Sie ihr Team ins Trainingslager!

Wie gut erkennen und verhindern Sie echte Cyberangriffe? Unser Red Teaming Assessment simuliert Angriffe, deckt Schwachstellen auf und verbessert Ihre Detection.

Testen Sie Ihre IT-Sicherheit mit einem Security Stresstest! Erfahren Sie, wie schnell Angreifer Ihr Netzwerk infiltrieren können und welche Schäden ein Angriff anrichten könnte.