• Navigation
  • business
    • Digital Transformation Consulting
    • Finanzdienstleistungen
      • Emissionsprozesse
      • Sustainable Finance
      • Blockchain
      • Digital Banking
      • Regulatorik
      • Governance Risk Compliance
      • Zahlungsverkehr
    • Telekommunikation
    • Transport und Logistik
    • Automobil
    • Energiewirtschaft
    • Handel
    • Gesundheit
  • efficiency
    • Geschäftsprozessoptimierung
      • Robotic Process Automation
    • IT Security Consulting
      • Pentest
      • IT Security Check
    • Smart Data Management
    • Enterprise Architecture Management
    • Application Lifecycle Management
    • Projektmanagement
  • engineering
    • Solution Engineering
      • Agile Anwendungsentwicklung
      • Test und Qualitätssicherung
      • Anwendungsintegration
    • RSA Archer Suite | Anpassung und Implementierung
    • PINQ Case Management
    • Atlassian Solution Partner
      • Atlassian Add-ons
  • company
    • Unternehmenskultur
    • Management
    • Kunden
    • Partner
    • Consileon-Gruppe
    • CO2-frei
    • Soziales Engagement
    • Daten und Fakten
    • Standorte
    • 20 Jahre syracom – 20 Jahre HEARTBEET
  • career
    • Arbeiten bei syracom
      • Events
      • Karrierewege
    • Ausbildung
    • Duales Studium
    • Studenten
      • Hochschulkooperationen
      • Referenzen unserer Studenten
    • Berufseinsteiger
    • Berufserfahrene
    • Stellenangebote
  • news
    • Events
    • BLOG
      • Atlassian Solution Partner
        • syracom-App Team Radar und wie es dazu kam
        • The last one turns off the light
        • Using Secure Login with Yubikey
        • Recap of AtlasCamp 2016
      • Banken
        • Nachhaltigkeitsmanagement – ein echter Wettbewerbsvorteil
        • Nachhaltige Investitionen: Europäisches Parlament nimmt Taxonomie-Verordnung an
        • Blockchain-Technologie und Datenschutz
        • Robo Advisors - Revolution oder Evolution
        • Virtual Reality – mehr als nur Spielerei
        • Zahlungsdiensterichtlinie
        • Bitcoin, Ethereum & Co
        • Blockchaintechnologie - Potential für Disruption
        • Blockchaininteresse weiter ungebremst
        • Nachfrage nach virtuellen Währungen weiterhin hoch
        • VisualVest - neues Fintech der Union Investment
        • Der ganz normale Change-Wahnsinn
        • 6. D-A-CH Kongress für Finanzinformationen
        • Neues Derivateportal der DZ BANK
      • bee social
        • Euro-Tour 2016: Von Breslau über Wiesbaden nach San Sebastián
        • Weihnachten: Die Zeit der Freude
      • Career
        • „bee part of it“ - Mit IT-Studenten auf "Du und Du" in Sachen Berufseinstieg
        • „bee welcome“ - Prickelnde Begrüßung unserer neuen Mitarbeiter
        • Deutschlandstipendium: Die Macher von morgen begeistern
        • Ein bisschen wie Christoph Kolumbus, nur moderner
      • Digitale Transformation
      • Enterprise Integration
        • Adaptive Case Management im Cynefin Framework
        • ReConf 2016
      • IT Security
        • Kombinierte Awareness Kampagne
        • IT-Sicherheit und COVID-19: Wie sicher ist Ihr Unternehmen?
      • Prozessoptimierung
      • Solution Engineering
        • Warum Clean Architecture?
        • Digitalisierung von Geschäftsprozessen smart gelöst
      • Test und Qualitätssicherung
        • Einblicke auf dem German Testing Day
      • Zahlungsverkehr
        • Instant Payments: Lösungen zur europaweiten Erreichbarkeit
        • Konsolidierung von TARGET2 und T2S – die Zeit läuft (ab?)
        • Umstellung auf ISO 20022 im Zahlungsverkehr: Hochkomplex und zeitkritisch
        • Instant Payments – eine Zahlmethode, welche die Banken zum Handeln zwingt
        • Die Konsolidierung von TARGET2 und T2S schreitet weiter voran
        • TIPS: Geplantes Go-Live im November 2018
        • TARGET2 - TARGET2/T2S Konsolidierung
        • Instant Payments: RT1 - erfolgreicher Start bei EBA CLEARING
        • Instant Payment – Interoperabilität als Schlüssel zum Erfolg
        • Central Liquidity Management - zentraler Bestandteil der Konsolidierung von TARGET2 und T2S
    • Publikationen
    • Presse
De | En
  • Home
  • news
  • BLOG
  • IT Security
  • Kombinierte Awareness Kampagne

Kombinierte Awareness Kampagne

19.Nov.2019 Anna Gschwendtner IT Security
Kombinierte Awareness Kampagne

Schwachstellen in der Unternehmenssicherheit

Social Engineering zählt in Kombination mit anderen Angriffsformen zu den größten Bedrohungen der Informationssicherheit und verursacht jährlich dutzende Unternehmensausfälle, sowie Schäden und Folgekosten, die in die Millionen Euro gehen [1,2]. Angriffe dieser Art folgen einem einfachen Grundprinzip: Der Angreifer macht sich psychologische Mechanismen zu Nutze, um an physische oder digitale Unternehmenswerte zu gelangen. Die Angriffsform ist besonders attraktiv, denn das damit verbundene Risiko ist gering, die Erfolgschancen sind hingegen hoch. Wir zeigen uns besonders empfänglich für solche Manipulationsmethoden, wenn uns diese nicht bewusst sind. Zudem hinterlässt ein solcher Angriff im Unternehmenskontext in der Regel wenige, bei entsprechender Vorbereitung sogar gar keine Spuren.

Wie können solche Vorfälle aussehen? Wir veranschaulichen das mit Beispielen.

Phishing-Mails, Social Media, Telefonanrufe bieten Angriffsstellen

Ein Angriff kann sich sowohl einfach als auch komplex gestalten: Oft werden simple Phishing-Mails versendet, die dazu verleiten sollen, manipulierte Links oder Anhänge zu öffnen. Mitarbeiter agieren zum Teil nachlässig, werden sie doch täglich mit einer Vielzahl an E-Mail-Korrespondenz konfrontiert.

Neben Phishing-Mails kann aber auch ein unbedachter Umgang mit Social Media gravierende Konsequenzen haben. Ein berühmtes Beispiel hierfür ist die von Robin Casey und Thomas Ryan erschaffene virtuelle Identität der Robin Sage - eine angeblich äußerst brillante, junge Security-Expertin - welche genutzt wurde, um Zugang zu sensiblen und geheimen Daten zu erhalten.[3].

Aber nicht nur digitale Wege nutzen Angreifer erfolgreich. Oft bedienen sie sich analoger Mittel, um schließlich Zugriff auf sensible Daten zu bekommen. So kann der liegengelassene USB-Stick eines vermeintlichen Kollegen schnell zur Gefahr werden. Auch der scheinbar harmlose Anruf eines potenziellen Kunden, der einen gewissen Mitarbeiter sprechen möchte, kann sich als Angriff auf das Unternehmen erweisen. Eigentlich wollte der Angreifer nämlich nur sicherstellen, dass der Mitarbeiter auch wirklich im Urlaub ist und somit sein Arbeitsplatz nicht besetzt und ungeschützt ist.

Vorgewarnt bedeutet bewaffnet

Diese Beispiele zeigen nur wenige der vielen Möglichkeiten auf, die ein Social Engineer nutzt, um sich gewünschte Daten oder Zugänge zu erschleichen. Insbesondere die Unwissenheit der Betroffenen wird ausgenutzt. Jemand, der die Methoden und Vorgehensweisen im Social Engineering nicht kennt, ist ihnen schutzlos ausgeliefert. Deswegen ist das wichtigste Gegenmittel gegen solche Angriffe die Schaffung einer Awareness für Social Engineering.

syracom IT Security Consulting: Die Lösung für die Sicherheit unserer Kunden

syracom hat es sich zum Ziel gemacht, bei Kunden einen bestmöglichen Sicherheitsstandard zu etablieren. Dafür kombinieren wir eine lokal durchgeführte Sicherheitskulturanalyse mit gezielten Awareness-Maßnahmen. Mit diesem Ansatz können Kunden sowohl Angriffe erkennen als auch die entsprechenden Maßnahmen richtig priorisieren und ergreifen.

1.    IT Security Consulting: Sicherheitslücken identifizieren

Sicherheitsrelevante Maßnahmen benötigen zu allererst die Zustimmung von Geschäftsführung und Betriebsrat. Ist diese vorhanden, können die verantwortlichen Abteilungen die notwendigen Schritte unternehmen, Sicherheitsmaßnahmen nach und nach umsetzen und nachhaltig etablieren. Unterstützend wird daher ein C-Level-Awareness Training vor Ort durchgeführt. Dieses ist speziell auf die Bedürfnisse von Führungskräften abgestimmt und gibt diesen so die notwendigen Werkzeuge für den Umgang mit Social Engineering in die Hand.

Eine einleitende Phishing Academy gibt ihnen einen Überblick über Klickraten bei leicht zu erkennenden Phishing-Mails. Des Weiteren sammeln Mitarbeiter erste praktische Erfahrungen mit den damit verbundenen Gefahren.

Anschließend wird ein IT-Sicherheits-Check durchgeführt, welcher die Ausgangssituation im Unternehmen bestimmt und akute Handlungsbedarfe identifiziert (s. Abb. unten). Zur Verstärkung des Trainingseffekts bieten wir zeitgleich eine weiterführende Phishing Academy mit erhöhtem Schwierigkeitsgrad an. Die aus den durchgeführten Maßnahmen gewonnenen Ergebnisse werden durch eine Einordnung der Resultate sowie durch Handlungsempfehlungen zur Reduktion des Risikos ergänzt, präsentiert und in Form eines Reports zur Verfügung gestellt.

2.    IT Security Consulting: Sicherheitslücken schließen

Zur Schließung der identifizierten Lücken setzt syracom auf eine Kombination verschiedener Lösungsbausteine: Schulung vor Ort, Serious Gaming und eine Plattform mit individuell konfigurierbaren Schulungsinhalten, anhand welcher die Schulungsbedarfe der einzelnen Mitarbeiter gedeckt werden können. Alle Bausteine orientieren sich an den zuvor identifizierten Handlungsbedarfen und werden somit genau auf Ihre Bedürfnisse angepasst. So kann ein Problem- und Verantwortungsbewusstsein auf allen Ebenen geschaffen und langfristig beibehalten werden – vom C-Level bis zu den Spezialisten in den Fachabteilungen.

Autorenprofil

Anna Gschwendtner ist Wirtschaftsinformatikerin und seit 2017 als Consultant bei syracom. Neben ihren Projekten in unterschiedlichen Bereichen - derzeit im Governance, Risk and Compliance-Umfeld - ist sie stellvertretende Leitung des Themenbereichs Security und treibt dort u.a. die Portfolioentwicklung zu Social Engineering und zum IT-Security-Check voran.

 

[1] Beispielsweise ist Social Engineering bzw. der menschliche Faktor im “ENISA Threat Landscape Report 2018” unter den 15 größten Cyberbedrohungen und Trends gelistet; der Behörde DARPA zufolge wird der Faktor in derzeit ca. 80% der Cyberangriffen genutzt (The Active Social Engineering Defense (ASED) program, DARPA).
[2] Beispiele hierfür sind der Emotet-Angriff bei Heise (April 2019), Angriffe auf Kliniken wie die Maulklinik (Juni 2019), Tesla (September 2018) oder die an Kunden von N26 gerichtete Phishing-Kampagne (März 2019)
[3] Ein prominentes Beispiel dafür ist Robin Sage, geschaffene fiktive Security-Expertin (2009)
Mithilfe des Social Media-Fake-Profils nahmen die beiden Security-Spezialisten Kontakt zu über 300 Security-Experten aus dem amerikanischen Militär, der Regierung oder einflussreicher Unternehmen auf. Anhand dieser Kontakte gelangten sie an Emailadressen, Bankdaten und geheime Informationen. So war es ihnen schließlich ein leichtes, die Lage geheimer Militärstandorte zu ermitteln. Wären die Daten in die falschen Hände geraten, so hätte dies laut Thomas Ryan sogar die nationale Sicherheit gefährden können. 

Dieser Blogpost wurde bisher 2484 mal aufgrufen.

Tags #IT Security #Social Engineering #IT-Sicherheit

Blogpost teilen

Zurück zur Übersicht

INSIGHTS!

Aktuelle Themen frisch aus dem Kopf. Wir freuen uns diese mit Ihnen zu teilen und zu diskutieren.

Kategorie:

  • Atlassian Solution Partner
  • Banken
  • bee social
  • Career
  • Digitale Transformation
  • Enterprise Integration
  • IT Security
  • Prozessoptimierung
  • Solution Engineering
  • Test und Qualitätssicherung
  • Zahlungsverkehr

Autor:

  • Alexander Küken
  • Anna Gschwendtner
  • Boris Schleicher
  • Christof Kosinski
  • Dominik Strecker
  • Frank Hoffmann
  • Harald Keller
  • Hendrik Kurz
  • Jan Fäth
  • Leif Gesinn
  • Maike Einhaus-Eilermann
  • Manfred Freitag
  • Markus Kerz
  • Matthias Kunz
  • Oliver Tornow
  • Philipp Kramer
  • Redakteur
  • Team Banking
  • Team Digitale
  • Tobias Konhäuser

Tags:

  • #2FA
  • #ACM
  • #Adaptive Case Management
  • #Add-On
  • #Atlassian
  • #BPM
  • #Banken
  • #Beratung
  • #Bitcoin
  • #Blockchain
  • #Blockchaintechnologie
  • #BootCamp 2016
  • #Business Process Management
  • #Career
  • #Central Liquidity Management
  • #Cynefin
  • #Cynefin Framework
  • #Digitalisierung
  • #Disruptive Technologie
  • #EBA
  • #ECB
  • #EZB
  • #Euro Tour
  • #Eurosystem
  • #Firmenkontakttag2016
  • #GRC
  • #Geschäftsprozesse
  • #ISO 20022
  • #IT Consultant Job
  • #IT Security
  • #IT-Sicherheit
  • #Instant Payment
  • #Instant payments
  • #JIRA
  • #Konsolidierung
  • #Kryptowährung
  • #Line of Defense Modell
  • #Mitarbeitergewinnung
  • #Nachhaltigkeit
  • #Nachhaltigkeitsmanagement
  • #Payment Service Directive
  • #Plugin
  • #R3-Konsortium
  • #RT1
  • #ReConf
  • #Robo Advisor
  • #Secure Login
  • #Social Engineering
  • #SustainableFinance
  • #T2S
  • #TARGET2
  • #TIPS
  • #Target2
  • #Technologie
  • #Traumjob
  • #Virtual Reality
  • #Virtuelle Währung
  • #XS2A
  • #Yubikey
  • #Zahlungsverkehr
  • #Zertifikate
  • #beehappy
  • #beesocial
  • #clean architecture
  • #enterpriseintegration;
  • #hrReinMain
  • #security
  • #software architecture
  • #stipendium
  • #studenten
  • #syracom
  • #syracomfürkinder

Archiv:

2020

  • Juli
  • Juni
  • April

2019

  • November
  • Oktober
  • September
  • August
  • Juli
  • Mai
  • April
  • Februar

2018

  • Dezember
  • Oktober
  • September
  • Juni
  • März
  • Januar

2017

  • Juli
  • Juni
  • März
  • Februar

2016

  • Dezember
  • November
  • Oktober
  • Juni
  • Mai
  • April
  • März
  • Februar
  • Januar

beebusiness efficiency engineering

SitemapDatenschutzGender-HinweisImpressumCookie Einstellungen