Social Engineering Audit
Mitarbeiter Security-Awareness Audit
Ein Social Engineering Audit stellt die Verhaltensregeln von Mitarbeitern auf den Prüfstand, die in den internen Sicherheitsrichtlinien ( Security Policy ) festgeschriebenen sind.
Was ist Social Engineering?
Durch Vortäuschung falscher Tatsachen und Identitäten werden beim Social Engineering gezielt Personen soweit manipuliert, dass diese bestimmte Handlungen oder Aktionen ausführen. Mit gezielten Angriffstaktiken versuchen Angreifer sich in den Besitz von vertraulichen Daten oder Dokumenten zu bringen oder sich physischen Zugang zu sensiblen Unternehmensbereichen oder zu IT-Systemen zu verschaffen. Social Engineering gilt als eine der effizientesten und gefährlichsten Methoden der Informationsbeschaffung. Denn im Umfeld von Unternehmen, Organisationen und Behörden sind Social Engineering Attacken an der Tagesordnung, oft ohne Einsatz technischer Hilfsmitteln. Viele bleiben noch immer unentdeckt, da es an einer Sensibilisierung der Mitarbeiter mangelt. Angriffe erfolgen sowohl per Telefon wie auch durch direkte, persönliche Kontaktaufnahme.
Ziel eines Social Engineering Audits
Das Social Engineering Audit dient sowohl der Überprüfung der Security Awareness der Mitarbeiter (präventive Maßnahme) als auch der Schwachstellenanalyse nach einem erfolgten Angriff (reaktive Maßnahme nach einem Ernstfall) sowie zur Erarbeitung eines Security Awareness Konzeptes.
Social Engineering Audit Rules
Die Durchführung eines Social Engineering Audits durch CIM ist an feste und klar definierte Regeln gebunden, die sowohl geltenden Gesetzen als auch ethischen Ansprüchen gerecht werden.
- Gesetzeskonformität: Bei der Durchführung eines Social Engineering Audits werden alle Gesetze durch CIM strikt beachtet und nur solche Maßnahmen zur Anwendung gebracht, die auch den allgemein anerkannten ethischen Grundsätzen entsprechen.
- Verhältnismäßigkeit der Mittel: CIM achtet bei der Durchführung eines Social Engineering Audits auf die Verhältnismäßigkeit der Mittel und vermeidet grundsätzlich technische Schäden aller Art.
- Informationsschutz: CIM gewährleistet die Vertraulichkeit aller, ihr im Rahmen der Durchführung des Social Engineering Audits zur Kenntnis gelangten Informationen.
- Keine Verletzung der Rechte Dritter: Betroffene Mitarbeiter bleiben anonym. Namen von Mitarbeitern werden im Social Engineering Audit Report nicht erwähnt. Negative oder arbeitsrechtliche Folgen für betroffene Angestellte sind grundsätzlich auszuschließen.
Die Rahmenbedingungen eines Social Engineering Audit Projektes sind an die jeweiligen Anforderungen individuell anzupassen. Nur so werden qualitativ hochwertige und aussagekräftige Erkenntnisse mit der Audit-Durchführung erlangt. Welche Angriffstaktiken gewählt, und welche zusätzlichen Regeln einzuhalten sind, wird in der Auditvorbereitungsphase gemeinsam mit dem Kunden definiert und schriftlich festgehalten.
Social Engineering Audit Report
Der Social Engineering Audit Report dient als Abschlussbericht, der neben den angewandten Vorgehensweisen, physikalischen, fotografischen und elektronischen Beweismitteln auch die erlangten Ergebnisse sowie entsprechende Handlungsempfehlungen zur Schließung detektierter Sicherheitslücken beinhaltet. Optional bieten wir die Berichtsform gemäß den OSSTMM Richtlinien an.