SOCIAL

Beschreibung

Bei einem Großteil erfolgreicher Cyberangriffe kommen Social-Engineering-Techniken zum Einsatz. Die gezielte Ausnutzung menschlicher Verhaltensmuster und psychologischer Mechanismen stellt für Angreifer häufig den effektivsten Weg dar, um Sicherheitsmaßnahmen zu umgehen und initialen Zugriff auf Unternehmensressourcen zu erlangen.

Im Rahmen gezielter Social-Engineering-Simulationen prüfen wir realitätsnah Ihre organisatorische und menschliche Resilienz. Ziel ist es, einerseits die tatsächliche Anfälligkeit gegenüber entsprechenden Angriffsszenarien zu evaluieren und andererseits das Sicherheitsbewusstsein innerhalb der Belegschaft nachhaltig zu stärken.

Abhängig von Zielsetzung und Rahmenbedingungen können wir eine Vielzahl unterschiedlicher Angriffsszenarien simulieren.

Nachfolgend finden Sie eine Auswahl möglicher Tests. Durchführung und Auswertung erfolgen dabei immer transparent, datenschutzkonform und mit klar definierten Zielsetzungen.

Phishing-Kampagne

Ziel dieses Tests ist es, die gesamte Belegschaft realitätsnah zu überprüfen und gleichzeitig nachhaltig für Social-Engineering-Risiken zu sensibilisieren.

Im Vorfeld führen wir eine strukturierte OSINT-Analyse (Open Source Intelligence) durch, bei der öffentlich verfügbare Informationen über das Unternehmen, seine Struktur und Kommunikationsmuster ausgewertet werden. Auf dieser Basis entwickeln wir ein glaubwürdiges, maßgeschneidertes Angriffsszenario.

Anschließend versenden wir simulierte Phishing-E-Mails an definierte Zielgruppen oder an die gesamte Organisation. Im Rahmen der Auswertung analysieren wir unter anderem, wie viele Empfänger auf eingebettete Links geklickt, Zugangsdaten eingegeben oder den Vorfall ordnungsgemäß gemeldet haben. Dadurch lassen sich sowohl die Anfälligkeit der Mitarbeiter als auch die Wirksamkeit bestehender Awareness- und Meldeprozesse objektiv bewerten.

Optional können auch Szenarien mit simulierten schadhaften Anhängen durchgeführt werden, um den Umgang mit potenziell gefährlichen Dateiformaten zu prüfen.

Spear-Phishing-Kampagne

Bei einer Spear-Phishing-Kampagne werden gezielt einzelne, besonders relevante Personen oder Personengruppen, beispielsweise Mitglieder der Geschäftsführung oder Führungskräfte, ausgewählt. Für diese Zielpersonen entwickeln wir auf Basis der durchgeführten OSINT-Analyse individuell zugeschnittene und realitätsnahe Phishing-Szenarien.

Aufgrund des bewusst kleinen Teilnehmerkreises liefert diese Testform kein repräsentatives Gesamtbild der Organisation. Sie bildet jedoch besonders authentisch das tatsächliche Vorgehen professioneller Angreifer ab, die gezielt Entscheidungsträger oder Personen mit erhöhten Berechtigungen ins Visier nehmen.

Eine Spear-Phishing-Simulation eignet sich daher insbesondere, um das Risikobewusstsein auf Führungsebene zu schärfen, den Umgang mit sensiblen Anfragen zu trainieren und bestehende Schutzmechanismen für privilegierte Accounts zu überprüfen.

Physisches Social-Engineering

Im Rahmen eines physischen Social-Engineering-Tests prüfen wir, ob es möglich ist, sich zerstörungsfrei und unauffällig Zutritt zu Ihren Geschäftsräumen zu verschaffen.

Dabei evaluieren wir unter anderem, ob gesicherte Zutrittsbereiche konsequent kontrolliert werden. Beispielsweise testen wir, ob ein unbefugter Zutritt durch Tailgating möglich ist, also das Mitgehen durch eine eigentlich gesicherte Tür im Gefolge autorisierter Mitarbeiter. Ebenso beobachten wir, ob fremde Personen aktiv angesprochen oder hinterfragt werden.

Je nach vereinbartem Umfang prüfen wir außerdem, ob auf diesem Weg sensible Bereiche wie beispielsweise Serverräume erreichbar sind.

Ziel ist es, die Wirksamkeit physischer Sicherheitsmaßnahmen und das Sicherheitsbewusstsein der Mitarbeiter realitätsnah zu bewerten, ohne dabei Schäden zu verursachen oder den Geschäftsbetrieb zu beeinträchtigen.

---