Social-Engineering bleibt gefährlichste Bedrohung für Unternehmen. DeepSec bietet Workshop zur Abwehr sozialer Manipulation als Teil der IT an. [...]
Verfolgt man die Nachrichten zum Thema Informationssicherheit, so kommt man aus den Superlativen nicht mehr heraus. Millionen von Passwörtern wurden gestohlen. Hunderttausende von Kameras wurden plötzlich zu Erpressungswerkzeugen. Unzählige Daten wurden unberechtigt kopiert. Oft landet man nach wenigen Absätzen bei technischen Lösungen, die diesen Einbrüchen Einhalt gebieten sollen. Man vergisst dabei, dass man heutzutage hermetisch verschlossene Türen mit einem Telefonanruf oder einer E-Mail-Nachricht öffnen kann. Laut einer Publikation der britischen „Federation of Small Businesses“ fallen fast 50 Prozent der Angriffe auf Social-Engineering, sprich auf Manipulation sozialer Interaktion, zurück. Teure Investitionen in technische Abwehrmaßnahmen bleiben damit völlig wirkungslos.
Bloßes Sicherheitsbewusstsein hilft längst nicht mehr
Ansätze zur Abwehr von Attacken auf die Schwachstelle Mensch haben sich in der Vergangenheit auf Schulungen des Sicherheitsbewusstseins (oder englisch Awareness) fokussiert. Das ist in der modernen Geschäftswelt zu wenig. Das Wissen um solche Gefahren ist bereits vorhanden. Gegenmaßnahmen müssen jetzt sehr viel konkreter werden. Mitarbeiterinnen und Mitarbeiter müssen die Methoden ihrer Gegner verstehen, erkennen und eigenständig abwenden können. Diese Kompetenz erreicht man mit der Beschränkung auf ein Sicherheitsbewusstsein nicht. Man kann die Analogie der Brandbekämpfung zur Verdeutlichung bemühen.
Das Wissen um einen möglichen Brand am Arbeitsplatz nützt wenig, wenn niemand im Krisenfall einen Feuerlöscher verwenden darf oder kann. Alle klassischen Schulungen zur Abwehr von Social-Engineering gehen nur bis zur Entdeckung des Brandherds. Was danach geschehen muss, wird leider oft nicht diskutiert. Genau an dieser Stelle muss die Ausbildung konkret werden, sonst trägt sie nicht zum Schutz des Unternehmens bei.
Social-Engineering ist das Stiefkind der Informationssicherheit
Die Tragweite von Attacken gegen die Psyche der Mitarbeiterinnen und Mitarbeiter wird stark unterschätzt. Während technische Lösungen durch ihre Komplexität große Wirksamkeit vortäuschen, wirken Betrachtungen zu Gewohnheiten, Kommunikationsstile, Urlaubsabwesenheiten, interne Firmenfeiern, dem Gang zum täglichen Mittagessen oder Aktivitäten nach dem Feierabend geradezu banal. Jedwedes Stück Information ist ein Baustein im Plan der Angreifer. Das ist sehr leicht zu formulieren, aber man muss Gegenmaßnahmen als vollständige Kampagne aufbauen. Richtlinien für den Umgang mit Fremden und sensiblen Informationen gibt es oft. Auch die IT-Abteilung ist eingeweiht.
Aber man muss die einzelnen Teile verbinden und ein Netz um die Schwachstellen menschlicher Kommunikation im Büroalltag legen, sonst bleibt die beste Brandschutzvorrichtung ohne Wirkung. Das Personal sollte nicht als Risiko, sondern als Teil der Sicherheitsarchitektur des Unternehmens betrachtet werden. Jeder Mensch kann ein Opfer von Social-Engineering-Attacken werden – das ist keine Schande. Wichtig ist, dass es Möglichkeiten gibt, über die Mitarbeiterinnen und Mitarbeiter anonym Schwächen melden können. Wenn alle an einem Strang ziehen sollen, so muss die Schwelle für die Mitarbeit gerade im Sicherheitsbereich möglichst niedrig liegen.
Hands-on Workshop mit praktischen Übungen
Im Rahmen der 10. DeepSec In-Depth-Security- Konferenz wurde deshalb ein Fokus auf Social-Engineering und dessen Abwehr gelegt. Im Programm sind nicht nur Vorträge zu diesem Thema. Es gibt ein Training von zwei Expertinnen auf diesem Gebiet. Cyni Winegard und Bethany Ward werden in zwei Tagen konkrete Szenarien vorstellen und mit den Teilnehmern durchspielen. Es soll nicht nur Bewusstsein geschaffen, sondern es sollen auch mit praktischen Beispielen und Rollenspielen Erfahrungen aufgebaut werden, die sich in die eigenen Gewohnheiten einbauen lassen. Alle Beispiele werden auf die Fähigkeiten der Teilnehmerinnen und Teilnehmer und auf die Schwächen der Ziele zugeschnitten – ganz so wie im Berufsleben.
Der Workshop Penetration Testing Humans verhilft zu einer echten Raumverteidigung der menschlichen Psyche. Die Trainerinnen bringen ihre Erfahrungen aus vielen Jahren Sicherheitstests ein und konfrontieren die Teilnehmer mit echten Dialogen und Aktionen aus erfolgreichen Angriffen.
Das komplette Programm ist unter https://deepsec.net/schedule.html online. Die Workshops finden am 8./9. November 2016 statt. Die Konferenztage sind am 10./11. November. Die DeepSec-Konferenz findet im Hotel „The Imperial Riding School Vienna – A Renaissance Hotel“ in der Ungargasse 60 im dritten Wiener Gemeindebezirk statt.
Be the first to comment