Social Engineering und Security Awareness

Beim Social Engineering setzt secunet explizit nicht-technische Methoden ein, um an vertrauliche Informationen zu gelangen. Dies geschieht über verschiedene Wege:

• Analyse entsorgter Materialen (Papiere, Datenträger, Hardware)
• Installation von Hardware-Keyloggern
• Verteilen von präparierten Medien (USB-Sticks, Werbe-CDs)
• Vor-Ort-Termin mit frei erfundenen Einladungspapieren

Die Besonderheit der Social Engineering-Maßnahmen ist, dass viele Mitarbeiter anfällig gegenüber gut vorbereiteten Angriffen sind. Während technische Sicherheitsanalysen von der Belegschaft im Allgemeinen nicht bemerkt werden, lassen sich Social Engineering-Maßnahmen neben der primären Aufgabe des Aufdeckens von Schwachstellen auch als Awareness-Maßnahme nutzen. Aufgrund der hohen sozialen Komponente dieser Analysen schützt secunet dabei die Identitäten der Mitarbeiter, bei denen die Angriffe erfolgreich durchgeführt werden konnten.