Security Awareness
Security Awareness ist die Fähigkeit, die Bedrohungen und Risiken für die Informationssicherheit im Unternehmen zu erkennen, zu verstehen und zu vermeiden. Security Awareness ist nicht nur eine technische, sondern auch eine kulturelle und organisatorische Herausforderung. Denn der Faktor Mensch ist und bleibt das größte Risiko der Informationssicherheit im Unternehmen. Um dieses Problem zu adressieren, bieten wir Ihnen als IT-Beratung ein ganzheitliches Awareness Konzept an:
- Training & Awareness Workshops für Endnutzer und Fachpersonal:
Wir schulen Ihre Mitarbeiter in den Grundlagen und Best Practices der Informationssicherheit, wie zum Beispiel Passwortmanagement, Datenschutz, Verschlüsselung, Backup, etc. Wir sensibilisieren Ihre Mitarbeiter für die häufigsten Angriffsmethoden und -szenarien, wie zum Beispiel Phishing, Vishing, Smishing, Ransomware, etc. Wir vermitteln Ihnen, wie Sie sich und Ihre Daten schützen können, und wie Sie im Falle eines Sicherheitsvorfalls reagieren sollten. - Phishing Campaign & Attack Simulation:
Wir führen mit Ihnen gemeinsam realistische und maßgeschneiderte Phishing Kampagnen und Angriffssimulationen durch, um die Sicherheitsmaßnahmen, die Sensibilisierung und die Reaktionsfähigkeit Ihrer Organisation zu testen. Wir geben Ihnen ein umfassendes Feedback zu Ihren Stärken und Schwächen, sowie konkrete Empfehlungen zur Verbesserung Ihrer IT-Sicherheit. - Red Teaming & Social Engineering: Wir führen mit Ihnen gemeinsam Red Teaming und Social Engineering Übungen durch, um die Sicherheit Ihrer kritischen Systeme, Prozesse und Daten zu überprüfen. Wir versuchen, mit verschiedenen Methoden und Techniken in Ihr Netzwerk einzudringen, Ihre Daten zu stehlen oder Ihre Systeme zu manipulieren. Wir zeigen Ihnen, wo Ihre Schwachstellen liegen, und wie Sie diese beheben können.
- Awareness Plattformen:
Wir konzipieren und implementieren für Sie individuelle Awareness Plattformen, die Sie als zentrale Anlaufstelle für alle Themen rund um die Informationssicherheit nutzen können. Auf diesen Plattformen können Sie zum Beispiel Trainingsmaterialien, Sicherheitshinweise, Quizfragen, Feedbackmöglichkeiten, etc. anbieten und verwalten. - Awareness Kommunikation:
Wir helfen Ihnen bei der Gestaltung und Durchführung von effektiven Awareness Kommunikationsmaßnahmen, wie zum Beispiel Newsletter, Poster, Flyer, Videos, etc. Wir sorgen dafür, dass Ihre Mitarbeiter regelmäßig und zielgruppengerecht über die aktuellen Sicherheitsthemen informiert und motiviert werden. - Management Awareness:
Wir beraten Sie bei der Entwicklung und Umsetzung einer Security Awareness Strategie, die zu Ihrer Unternehmenskultur und Ihren Zielen passt. Wir unterstützen Sie bei der Definition und Messung von Security Awareness Zielen und Kennzahlen, sowie bei der Einbindung und dem Commitment des Managements. Wir helfen Ihnen, eine Security Awareness Kultur zu etablieren, die auf Vertrauen, Verantwortung und Wertschätzung basiert.
Hybrid Social Engineering: (Spear-)Phishing, Smishing und Vishing
Hybrid Social Engineering ist eine der größten Herausforderungen für die IT-Sicherheit von Unternehmen. Dabei werden verschiedene Methoden wie Phishing, Vishing oder Smishing eingesetzt, um an vertrauliche Informationen oder Zugangsdaten von Benutzern oder Mitarbeitern zu gelangen. Die Angreifer nutzen dabei die menschliche Schwäche aus, indem sie Vertrauen, Neugier, Angst oder andere Emotionen auslösen, um die Opfer zu manipulieren.
Um sich vor solchen Angriffen zu schützen, ist es wichtig, die eigene IT-Sicherheit regelmäßig zu überprüfen und zu verbessern. Dafür bieten wir Ihnen einen professionellen Service an: die Simulation von Hybrid Social Engineering Angriffen.
Wir führen mit Ihnen gemeinsam realistische und maßgeschneiderte Hybrid Social Engineering Angriffe durch, die sich an Ihrem Kontext und Ihrer Situation orientieren. Wir testen damit die Sicherheitsmaßnahmen, die Sensibilisierung und die Reaktionsfähigkeit Ihrer Organisation. Wir geben Ihnen ein umfassendes Feedback zu Ihren Stärken und Schwächen, sowie konkrete Empfehlungen zur Verbesserung Ihrer IT-Sicherheit.
Spear-Phishing-KampagneEine Phishing Attacke dient einem Angreifer zur Erlangung von Benutzernamen und Passwörtern, die dann für ein weiteres Eindringen in die Systeme benutzt werden können. Benutzer und Mitarbeiter werden hierbei per E-Mail aufgefordert, z. B. einen Link innerhalb dieser E-Mail anzuklicken, der dann auf Internetseiten führt, auf denen ein Login der Benutzer notwendig ist. Geben Benutzer hier ihre Login Informationen preis, werden diese dem Hacker unmittelbar zugeleitet. Die Ergebnisse einer Phishing Attacke im Rahmen eines Security Assessments lassen, sowohl auf die Sensibilisierung (Awareness) von Benutzern, als auch auf technische Sicherheitsmaßnahmen zur Erschwerung dieser Art von Angriffen, schließen.
Die Phasen der Durchführung sind wie folgt:
- Phase 1 – Informationsbeschaffung
- E-Mail-Adressen mittels Open Source Intelligence (OSINT) via Linkedin, XING uvm.
- Layout/Corporate Design, aktuelle Firmenereignisse z. B. als Hintergrundgeschichte
- Darknet-Recherche unter Einbeziehung von Informationsquellen, die üblicherweise von Angreifern genutzt werden
- Phase 2 – Auswahl eines geeigneten Phishing-Szenarios
- Phase 3 – Anlegen der Phishing Domains, E-Mail-Empfängerliste und individueller Phishing-Webseite
- Phase 4 – Erstellung der Phishing-E-Mail
- optional: Erstellung einer individuellen „Schadsoftware“ ohne tatsächliche Schadfunktion
- Phase 5 – Fine Tuning der E-Mails und des E-Mail-Versands unter Umgehung evtl. vorhandener Schutzmechanismen
- Phase 6 – Start der Kampagne mit Versenden der E-Mails
- Phase 7 – Anonymisierte Auswertung nach abgestimmter Zeit / Statistikerstellung
- Phase 8 – Erstellung Ergebnisberichts und Bereitstellen einer Aufklärungs-E-Mail
Vishing-Kampagne
Eine Vishing Attacke dient einem Angreifer zur Erlangung von persönlichen oder finanziellen Informationen, die dann für ein weiteres Eindringen in die Systeme oder für eine betrügerische Transaktion benutzt werden können. Benutzer und Mitarbeiter werden hierbei per Anruf aufgefordert, z. B. eine bestimmte Nummer anzurufen, einen Code einzugeben, eine Zahlung zu leisten oder sensible Daten preiszugeben. Geben Benutzer hier ihre Informationen preis, werden diese dem Hacker unmittelbar zugeleitet. Die Ergebnisse einer Vishing Attacke im Rahmen eines Security Assessments lassen, sowohl auf die Sensibilisierung (Awareness) von Benutzern, als auch auf technische Sicherheitsmaßnahmen zur Erschwerung dieser Art von Angriffen, schließen.
Smishing-Kampagne
Eine Smishing Kampagne dient einem Angreifer zur Verbreitung von Schadsoftware oder zur Erlangung von persönlichen oder finanziellen Informationen, die dann für ein weiteres Eindringen in die Systeme oder für eine betrügerische Transaktion benutzt werden können. Benutzer und Mitarbeiter werden hierbei per SMS aufgefordert, z. B. einen Link innerhalb der Nachricht anzuklicken, der dann zu einer gefälschten Webseite führt, auf der sie ihre Login-Daten oder andere sensible Informationen eingeben sollen. Die SMS können auch falsche Angebote, Gewinnspiele, Warnungen oder andere Anreize enthalten, um die Opfer zu locken. Die Ergebnisse einer Smishing Kampagne im Rahmen eines Security Assessments lassen, sowohl auf die Sensibilisierung (Awareness) von Benutzern, als auch auf technische Sicherheitsmaßnahmen zur Erschwerung dieser Art von Angriffen, schließen.