Social Engineering

Social Engineering ist die Kunst der systematischen Arbeit mit Menschen. Wir setzen dies ein, um Sie besser auf mögliche Angriffe vorzubereiten. Ein Social-Engineering-Angriff kann über verschiedenste Medien und Arten erfolgen. Entsprechend vielseitig ist hier auch unser Angebot.

Gemein haben die folgenden Assessments, dass im Vorfeld eine genaue Abstimmung der Ziele und Nicht-Ziele als auch der Einschränkungen zum Schutz der Mitarbeitenden erfolgt. Da diese Tests darauf ausgelegt sind, neue Sicherheitslücken zu entdecken, ist ein klares Nicht-Ziel, etwaiges Fehlverhalten im Zuge des Projektes personenbezogen festzuhalten. Wir stellen uns klar gegen negative Folgen für Einzelpersonen aus diesen Assessments, anonymisieren Inhalte und Bildmaterial so gut wie möglich und setzen uns für eine transparente und gerechte Aufarbeitung von Ergebnissen ein. 

Als gute Basis für das Testdesign eignen sich bestehende internen Schulungsunterlagen zur Erkennung von Angriffen. Auf diesen aufbauend können wir die Assessments so gestalten, dass sie neben dem Trainieren aktueller, realistischer Gefahren, auch die Inhalte Ihrer eigenen Schulungen abdecken und diese weiter unterstützen.

Gezielte Phishing-Tests

Bei diesen Assessments erarbeiten wir mit Ihnen auf Basis der aktuellen Trends und Ihrer eigenen Anforderungen, welche Szenarien am sinnvollsten für das Training Ihres Personals sind. Dies können generische Texte sein bis hin zu E-Mails, die auf Ihr Unternehmen oder Personengruppen (Spear Phishing) maßgeschneidert sind mit Links und/oder Anhängen, welche von uns vorbereiteten Code enthalten. Jedes Assessment ist einzigartig und genau auf Ihre Bedürfnisse zugeschnitten. 

Test der technischen Phishing-Schutzmaßnahmen

In diesem Assessment testen wir, ob Ihre technischen Schutzmaßnahmen ausreichend gut gegen Phishing-E-Mails schützen. Auf dem Prüfstand stehen Spam-Filter, Antiviren-Lösungen auf den E-Mail-Gateways und Clients, Endpoint-Protection-Software als auch Data Leakage Prevention Software.

Voice-Phishing-Tests

Mit dem Anstieg der Häufigkeit von gefälschten Telefonanrufen, die zum Ziel haben, Personen zur Herausgabe von Informationen oder Installation von Schadsoftware zu überreden, ist es wichtig geworden, Mitarbeitende auf derartige Gefahren vorzubereiten. Mit gefälschten Absendernummern und AI-generierten Stimmenimitaten trainieren wir Ihr Personal auf mögliche Szenarien.

CEO-Fraud Simulationen

Als CEO-Fraud werden Angriffe bezeichnet, in welchen Mitarbeitende unter Vorgabe von gefälschter Identität von Angreifenden unter Druck gesetzt werden, um Geld an unbekannte Bankkonten zu überweisen. Abhängig von Ihren Kommunikationsprozessen umfasst diese Simulation einen Mix an unterschiedlichen Social-Engineering-Formen und Medien wie beispielsweise E-Mail, WhatsApp, MS Teams oder Anrufe.

USB / Media-Dropping
In USB-Geräten, aber auch USB-Kabeln, kann sich mittlerweile Schadsoftware verstecken. Mit diesem Assessment trainieren wir die Reaktion Ihres Personals, wenn diese oder ähnliche Medien wie CDs, finden und helfen Ihnen, die damit verbundenen Gefahren besser zu verstehen.

Mystery Guest / Physical Awareness Engagements
Als sogenannter Mystery Guest besuchen wir Ihr Unternehmen und versuchen, die mit Ihnen vereinbarten Ziele wie den Zugriff auf spezielle Dokumente oder IT-Systeme, zu erreichen ohne, dass wir spezielle IT-Hacking- oder physische Angriffe durchführen. Der Fokus liegt auf Social Engineering und dem Sicherheitsbewusstsein des Personals gegenüber betriebsfremden Personen. Während des Assessments machen wir unsere Präsenz immer mehr bemerkbar bis wir entdeckt werden. So erhalten Sie einen Überblick über jene Maßnahmen, die bereits gut implementiert sind und gelebt werden. Und auch die Mitarbeitenden gehen am Ende mit einem positiven Erlebnis und Lernerfolg aus dem Assessment.