Wir bieten Ihnen eine Reihe von interaktiven kurzweiligen Schulungsmaterialien an, um Sie und Ihre Mitarbeiter ausreichend zu sensibilisieren. Gerne stellen wir Ihnen auch Informationsmaterial zusammen, welches Sie in Ihrem Unternehmen verteilen können. Mit gezielten Angriffs-Simulationen können wir außerdem den Awareness-Grad Ihrer Belegschaft überprüfen und nachhaltig steigern.
Besonders beliebte Schulungsthemen sind insbesondere:
Social Engineering
Wir mache mich schlau über Ihre Firma: Wer sind die leitenden Angestellten (eine Firmenwebseite ist hierfür die ideale Anlaufstelle). Wo wird Ihre Webseite gehostet? Über das Impressum finden wir heraus wer Ihre Webseite programmiert. Vielleicht sogar direkt, wer Sie auch in technischen Dingen betreut. Als Nächstes nehmen wir uns XING, LinkedIn, Facebook und Co. zur Hilfe, um uns mehr über Ihre Arbeitnehmer zu erfahren.
Mit diesem Wissen ausgestattet werden wir versuchen uns Zugriff auf Rechner, E-Mail-Konten und sonstige Logins zu verschaffen.
Phishing-Awareness
Phishing bezeichnet den Versuch, über gefälschte Webseiten, E-Mails oder Kurznachrichten an sensible Daten eines Benutzers zu gelangen, um damit Identitätsdiebstahl zu begehen oder sich Zugang zu Systemen, etc. zu verschaffen. Phishing-Mails sind mittlerweile allgegenwärtig. Meistens erkennt man diese auf den ersten Blick, da einem die Sprache, der Inhalt oder die Herkunft der E-Mail verdächtig vorkommt. Solche Phishing Mails werden in die weite Welt gestreut, mit der Hoffnung, dass ein einige Leichtgläubige darauf hereinfallen.
(Spear) Phishing ist das gleiche, nur sehr viel gezielter – daher auch der Name. Beim „normalen“ Fischen wirft man ein Netz aus und hofft, dass sich ein paar Fische darin verheddern. Beim Speer-Fischen sucht man sich gezielt einen Fisch aus, macht sich am besten vorher noch ein wenig schlau, wo sich der Fisch gerne versteckt, wo er frisst, wo er sich wohlfühlt, und sticht dann mit dem Speer ganz gezielt zu. Genau das ist die Vorgehensweise von gezielten (Spear) Phishing Angriffen. Angriffe werden auf Zielpersonen bewusst ausgeführt (siehe Social Engineering). (Spear) Phishing Attacken fallen auf den ersten Blick kaum auf und erfordern um so mehr, dass Mitarbeiter wissen, worauf es zu achten gilt.
E-Mail Anhänge
Standard Phishing Attacken lassen sich relativ einfach erkennen. Links in E-Mails können A heißen, aber auf B verlinken. Fährt man mit der Maus über einen Link (ohne zu klicken) erkennt man, wohin der Link wirklich führt. Moderne SPAM-Abwehr stuft solche E-Mails mittlerweile meist als verdächtig ein.
Da „unsaubere“ Links in E-Mails erkannt werden können, werden diese in Anhänge ausgelagert. Ist der Link beispielsweise in einem angehängten Word- oder PDF-Dokument, werden sie weitaus seltener als verdächtig eingestuft. Angehängte Dokumente sollten generell immer mit großer Sorgfalt behandelt werden. Wenn der Inhalt einer E-Mail dazu verleiten will, den Anhang zu öffnen, ist er mit großer Sicherheit mit einem Anhang präpariert – um Schadcodes auszuführen oder mich zur Preisgabe von Daten zu verlocken.
Business E-Mail Compromise / CEO Fraud
Bei dieser Betrugsmasche geben sich die Täter als ein Organ eines Unternehmens – meist der Unternehmensführung, der Buchhaltung, o.ä. aus und versenden E-Mails mit „dringenden Anweisungen". Typischerweise wird - unter Angabe vermeintlich berechtigten Gründen - eine dringende Überweisung hoher Geldbeträge auf eine ausländische Bankverbindung angewiesen. Auch eine Ankündigung eines Anrufs des neuen ITlers, dem man bitte Zugriff auf Systeme gewähren soll. Oder ganz einfach die Aufforderung, sein Kennwort auf einen Standard zu setzen, da am Wochenende IT-Arbeiten stattfinden werden.
Dem Betroffenen wird vorgespielt, dass es sich um eine höchst vertrauliche Angelegenheit handelt. Die Mitarbeiter, einerseits aufgrund des besonderen Vertrauens durch den Vorstand geschmeichelt, anderseits aufgrund der angeblichen Wichtigkeit der Transaktion erheblich unter Druck stehend, führen diese Anweisungen dann auch meist zügig aus. Anfällig hierfür sind besonders „patriarchalisch-autoritär“ geführte Unternehmen, in denen weder Zweifel noch Widerspruch erwünscht sind.