Social Engineering Awareness – spielend zum Erfolg

Kartenspiel Hatch als Social Engineering Maßnahme

Social Engineering ist die gezielte Manipulation von Menschen durch den Missbrauch von Vertrauen. Genauer wird beim Social Engineering versucht, durch Beeinflussungen der Opfer, ein gewünschtes  Verhalten hervorzurufen und auszunutzen. Meist um an sensible Informationen zu kommen.

Social Engineering Angreifer geben sich beispielsweise als Microsoft-Mitarbeiter aus und fordern zur Installation von Software auf. Diese Software enthält Malware (bösartige Software), welche es dem Social Engineer erlaubt das Computersystem des Opfers zu kontrollieren. Diese Kontrolle ermöglicht es dem Angreifer Informationen zu stehlen, z.B. indem der Angreifer diese per Twitter an sich selber überträgt.

Mögliche Abwehrmaßnahmen

Eine übliche Abwehrmaßnahme gegen Social Engineering ist ein Penetrations Test, in welchen gutartige Hacker versuchen die Mitarbeiter eines Unternehmens anzugreifen und so Schwachstellen im Unternehmen aufzeigen. Die Konfrontation mit diesen negativen Ergebnissen eines PenetrationsTests kann zur Demotivation der Mitarbeiter führen, z. B. kommen Gedanken auf wie "Ich kann eh nichts gegen Social Engineering ausrichten, also wieso soll ich es überhaupt versuchen".

Eine weitere Maßnahme ist eine Schulung zur Awareness von Mitarbeitern. Diese Schulung besteht meist aus Vorträgen mit Folien oder Online Videos. Diese Security Awareness Trainings enthalten häufig abstrakte Beispiele des Social Engineering und die Gefahren, die Social Engineering für ein Unternehmen bedeutet bleiben ebenfalls abstrakt. Diese Schulungen müssen von den Mitarbeitern durchlaufen werden und erfordern keine Interaktivität der Mitarbeiter. Die Wirkung dieser Schulungen sind umstritten, weil die Mitarbeiter die abstrakten Beschreibungen auf Ihr Unternehmen herunterbrechen müssen. Ebenfalls vergessen die Mitarbeiter die Inhalte der Schulung nach kurzer Dauer.

HATCH - Ein Serious Game für nachhaltigen Erfolg

Unsere Lösung ist ein Serious Game, das Kartenspiel HATCH (Hack and Trick Capricious Humans), welches jedermann in die Lage versetzt, einen fiktiven Social Engineering vorzuschlagen. Diese aktive Auseindersetzung mit der Thematik erlaubt es Mitarbeitern Angriffe zu erkennen und abzuwehren. Durch die einfache Anwendbarkeit unseres Serious Game kann den Spielern im Training so die grundlegende Funktionsweise von Betrugsmaschen verständlich gemacht werden. Ebenfalls besteht die Abwehr häufig nur darin, eine unautorisierte Handlungsaufforderung zu verweigern.

Unser Training bietet eine unterhaltsame Security Awareness Maßnahme, die spielerisch Menschen die Gefahren durch Social Engineering verdeutlicht. Die Maßnahmen erlauben es Social Engineering im Kontext einer konkreten Unternehmung zu analysieren und sich auf die spezifischen Bedrohungen zu fokussieren. Die Nutzung des Serious Game HATCH für die Abwehr von Social Engineering fundiert auf der Basis von wissenschaftlicher Literaturanalyse und ist eine Neuheit auf dem Gebiet der Security Awareness. Wir bringen somit Spielspaß, theoretische Fundierung und Abwehr gegen Social Engineering in einer simplen Lösung zusammen.

Durch die Umsetzung der Trainingsmaßnahme als Kartenspiel werden die Spieler bewusst in eine andere Umgebung gebracht und können dort (mit etwas Abstand vom Tagesgeschäft) die prinzipielle Funktionsweise von Social Engineering Angriffen ausprobieren und verstehen. 

Szenarien

Wir bieten reale und fiktive Szenarien an. Reale Szenarien erlauben das Auffinden von spezifischen Bedrohungen für Mitarbeiter und das Unternehmen. Fiktive domänen-spezifische Szenarien erlauben keine Analyse von Bedrohungen, aber erleichtern das Übertragen des Gelernten auf den Alltag. Im Gegensatz zu Social Engineering PenetrationTests werden bei uns Mitarbeiter nicht bloßgestellt. Unsere Spielwelt wird stets individuell auf Kundenwünsche anpasst.

Bedrohungsanalyse

Eine umfassende Bedrohungsanalyse für Social Engineering wird durch den Einsatz unseres Spiels möglich. Wir können somit Angriffe auf Endkunden, Mitarbeiter, IT-Experten usw. untersuchen und die Ergebnisse zur Gesamteinschätzung der Bedrohungssituation aggregieren.

Standard Compliance

Die Dokumentation des Spiels und der ermittelten Angriffe können in die Umsetzung von Security Standards einfließen. Die Umsetzung von Sicherheitsstandards wie z.B. ISO 27001 ist eine nicht triviale Aufgabe. Insbesondere bietet diese Norm, wie viele andere ebenfalls, keine Hilfestellung bei der Feststellung von Bedrohungen durch Social Engineering oder der Umsetzung von Gegenmaßnahmen wie etwa in dem ISO 27001 Control A.7.2.2 – Information security awareness, education and training gefordert. Auch im Rahmen des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik kann unser Spiel als Gegenmaßnahme zur Bedrohung G 5.42 Social Engineering dienen.

3. Platz belegt beim Deutschen IT-Sicherheitspreis

Die Horst Görtz Stiftung vergab 2016 zum 6. Mal den Deutschen IT-Sicherheitspreis. Eine Expertenjury aus anerkannten IT-Sicherheitsfachleuten aus Wissenschaft und Wirtschaft wählte aus 45 Einreichungen die besten markt-relevanten Innovationen zur IT-Sicherheit und prämierte unsere Lösung mit dem 3. Platz.

Fazit

Das Serious Game HATCH als Awareness-Maßnahme und Bedrohungsanalyse gegen Social-Engineering-Bedrohungen ist inzwischen bei zahlreichen Firmen erfolgreich zum Einsatz gekommen. Das Spiel hat sich als sehr effektiv erwiesen und wurde bereits mit dem oben erwähnten Deutschen IT-Sicherheitspreis gewürdigt.

Die Entwicklung ist in Zusammenarbeit mit ausgewählten Pilotkunden erfolgt, darunter auch Brainloop. Das Feedback der zahlreichen Mitarbeiter von Brainloop als auch insbesonders deren CISO Herrn Ralf Lautenbacher haben signifikant zur Reife des Serious Game beigetragen.

Das Spiel HATCH wird in Form von Workshops durchgeführt und kann durch ein Online Spiel namens PROTECT ergänzt werden. Ich werde in einem der nächsten Blogs über PROTECT mehr berichten.

Informationssicherheit, Gast-Autoren

Über den Autor

Dr.-Ing. Kristian Beckers ist Gründer der Social Engineering Academy (SEA) GmbH gemeinsam mit Dr. Sebastian Pape. Ihre Forschungen im Bereich von Serious Games und Social Engineering wurden in 2016 mit dem 3. Platz des Deutschen IT-Sicherheitspreises ausgezeichnet. Dr.-Ing. Kristian Beckers ist weiterhin ein Senior Researcher und Security Consultant für strukturierte Methoden im Software Engineering. Seine Arbeiten betreffen neben der Security auch die Bereiche Datenschutz und Safety. Die Arbeiten wurden in über 50 wissenschaftlichen Papieren veröffentlicht und in Industrieprojekten eingesetzt.

Das könnte Sie auch interessieren:

Sicherheitskategorien steuern – auf allen Ebenen

Sicherheitskategorien steuern – auf allen Ebenen

Weiterlesen
„Oops, your files have been encrypted“: Mit Brainloop gegen Ransomware

„Oops, your files have been encrypted“: Mit Brainloop gegen Ransomware

Weiterlesen
Vertrauliche Dokumente schützen – inhouse versus SaaS

Vertrauliche Dokumente schützen – inhouse versus SaaS

Weiterlesen