whitelisthackers whitelisthackers

Beim Social Engineering oder Social Hacking missbrauchen Angreifende zwischenmenschliche Interaktionen, um an sensible Daten zu gelangen. Der Großteil aller Cyberangriffe lässt sich auf dieses menschliche Versagen zurückführen. Mitarbeitende sollten jedoch nicht als Sicherheitslücke, sondern als wichtigster Abwehrschirm gegen Angriffe gesehen werden. Hierzu müssen Ihre Mitarbeitenden wissen, durch welche Social-Engineering-Angriffe sie bedroht werden und wie diese erkannt werden können.

Genau wie Angreifende nutzen wir für unsere Social-Engineering-Simulationen die bekannten Kommunikationswege. So erstellen wir klassische E-Mail-Phishing-Kampagnen, aber zeigen auch modernste Wege des Social Engineering beispielsweise über Deepfakes auf. Eine oft vernachlässigte Form des Social Engineering ist der physische Zugang zu Betriebsräumen, welchen wir durch individuell angepasste Vorwände und Verkleidungen sowie beliebte Techniken wie das „Durchschlüpfen“ (Tailgating) erlangen.
Erfolgreiches Betreiben von Informationssicherheit ist insgesamt nur möglich, wenn es gelingt, die Beschäftigten an ihrem Arbeitsplatz in den Sicherheitsprozess einzubeziehen.

Ihr Mehrwert

Mithilfe unserer Social-Engineering-Simulation messen Sie, wie es um die IT-Security-Awareness Ihrer Mitarbeitenden steht, und sensibilisieren sie zeitgleich für die Gefahren. Durch unsere Simulationen zeigen wir Ihren Mitarbeitenden anschaulich moderne, echte und anwendungsnahe Bedrohungsszenarien auf.

In Verbindung mit unseren Awareness-Trainings kann ein Synergieeffekt genutzt werden, indem die gezeigten Angriffe von den Mitarbeitenden wiedererkannt werden.

Da die so gewonnenen Erkenntnisse auch im privaten Umfeld von Bedeutung sind, motiviert dies Ihre Mitarbeitenden, sich intensiver mit den Themen IT-Sicherheit und Datenschutz auseinanderzusetzen.

Vorgehensweise

  1. Vorbereitung

    Zusammen mit Ihnen legen wir die Inhalte und Schwerpunkte der Social-Engineering-Kampagne fest. Dadurch können wir auf Ihre Besonderheiten oder Probleme besser eingehen und die Effektivität steigern. So werden z. B. beim Phishing sogenannte Squatting Domains registriert, die echten Domains täuschend ähnlichsehen, oder beim Pretexting Vorwände und Umstände geschaffen. So machen es auch echte Hacker.

  2. Durchführung

    In dieser Phase prüfen wir zusätzlich zu Ihren Mitarbeitenden auch die technischen Gegenmaßnahmen wie beispielsweise Spam-Filter oder Zutrittskontrollen.
    Um die Effektivität der Kampagne auswerten zu können, werden verschiedene Parameter, jedoch keinesfalls personenbezogenen Daten erfasst.

    Wir empfehlen, die Social-Engineering-Simulation in regelmäßigen Abständen zu wiederholen, um den kontinuierlichen Grad der Sensibilisierung zu erhöhen und zu überwachen.

  3. Reporting

    Sie erhalten eine ausführliche Dokumentation inklusive Management Summary und einer statistischen Auswertung der Kampagnenergebnisse.
    Dies ermöglicht es den Verantwortlichen und der Geschäftsführung, gezielt Schulungen zur Steigerung der IT-Security-Awareness anzubieten.

  4. Cleaning

    Nach Abschluss des Auftrags entfernen unsere Analyst:innen alle Code Snippets, Skripte, Tools, Testdaten und andere Geräte, die bei dem „Angriff“ eingesetzt wurden, sodass sie später bei einem realen Angriff von Dritten nicht mehr verwendet werden können. Sollte das eigenständige Aufräumen nicht möglich sein, informieren wir Sie anhand einer genauen Anleitung, wie Sie verbliebene Artefakte selbst entfernen können.

Was sollten Sie sonst noch wissen?

Arten von Social-Engineering-Simulationen

Spear Phishing

Individuelles und zielgerichtetes Phishing einer bestimmten Person oder Personengruppe

Media Dropping

Platzieren von Speichermedien und externen Geräten zum gezielten Ausspähen

Vishing und Deep Fake

Phishing durch Dialog mit einer vermeintlich vertrauten oder bekannten Person durch Sprach- oder Videosysteme

Pretexting und Tailgating

Vorspielen von Umständen bzw. Schaffen eines Vorwands sowie Identitäten übernehmen und Kontrollen überwinden

Sorgfaltspflicht

Unsere Sicherheitsexpert:innen achten darauf, die Bestimmungen des Datenschutzes einzuhalten. Die Eingaben Ihrer Mitarbeitenden und sonstige personenbezogenen Daten werden nicht von unseren Systemen gespeichert.

Qualifikationen

Die Prüfhandlungen werden von ethischen Hackern durchgeführt, die über entsprechende branchenführende Zertifizierungen (OSCP, CEH, GPEM, White Hacker IHK, TÜV) verfügen.

Nehmen Sie unverbindlichen Kontakt auf. Wir beraten Sie gerne!

Sandra Weis

Ihre Ansprechpartnerin

Cookie-Einstellungen ändern

Diese Website verwendet Cookies, um Ihnen die bestmögliche Benutzererfahrung zu bieten. Cookie-Informationen werden in Ihrem Browser gespeichert und führen bestimmte Funktionen aus – zum Beispiel die Wiedererkennung bei Ihrem nächsten Besuch. Diese Informationen helfen unserem Team, zu verstehen, welche Abschnitte der Website für Sie am interessantesten und nützlichsten sind.

Hier finden Sie unsere Datenschutzerklärung.

Cookie-Einstellungen