Das größte Sicherheitsrisiko in einem Unternehmen ist der Mensch.

Was zunächst unwahrscheinlich klingt, bewahrheitet sich aber leider nur allzu oft. Verfügen die internen Systeme der Unternehmen über meist sehr strenge Sicherheitssysteme, sind die Mitarbeiter mitunter erschreckend schlecht auf Angriffe im Wege des Social Engineering vorbereitet.

Ziel dieser Angriffe ist es, den Mitarbeitern interne und mitunter sensible Informationen zu entlocken, um die strengen technischen Sicherheitsvorkehrungen zu umgehen. Dabei ist der persönliche Kontakt zwischen Täter und Opfer nicht zwingend erforderlich, auch der Versand von z.B. Phishing-Mails zählt zu den gängigen Methoden des Social Engineering.

Ein Social Engineering Audit stellt die Verhaltensregeln von Mitarbeitern auf den Prüfstand, die in den internen Sicherheitsrichtlinien (Policies) festgeschrieben sind.

Die Methoden

• Indirekter Kontakt mit Zielpersonen (Phishing-Mails)
• Direkter Kontakt mit Zielpersonen
• Identifizierung der Schwachstellen in der IT-Architektur durch „SE by Call“
• Im direkten Kontakt auf Geschäftsreisen
• Identifizierung von Zugangsmöglichkeiten zu geschützten Unternehmensbereichen
• Dumpster Diving (z.B. durch Zugang zu Bürogebäuden oder Unternehmensanlagen, um im Büromüll nach verwertbarem Material zu suchen.)

Das Ziel

Das Social Engineering Audit dient sowohl der Überprüfung der Security Awareness der Mitarbeiter (präventive Maßnahme) als auch der Schwachstellenanalyse nach einem erfolgten Angriff (reaktive Maßnahme nach einem Ernstfall), sowie zur Erarbeitung eines Security Awareness Konzeptes.

Wir beraten Sie gerne im Vorfeld, welche Bereiche und Prüfungen im Einzelfall für Sie sinnvoll sind.

Was wir Ihnen bieten

• Bei der Durchführung eines Social Engineering Audits werden alle Gesetze strikt beachtet und nur solche Maßnahmen zur Anwendung gebracht, die auch den allgemein anerkannten ethischen Grundsätzen entsprechen.
• Wir gewährleisten die Vertraulichkeit aller im Rahmen der Durchführung des Social Engineering Audits zur Kenntnis gelangten Informationen.
• Betroffene Mitarbeiter bleiben anonym. Namen von Mitarbeitern werden im Social Engineering Audit Report nicht erwähnt. Negative oder arbeitsrechtliche Folgen für betroffene Angestellte sind grundsätzlich auszuschließen.

Gemeinsam mit Ihnen identifizieren wir den geeigneten Prüfstandard, liefern Prüfbefunde und zeigen Ihnen sinnvolle Verbesserungsmöglichkeiten auf. Sie erhalten anschließend einen umfangreichen Bericht mit allen relevanten Bereichen, den wir Ihnen auf Wunsch auch gerne präsentieren.