@phdthesis{Stark,
  type      = {Bachelor Thesis},
  author    = {Dennis Stark},
  title     = {Eine kritische Auseinandersetzung mit Sensibilisierung und Alternativen dazu - technische Ma{\"s}nahmen f{\"u}r eine sicherere IT-Landschaft},
  address   = {Offenburg},
  pages     = {79},
  abstract  = {Die Bachelorarbeit soll sich im Kern mit M{\"o}glichkeiten besch{\"a}ftigen, wie der Faktor Mensch f{\"u}r die Bedrohung durch Social Engineering reduziert werden kann. Um diese Thematik aufzugreifen und zielf{\"u}hrend zu bearbeiten, m{\"u}ssen zun{\"a}chst einige Grundlagen gekl{\"a}rt werden. Deshalb wird im ersten Teil der Arbeit der Begriff Social Engineering definiert und es werden Unterschiede und Abstufungen erkl{\"a}rt. Weiterf{\"u}hrend wird das Vorgehen bei Social Engineering Angriffen bzw. Penetrantionstests und Red Teaming Auftr{\"a}gen in diesem Bereich erl{\"a}utert. Dies findet in Zusammenarbeit mit der Firma cirosec statt. Hier findet auch direkt ein Vergleich mit dem Vorgehen „nach Lehrbuch“ vom wohl bekanntesten Social Engineer Kevin Mitnick statt und die bekanntesten Angriffs-M{\"o}glichkeiten werden genannt und beschrieben. Abschlie{\"s}end soll eine Abgrenzung zwischen gezielten und gestreuten Angriffen getroffen werden, da diese beiden Szenarien essenzielle Unterschiede in der Effektivit{\"a}t von Gegenma{\"s}nahmen aufweisen. Im folgenden Teil werden ehemalige Projekte der Firma cirosec GmbH nach einer Anonymisierung, mit dem Ziel analysiert, neben dem Vorgehen auch die Angriffsvektoren, das menschliche Fehlverhalten und, vor allem, die technischen Probleme in den vorliegenden Beispielen zu finden. Anschlie{\"s}end wird aufgezeigt, warum gro{\"s} angelegte Awareness-Kampagnen eventuell auch zu Problemen f{\"u}r ein Unternehmen f{\"u}hren k{\"o}nnen. Ein gro{\"s}er Teil der Arbeiten {\"u}ber das Thema Social Engineering stellen den Menschen als Risikofaktor in das Zentrum der Aufmerksamkeit. In dieser Thesis soll aber genau das nicht passieren. Betr{\"u}ger gibt es seit es Menschen gibt, denn die Naivit{\"a}t und Gutgl{\"a}ubigkeit von selbigen wurde schon immer ausgenutzt. Doch anstatt diese Charaktereigenschaften, die sich {\"u}ber Jahrhunderte im Zusammenleben etabliert haben und auch daf{\"u}r notwendig sind, mit Awareness Kampagnen oder Schulungen zu unterbinden, soll hier ein anderer Ansatz verfolgt werden. Das Augenmerk soll mehr auf technische Probleme gelegt werden. Eine IT Landschaft muss in der Zukunft nicht so gebaut sein, dass Menschen Schulungen brauchen, um sicher damit umzugehen. Stattdessen soll eine Optimierung dahingehend passieren, dass der Mensch {\"u}berhaupt keine schwerwiegenden und sicherheitskritischen Fehler begehen kann. Es wird sich die Frage gestellt, wo man als Gegenma{\"s}nahme ansetzen muss und dazu werden die vorher analysierten Projektbeispiele erneut aufgegriffen. Auf Basis dieser Informationen, und den genannten Social Engineering Angriffsarten, werden Ma{\"s}nahmen, die gr{\"o}{\"s}tenteils technischer Natur sind, vorgestellt, erkl{\"a}rt und es wird beschrieben, gegen welche Arten von Angriffen sie effektiv helfen k{\"o}nnten. Dies soll im Idealfall, in einer sinnvollen Kombination, eine vern{\"u}nftige Verteidigung gegen Social Engineering-Angriffe bieten. Schlussendlich soll sich in einer perfekten IT-Landschaft jeder Mitarbeiter, ob mit fundiertem oder verschwindend geringem Sicherheitsverst{\"a}ndnis, problemlos bewegen k{\"o}nnen und nicht vor jedem Klick oder dem offen halten einer T{\"u}r hinterfragen m{\"u}ssen, ob er damit das gesamte Unternehmen gef{\"a}hrden k{\"o}nnte.},
  language  = {de}
}