Eine kritische Auseinandersetzung mit Sensibilisierung und Alternativen dazu - technische Maßnahmen für eine sicherere IT-Landschaft

  • Die Bachelorarbeit soll sich im Kern mit Möglichkeiten beschäftigen, wie der Faktor Mensch für die Bedrohung durch Social Engineering reduziert werden kann. Um diese Thematik aufzugreifen und zielführend zu bearbeiten, müssen zunächst einige Grundlagen geklärt werden. Deshalb wird im ersten Teil der Arbeit der Begriff Social Engineering definiert und es werden Unterschiede und AbstufungenDie Bachelorarbeit soll sich im Kern mit Möglichkeiten beschäftigen, wie der Faktor Mensch für die Bedrohung durch Social Engineering reduziert werden kann. Um diese Thematik aufzugreifen und zielführend zu bearbeiten, müssen zunächst einige Grundlagen geklärt werden. Deshalb wird im ersten Teil der Arbeit der Begriff Social Engineering definiert und es werden Unterschiede und Abstufungen erklärt. Weiterführend wird das Vorgehen bei Social Engineering Angriffen bzw. Penetrantionstests und Red Teaming Aufträgen in diesem Bereich erläutert. Dies findet in Zusammenarbeit mit der Firma cirosec statt. Hier findet auch direkt ein Vergleich mit dem Vorgehen „nach Lehrbuch“ vom wohl bekanntesten Social Engineer Kevin Mitnick statt und die bekanntesten Angriffs-Möglichkeiten werden genannt und beschrieben. Abschließend soll eine Abgrenzung zwischen gezielten und gestreuten Angriffen getroffen werden, da diese beiden Szenarien essenzielle Unterschiede in der Effektivität von Gegenmaßnahmen aufweisen. Im folgenden Teil werden ehemalige Projekte der Firma cirosec GmbH nach einer Anonymisierung, mit dem Ziel analysiert, neben dem Vorgehen auch die Angriffsvektoren, das menschliche Fehlverhalten und, vor allem, die technischen Probleme in den vorliegenden Beispielen zu finden. Anschließend wird aufgezeigt, warum groß angelegte Awareness- Kampagnen eventuell auch zu Problemen für ein Unternehmen führen können. Ein großer Teil der Arbeiten über das Thema Social Engineering stellen den Menschen als Risikofaktor in das Zentrum der Aufmerksamkeit. In dieser Thesis soll aber genau das nicht passieren. Betrüger gibt es seit es Menschen gibt, denn die Naivität und Gutgläubigkeit von selbigen wurde schon immer ausgenutzt. Doch anstatt diese Charaktereigenschaften, die sich über Jahrhunderte im Zusammenleben etabliert haben und auch dafür notwendig sind, mit Awareness Kampagnen oder Schulungen zu unterbinden, soll hier ein anderer Ansatz verfolgt werden. Das Augenmerk soll mehr auf technische Probleme gelegt werden. Eine IT Landschaft muss in der Zukunft nicht so gebaut sein, dass Menschen Schulungen brauchen, um sicher damit umzugehen. Stattdessen soll eine Optimierung dahingehend passieren, dass der Mensch überhaupt keine schwerwiegenden und sicherheitskritischen Fehler begehen kann. Es wird sich die Frage gestellt, wo man als Gegenmaßnahme ansetzen muss und dazu werden die vorher analysierten Projektbeispiele erneut aufgegriffen. 9Auf Basis dieser Informationen, und den genannten Social Engineering Angriffsarten, werden Maßnahmen, die größtenteils technischer Natur sind, vorgestellt, erklärt und es wird beschrieben, gegen welche Arten von Angriffen sie effektiv helfen könnten. Dies soll im Idealfall, in einer sinnvollen Kombination, eine vernünftige Verteidigung gegen Social Engineering-Angriffe bieten. Schlussendlich soll sich in einer perfekten IT-Landschaft jeder Mitarbeiter, ob mit fundiertem oder verschwindend geringem Sicherheitsverständnis, problemlos bewegen können und nicht vor jedem Klick oder dem offen halten einer Tür hinterfragen müssen, ob er damit das gesamte Unternehmen gefährden könnte.show moreshow less

Download full text files

  • Bachelor-Thesis-SE_final_1.5_ready.pdf
    deu

Export metadata

Additional Services

Share in Twitter Search Google Scholar
Metadaten
Author:Dennis Stark
Place of publication:Offenburg
Year of Publication:2019
Pagenumber:79
Language:German
Tag:IT-Sicherheit
Advisor:Dirk Westhoff
Publishing Institution:Hochschule Offenburg
Granting Institution:Hochschule Offenburg
Document Type:Bachelor Thesis
Acces Right:Zugriffsbeschränkt
Release Date:2019/07/23
Licence (German):License LogoEs gilt das UrhG