☰
Schwachstelle finden und besser werden …
Wir helfen Ihnen, in Ihrem Unternehmen die Schwachstellen zu finden und besser zu werden. Sie wissen ja, wenn Hacker von außen nicht weiterkommen, werden Ihre
Mitarbeiter zum Angriffsziel.
An Ihnen oder Ihrem Unternehmen ist kein Hacker interessiert? Sie werden staunen, denn in der Regel suchen Hacker den leichtesten Weg ins System der Großen! So ist zum Ausspionieren eines Autoherstellers durchaus der kleine Zulieferer mit den entsprechenden Konstruktionsdaten und Zugängen zum Hersteller von großem Interesse. Auch Rechtsanwalt oder Steuerberater sind nicht das unmittelbare Ziel, sondern die Daten ihrer Mandanten! Um einer Bank bzw. deren Kunden Schaden zuzufügen reicht häufig bereits der Zugang zu einer unbedeutenden Bankfiliale oder Außenstelle in der Verwaltung. Den Ärger und den Schaden hat zumeist der, durch den der
Hacker ins System gekommen ist.
Erfahren Sie in den nachfolgenden Praxis-Beispielen etwas mehr darüber, wie subtil und smart zugleich in der Wirtschaftsspionage vorgegangen wird.
zum Thema
Beratende Berufe
Beratende Berufe (Steuerberater, Rechtsanwälte und Notare etc.)
Stellen Sie sich folgende Situation vor… Per Mail fragt ein potenzieller neuer Mandant bei Ihnen an, welche Unterlagen er für ein Erstgespräch zur Übernahme des Mandats bei Ihnen mitbringen müsste. Telefonisch wird ein Beratungstermin vereinbart. Der Termin wird wahrgenommen und das Gespräch nach einem kurzen small Talk begonnen. Nach ca. 15 Minuten, der Berater ist gerade mit den Unterlagen beschäftigt, entschuldigt sich der Besucher und fragt nach einem WC. Der Besucher geht auf dem Weg zum WC aber an den Empfang und überzeugt die Dame davon, dass man für den Termin noch dringend einen Ausdruck benötigt, der sich auf dem USB-Stick des Besuchers befindet. Die freundliche Empfangsdame steckt den USB-Stick in ihren Rechner, druckt das gewünschte Dokument aus und parallel installiert sich unbemerkt eine entsprechende Schad-Software. Der Besucher steckt das Dokument ein, geht wieder zum Termin, führt das Gespräch weiter und beendet dies unauffällig. Nach freundlicher Verabschiedung geht der potenzielle neue Mandant. Er wird nie Mandant werden. Alle gegebenen Daten und Informationen waren ein Fake. Seine Identität war als Datensatz im Internet gekauft worden. Sind Sie zuverlässig gegen einen solchen Angriff geschützt? Wenn nein, dann sollten wir uns kennen lernen. Schützen Sie Ihr Firmenwissen und die vertraulichen Daten Ihrer Mandantschaft!
Bankfilialen
Bankfilialen
Stellen Sie sich folgende Situation vor… Eine größere Bankfiliale (oder auch eine ausgelagerte Abteilung) befindet sich im Erdgeschoss eines mehrstöckigen Gebäudes. Kurz nach Arbeitsbeginn steht ein Klempner vor der Tür, offensichtlich von einem Notdienst. Seine Kleidung ist stellenweise sehr nass und er berichtet, dass im Zuge von Renovierungsarbeiten in einem der oberen Stockwerke bei Familie/Firma XY aus Versehen eine Wasserleitung angebohrt wurde. Im oberen Stockwerk gäbe es nun einen Wasserschaden und der Notdienst befürchtet, dass sich das Wasser nun einen Weg durch die Kabelschächte nach unten suchen könnte. Um zu vermeiden, dass es zu einem Schaden an den elektronischen Geräten kommt, schlägt der Klempner nun vor, die Räumlichkeiten auf Wasser von oben zu überprüfen. Der Bankmitarbeiter stimmt dem zu und begleitet den Monteur in den ersten Räumen – bis er von einem Kollegen weg gerufen wird oder es ihm zu langweilig wurde… Kaum ist der Monteur allein, gelingt ihm der Zugang zu einem PC und die Installation entsprechender Spy-Software. Nach Erledigung der Arbeit lässt er sich zur Begleitperson bringen, teilt mit, dass alles OK ist und verabschiedet sich freundlich. Versteht sich von selbst, dass das kein echter Monteur war und es auch niemals im Obergeschoss einen Wasserschaden gegeben hat. Sind Sie zuverlässig gegen einen solchen Angriff geschützt? Wenn nein, dann sollten wir uns kennen lernen. Schützen Sie Ihr Firmenwissen und die vertraulichen Daten Ihrer Kunden!
Automobil
Zulieferer
Mittelständischer Automobil-Zulieferer (Metall- oder Kunststoffverarbeitung, Elektronik etc.)
Stellen Sie sich folgende Situation vor… Eine junge und freundliche Stimme am Telefon erkundigt sich nach dem Ansprechpartner für Praktika und Berufsausbildung. Nachdem die Kontaktdaten erfragt wurden, bekommt der Verantwortliche ansprechende Bewerbungsunterlagen per Post zugeschickt. Die junge Dame wird zum Vorstellungsgespräch eingeladen und wenig später steht der Termin für das Praktikum. Typisch für ein Praktikum ist es, dass den Praktikanten ein ganzheitlicher Überblick zu den möglichen Tätigkeitsfeldern im Unternehmen gegeben wird. Zumeist werden Praktikanten „an die Hand genommen“ und von einer Abteilung in die nächste übergeben. Man freut sich über wissbegierige Praktikanten, die viele Fragen stellen und aktiv mitarbeiten. Ab einem gewissen Zeitpunkt, dürfen sich diese neuen und engagierten Kollegen dann relativ frei im Unternehmen bewegen. Was ist, wenn die Identität des Praktikanten ein Fake ist? Haben Sie schon mal die Identität eines Praktikanten überprüft? Sind Sie zuverlässig gegen einen solchen Angriff geschützt? Wenn nein, dann sollten wir uns kennen lernen. Schützen Sie Ihr Firmenwissen und die vertraulichen Daten Ihrer (sensiblen) Kunden!
Kommunale
Versorgungswerke
Kommunale Versorgungswerke
Stellen Sie sich folgende Situation vor… Ein kommunales Versorgungswerk/Stadtwerk ist wie jedes andere Unternehmen auch stets auch Kunde eines Telekommunikationsanbieters. Eines Tages trifft im zentralen Posteingang der Verwaltung eine E-Mail von eben diesen Telekommunikationsanbieter ein. In dieser Mail wird auf temporäre Störungen der Internetverbindung, speziell der mangelnden Uploadrate hingewiesen. Der Anbieter entschuldigt sich förmlich und kündigt zur Behebung der Problematik eine Messung der Leitungen durch das Servicepersonal des Internetproviders an. Noch am selben Tag fahren zwei Herren mit einem PKW des Internetproviders auf den Hof des Stadtwerks und melden sich ordnungsgemäß am Empfang an. Die Herren tragen Kleidung mit der Kennzeichnung des Providers, Messgeräte sowie ein Laptop bei sich. Die beiden Servicetechniker werden bei ihren Arbeiten von einem Angestellten der Stadtwerke begleitet, wobei sich ein Techniker angeregt mit diesem Mitarbeiter unterhält und der zweite Techniker sein Laptop an eine Netzwerkdose anschließt und mit seiner Zentrale telefoniert, um den Fehler zu identifizieren. Was ist, wenn die Mail des Telekommunikationsanbieters/Internetproviders gespooft, also imitiert wurde und die beiden Servicetechniker gar keine sind? Können Sie einen gefälschten Ausweis Ihres Internetproviders erkennen? Haben Sie schon mal die Identität eines Servicetechnikers überprüft? Sind Sie zuverlässig gegen einen solchen Angriff geschützt? Wenn nein, dann sollten wir uns kennen lernen. Schützen Sie Ihr Firmenwissen und die vertraulichen Daten Ihrer (sensiblen) Kunden!Referenz-Projekte
Social Engineering ist ein „stilles Geschäft“, vor allem, wenn es um Erfahrungen und Ergebnisse aus Penetrationstests geht. Schließlich spiegelt das Ergebnis zu großen Teilen die Wirksamkeit der vorgefundenen Schutzmaßnahmen wider bzw. gibt Einblick in aufgebaute Schutzsysteme. Wir verzichten daher an dieser Stelle auf die
öffentliche Darstellung unserer Referenz-Projekte, nennen Ihnen im individuellen Bedarfsfall aber gern Kontaktadressen aus unserer umfangreichen Kundschaft, damit Sie sich vertraulich informieren können.
PDF-Download
Whitepaper
Ich will mein Firmenwissen schützen.
Sofort-Kontakt
zu unseren Social-Engineering-Experten
Telefon: 05621 / 944 97 12
E-Mail: SE-Experten@hrc-gmbh.com
Wir freuen uns auf Sie!