Schutz vor Social Engineering
15.09.2020
Angriffspunkte und Abwehrmöglichkeiten in digitalwirtschaftlichen Ökosystemen. Herausgegeben von Prof. Dr. Dirk Drechsler. Erich Schmidt Verlag
GmbH & Co. KG, Berlin 2019, 217 Seiten, Preis Euro (D) 34,95 ISBN 978-3-503-18859-8.
GmbH & Co. KG, Berlin 2019, 217 Seiten, Preis Euro (D) 34,95 ISBN 978-3-503-18859-8.
Social Engineering ist und bleibt eine erhebliche Bedrohung. Die Angriffstechniken des Social Engineering sind zwar durchaus bekannt, aber ein neuer Kontext und Kombinationen von Attacken schaffen neue Bedrohungen und Schwachstellen. Social Engineering erhält zunehmend über die Verbindung mit anderen Bedrohungsarten eine neue und gefährlichere Bedeutung. Beispielsweise können Methoden der künstlichen Intelligenz gezielt für Social-Engineering-Angriffe eingesetzt werden, um Informationen zu sammeln, E-Mails zu schreiben oder potenzielle Opfer zu kontaktieren.
Ziel dieses Sammelbands ist es, das Thema Social Engineering aus diversen Blickwinkeln zu beleuchten. Das Buch ist modular aufgebaut, sodass jedes Kapitel unabhängig von den anderen gelesen werden kann. Es ist nicht als Lehrbuch gedacht, vielmehr hoffen die Autoren, mit dem Sammelband einen Beitrag zu neuen Perspektiven und zu einer verstärkten Wahrnehmung zu liefern.
Dabei werden die folgenden Themen als einzelne Beiträge dargestellt:
• In dem Kapitel Digitalwirtschaftliche Ökosysteme – das neue Organisationsparadigma geht es um die Rahmung und eine generische Darstellung aktueller digitalwirtschaftlicher Entwicklungen.
• Im Kapitel Risiken digitalwirtschaftlicher Ökosysteme geht es um die Betrachtung der Risikosituation, die sich genauso wie die Digitalwirtschaft von einer globalen zu einer spezifischen Sichtweise entwickelt.
• Das Kapitel Social Engineering aus Sicht der Polizei zeigt im Wesentlichen aktuelle Kriminalitätsphänomene in praktischer und wissenschaftlicher Hinsicht sowohl über die Darstellung von Fallstudien inklusive deren Modus Operandi als auch über die Skizzierung einer kriminologischen Einordnung auf.
• In dem Kapitel Manipulationstechniken stellen die Autoren dar, dass die Sozialität und die menschliche Psychologie über Aspekte wie die nonverbale Kommunikation, Rapport, Vertrauenswürdigkeit, Autorität etc. viele Ansatz- und Kontaktpunkte für einen Angreifer liefern.
• Im Kapitel Technische Seite des Social Engineering werden verschiedene Kategorien von Social-Engineering-Angriffen mit den eingesetzten technischen Hilfsmitteln vorgestellt, die grundlegende Struktur eines Angriffs erläutert und die zu erwartenden Auswirkungen dargestellt.
• Das Kapitel Social Engineering Kill Chain stellt eine als Social Engineering Kill Chain bezeichnete Abwehrmöglichkeit dar, die die Schritte des Angreifers spiegelbildlich abbildet und auf jeder Stufe mehrere mögliche Antworten konstruiert.
Für die Arbeit der Internen Revision werden die nachfolgenden Kernbotschaften der verschiedenen Beiträge von besonderem Interesse sein. Die Autoren kommen zu dem Ergebnis,
• dass die Abwehr von Social-Engineering-Angriffen alles andere als einfach ist,
• dass Angreifer in der Regel eine einzige Schwachstelle identifizieren, auswählen und ausnutzen, während die Verteidiger des Unternehmens einen umfassenden Schutz sicherstellen müssen,
• dass die (Inter-)Dependenzen und Abhängigkeiten eine fast unübersichtliche Landschaft schaffen, die ohne Unterstützung des Faktors Mensch nicht ausreichend zu schützen ist,
• dass ein ausreichendes und umfassendes Sicherheitsniveau nur durch die Unterstützung der Unternehmensleitung entsteht.
Der Sammelband hilft mit seinen Beiträgen und verschiedenen Betrachtungen des Themas Social Engineering, ein tieferes Verständnis der Bedrohungsarten im Zusammenhang mit Social Engineering aufzubauen. Die Autoren zeigen einen systematischen Zugang zu einem wichtigen Verantwortungsbereich des Risikomanagements auf und entwickeln beispielhaft einen Werkzeugkasten für den Aufbau von resilienten Organisationen, die sich kurz- und langfristig gegen Social- Engineering-Angriffe verteidigen können.
Als Fazit lässt sich festhalten, dass diese Betrachtung und Darstellung des Themas Social Engineering für die Interne Revision bei Prüfungsplanung und -durchführung als sinnvolle Unterstützung gut geeignet ist.
Diplom-Wirtschaftsmathematiker und Diplom-Kaufmann Thomas Gossens, CIA, CISA, CRISC, ACDA, ist Abteilungsleiter Revision Zentrale Aufgaben und Steuerung im Bereich Revision, Stadtsparkasse Düsseldorf
Quelle: ZIR Zeitschrift Interne Revision Ausgabe 4/2020
Ziel dieses Sammelbands ist es, das Thema Social Engineering aus diversen Blickwinkeln zu beleuchten. Das Buch ist modular aufgebaut, sodass jedes Kapitel unabhängig von den anderen gelesen werden kann. Es ist nicht als Lehrbuch gedacht, vielmehr hoffen die Autoren, mit dem Sammelband einen Beitrag zu neuen Perspektiven und zu einer verstärkten Wahrnehmung zu liefern.
Dabei werden die folgenden Themen als einzelne Beiträge dargestellt:
• In dem Kapitel Digitalwirtschaftliche Ökosysteme – das neue Organisationsparadigma geht es um die Rahmung und eine generische Darstellung aktueller digitalwirtschaftlicher Entwicklungen.
• Im Kapitel Risiken digitalwirtschaftlicher Ökosysteme geht es um die Betrachtung der Risikosituation, die sich genauso wie die Digitalwirtschaft von einer globalen zu einer spezifischen Sichtweise entwickelt.
• Das Kapitel Social Engineering aus Sicht der Polizei zeigt im Wesentlichen aktuelle Kriminalitätsphänomene in praktischer und wissenschaftlicher Hinsicht sowohl über die Darstellung von Fallstudien inklusive deren Modus Operandi als auch über die Skizzierung einer kriminologischen Einordnung auf.
• In dem Kapitel Manipulationstechniken stellen die Autoren dar, dass die Sozialität und die menschliche Psychologie über Aspekte wie die nonverbale Kommunikation, Rapport, Vertrauenswürdigkeit, Autorität etc. viele Ansatz- und Kontaktpunkte für einen Angreifer liefern.
• Im Kapitel Technische Seite des Social Engineering werden verschiedene Kategorien von Social-Engineering-Angriffen mit den eingesetzten technischen Hilfsmitteln vorgestellt, die grundlegende Struktur eines Angriffs erläutert und die zu erwartenden Auswirkungen dargestellt.
• Das Kapitel Social Engineering Kill Chain stellt eine als Social Engineering Kill Chain bezeichnete Abwehrmöglichkeit dar, die die Schritte des Angreifers spiegelbildlich abbildet und auf jeder Stufe mehrere mögliche Antworten konstruiert.
Für die Arbeit der Internen Revision werden die nachfolgenden Kernbotschaften der verschiedenen Beiträge von besonderem Interesse sein. Die Autoren kommen zu dem Ergebnis,
• dass die Abwehr von Social-Engineering-Angriffen alles andere als einfach ist,
• dass Angreifer in der Regel eine einzige Schwachstelle identifizieren, auswählen und ausnutzen, während die Verteidiger des Unternehmens einen umfassenden Schutz sicherstellen müssen,
• dass die (Inter-)Dependenzen und Abhängigkeiten eine fast unübersichtliche Landschaft schaffen, die ohne Unterstützung des Faktors Mensch nicht ausreichend zu schützen ist,
• dass ein ausreichendes und umfassendes Sicherheitsniveau nur durch die Unterstützung der Unternehmensleitung entsteht.
Der Sammelband hilft mit seinen Beiträgen und verschiedenen Betrachtungen des Themas Social Engineering, ein tieferes Verständnis der Bedrohungsarten im Zusammenhang mit Social Engineering aufzubauen. Die Autoren zeigen einen systematischen Zugang zu einem wichtigen Verantwortungsbereich des Risikomanagements auf und entwickeln beispielhaft einen Werkzeugkasten für den Aufbau von resilienten Organisationen, die sich kurz- und langfristig gegen Social- Engineering-Angriffe verteidigen können.
Als Fazit lässt sich festhalten, dass diese Betrachtung und Darstellung des Themas Social Engineering für die Interne Revision bei Prüfungsplanung und -durchführung als sinnvolle Unterstützung gut geeignet ist.
Diplom-Wirtschaftsmathematiker und Diplom-Kaufmann Thomas Gossens, CIA, CISA, CRISC, ACDA, ist Abteilungsleiter Revision Zentrale Aufgaben und Steuerung im Bereich Revision, Stadtsparkasse Düsseldorf
Quelle: ZIR Zeitschrift Interne Revision Ausgabe 4/2020
Programmbereich: Management und Wirtschaft