Risikofaktor Mensch 17.04.2018, 09:37 Uhr

NTT Security «hackt» die Chefetage

Mit der Dienstleistung «Management Hack» will NTT Security Firmen dabei helfen, das Sicherheitsloch namens «Chefetage» zu stopfen.
Unter anderem mit Social-Engineering-Methoden greifen Pentester von NTT Security im Auftrag des CISO Führungskräfte eines Unternehmens an
(Quelle: StockSnap / Pixabay)
NTT Security Schweiz erweitert seine Angebotsreihe um den «Management Hack». Mit dem Einsatz spezieller Social-Engineering-Techniken wird dabei überprüft, inwiefern Führungskräfte selbst ein Sicherheitsrisiko darstellen.
Im Fokus der neuen Dienstleistung steht dabei die Führungsebene eines Unternehmens, das heisst der gesamte C-Level wie CEO, CFO oder CIO. Die Managementebene ist ein attraktives Ziel für jeden Hacker, da dieser Personenkreis in der Regel uneingeschränkten Zugriff auf vertrauliche Unternehmensdaten geniesst. Nicht selten profitieren Manager auch von besonderen Privilegien: So werden Sicherheits-Policies und -Standards ausgesetzt oder aufgelockert, um zum Beispiel das Login zu vereinfachen – mit fatalen Folgen.
Nach entsprechender Abstimmung mit dem Auftraggeber – in der Regel mit dem CISO oder dem Leiter des IT-Betriebs – werden simulierte, personalisierte Social-Engineering-Angriffe durchgeführt, von denen die im Fokus stehenden Personen im Idealfall nichts wissen. Dabei wird analysiert, wie verantwortungsbewusst die Managementebene in Sachen Security Awareness und IT-Sicherheit ist. Im Anschluss werden konkrete Schwachstellen aufgezeigt und Massnahmen, wie zum Beispiel Security-Awareness-Schulungen, empfohlen.
Allgemein umfasst das Service-Angebot des «Management Hack» von NTT Security die Überprüfung der IT-Sicherheit, der physischen Sicherheit (Objektschutz) und die Analyse von menschlichem Fehlverhalten. Konkret nutzt der Sicherheitsspezialist hierzu unter anderem Social-Engineering-Techniken wie Phishing und das personalisierte Spear-Phishing in Kombination mit Malware- oder Brute-Force-Angriffen auf Passwörter.
 
Die Simulation eines Social-Engineering-Angriffs erfolgt gemäss NTT Security in folgenden Schritten:
  • Aufbau einer Phishing-Webseite, die eine Kunden- oder eine dem Kunden bekannte Webseite simuliert
  • Gestaltung einer Phishing-Mail, die auf die Phishing-Webseite leitet
  • Versand der Phishing-Mails an das Management des Auftraggebers
  • Abfangen von Login-Informationen oder anderen vertraulichen Daten
  • Erstellung eines detaillierten Reports mit Statistiken zur aktuellen Sicherheitslage und Masssnahmenempfehlungen zur Verbesserung der Sicherheit


Das könnte Sie auch interessieren