Social-Engineering-Penetrationstests

Social-Engineering-Pentests dienen dazu, die Einhaltung der vom Unternehmen definierten Sicherheitsrichtlinien und -praktiken durch die Mitarbeiter zu testen. Die Tests sollen einem Unternehmen darüber Aufschluss geben, wie leicht ein Angreifer Mitarbeiter dazu bringen könnte, Sicherheitsregeln zu brechen oder sensible Informationen preiszugeben oder zugänglich zu machen. Durch die Tests sollte das Unternehmen auch ein besseres Verständnis dafür entwickeln, wie erfolgreich die eigenen Sicherheitsschulungen waren und wie das Unternehmen im Vergleich zu anderen Organisationen in Sachen Sicherheit abschneidet. Diese Tests sind unter anderem wichtig, um die eigene Social-Engineerings-Angriffsfläche einschätzen zu können.

Social-Engineering-Tests könne als von umfassenden Penetrationstests (Pentests) durchgeführt werden. Wie die Methoden des ethischen Hackens replizieren die Tests selbst im Allgemeinen die Arten von Bemühungen, die Angreifer in der realen Welt verwenden.

So würde beispielsweise bei einem physischen Teil eines solchen Tests versuchen ein Gebäude zu einem Zeitpunkt zu betreten, an dem möglichst viele Mitarbeiter eintreten. Vielleicht würde der Prüfer beim Gehen telefonieren oder viele Gegenstände mit sich führen, um zu sehen, ob ihm jemand einfach die Tür aufhält, anstatt sich das genehmigte Verfahren zu halten. Hierbei müsste die Tür hinter jeder Person geschlossen werden, so dass jede nachfolgende Person eine Mitarbeiterkarte oder einen Ausweis für den Zutritt verwenden muss.

Eine der gängigsten Social-Engineering-Methoden sind Phishing-Angriffe. Und diese werden häufig simuliert, um Mitarbeiter zu testen (siehe auch Darauf sollten Unternehmen bei Phishing-Tests achten). Die Tester könnten in diesem Fall eine E-Mail senden, die angeblich von einer Führungskraft des Unternehmens stammt und den Mitarbeiter auffordert, einen unerwarteten Anhang zu öffnen, vertrauliche Informationen bereitzustellen oder eine nicht genehmigte Website zu besuchen.

Getestet werden üblicherweise auch Angriffsversuche per Telefon. So könnte ein Tester einen Anwender anrufen und vorgeben, jemand aus der IT-Abteilung zu sein. Beim Anruf wird der Anwender gebeten, ein neues Passwort zu verwenden und aufgefordert ihre aktuellen Passwörter in die neuen zu ändern.