Sonntag, 21. Juli 2013

Maßnahmen gegen Social Hacking


In einem früheren Eintrag, habe ich euch über die Methoden aufgeklärt, heute kommen die Schutzmaßnahmen, wie man einen solchen Angriff "abwehren" kann

Schutzmaßnahmen gegen Social Hacking

  • Daten müssen in Klassen eingeteilt werden
    Sprich: Wer darf die Daten sehen – wer hat Zugriff darauf – wer darf Daten bearbeiten – wer darf Daten weitergeben

  • Weitergabe von internen Nummern, Mail-Adressen, Server-Namen. Auch so was sollte sollte Klassifiziert werden. Einen Fremden, geht die Handynummer des Chefs nichts an (Beispiel).

  • Anrufe sollten generell notiert werden und der Anruf soll/muss sich identifizieren. Dabei ist es egal ob der „Chef“ anruft oder ein Mitarbeiter aus dem Außendienst.

  • Wird ein Mitarbeiter entlassen etc. sollte sofort sein Account gelöscht werden.

Aufklärung von Mitarbeitern

  • Engagiert jemanden der mit euren Mitarbeitern, Rollenspiele macht. Diverse Situation durchspielt und ganz gezielt auf Probleme hinweist.

  • Regelmäßige Passwort Änderung – aller 3 Monate ist ein guter Zeitraum. Besser würde jedoch jeder Monat sein.

  • Das Passwort sollte nur einmal verwendet werden – sprich nicht 1 Passwort für alle Accounts verwenden. Das macht es einem Angreifer spielend einfach.

  • Je nach Klassifizierung sollten Mitarbeiter geschult werden. Ein Basistraining, sollte aber für jeden gleich sein und eingeführt werden

  • Die IT-Abteilung sollte Erinnerungsscreens auf denn PC des Mitarbeiters „schicken“. In etwa: „Demnächst musst du dein PW ändern“ oder jeden Tag ein Hinweisfeld mit einer Sicherheitsregel – Ich benütze beide Regeln. Durch das ständige wiederholen der Regeln, merken sich das die Mitarbeiter besser. Die Sicherheitsregel popt nach der Anmeldung auf.

  • 1 -2 mal im Jahr sollte ein Penetrationstest (PenTest) durchgeführt werden. Dabei wird die komplette Infrastruktur geprüft (auf PC-Basis) und es werden SocialHacks durchgeführt.

  • Mitarbeiter sollten keine Befehle in ihren PC kloppen nur weil es ein Typ an der anderen Leitung sagt. Lediglich die IT-Abteilung sollte solchen Aufgaben übernehmen.

  • Es sollten auch keine Mail-Anhänge von fremden geöffnet werden oder eigenständig Programme geladen werden.

  • Die Mitarbeiter sollten generell eine Kennkarte bei sich tragen. Beispielsweiße sollte auch die Empfangsdame keinen Zutritt zu Forschungsprojekten haben etc. Dies sollte man also auch wieder Klassifizieren.

  • Achtet auf euren Müll – es muss klare Richtlinien geben wie Müll entsorgt wird. Es gibt Shredder die ein Blatt kreuz&quer schreddern und es somit fast unmöglich machen das Dokument wieder herzustellen – Das Putzpersonal sollte einen Background Check unterzogen werden – verschließt eure Mülltonnen und lasst diese auf dem Firmengelände

Diese Richtlinien sind sehr allgemein gehalten und müssen von Firma zu Firma angepasst werden. Ein wirklich tolles wenn auch schon älteres Buch ist von „KevinMitnick – Die Kunst der Täuschung, Risikofaktor Mensch“.

Als Beispiel:

Ich arbeite für eine kleine Firma und habe auf der Basis von K. Mitnick ca. 20 Seiten + Training für unsere Firma erarbeitet. Diese beinhaltet allgemeine Richtlinien als auch Richtlinien wie man einen SocialHack erkennt und diesen eventuell „abwehrt“. Jedoch direkt auf unsere Firma zugeschnitten.


Eingestellt von um
Labels: ,

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post (Atom)