Open Access

Mario Gollob

• Diese Masterarbeit behandelt die Informationssicherheit im Kontext des Social Engineerings von Unternehmen. Das Ziel ist es, Initiativen zu definieren, die Unternehmen kritischer Infrastruktur einsetzen müssen, um die Informationssicherheit in diesem Kontext zu gewährleisten. Im Bereich der Theorie wurde eine Literaturrecherche über das Thema ‚Social Engineering‘ durchgeführt. Es ließ sich herausfinden, welche Möglichkeiten es gibt, Unternehmen zu attackieren. Des Weiteren bedeutet Social Engineering nicht, dass immer eine illegale Aktivität dahinter steckt, sondern dass hier lediglich mithilfe von Psychologie ein Mehrwert für die Angreiferin oder den Angreifer generiert wird. Für den empirischen Teil der Arbeit wurde eine Umfrage an Personen gesendet, die in ihrer Arbeit mit Informationssystemen zu tun haben. Diese Befragung hat ergeben, dass Personen wissen, wie bedeutsam Informationssicherheit ist, und es wurde kein signifikanter Unterschied zwischen IT-affinen und nicht IT-affinen Personen festgestellt. IT-affine Personen wissen lediglich besser über die Auswirkungen Bescheid. Des Weiteren wurden Interviews mit Expertinnen und Experten aus dem Bereich der Informationssicherheit durchgeführt. Deren Zweck war es, herauszufinden, welche Maßnahmen es gibt, die Informationssicherheit im Kontext von Social Engineering zu gewährleisten bzw. zu erhöhen. Es hat sich herausgestellt, dass Security-Awareness-Schulungen sehr sinnvoll sind. Unternehmen kritischer Infrastruktur sollten sich auf Vor-Ort-Schulungen fokussieren, da diese ein höheres Informationssicherheitsempfinden beim Personal auslösen. In Relation zu den Kosten, die ein Social-Engineering-Angriff verursachen kann, zahlt sich für ein Unternehmen kritischer Infrastruktur eine Security-Awareness-Schulung mit großer Wahrscheinlichkeit aus. Es wird auch empfohlen, technische und physische Maßnahmen einzusetzen, um einen Social-Engineering-Angriff zu erschweren. Jedoch ist zu erwähnen, dass technische Maßnahmen nicht ausschließlich darauf ausgelegt sind, Social-Engineering-Angriffe zu verhindern. Das ist lediglich ein Teil davon. technische Maßnahmen schützen die Allgemeinheit vor Social-Engineering-Angriffen, jedoch nicht einzelne Personen. Für Unternehmen kritischer Infrastruktur sollten wiederkehrende Security-Awareness-Schulungen und technische Maßnahmen eingesetzt werden, um die Informationssicherheit im Kontext des Social Engineerings zu gewährleisten. Diese Vorkehrungen haben nämlich keinen erheblich negativen Einfluss auf die Arbeitstätigkeiten der Mitarbeiterinnen und Mitarbeiter im Allgemeinen. Auf der anderen Seite stellen sie jedoch sicher, dass die Angestellten ein entsprechendes Bewusstsein für diese Gefahr entwickeln und es stetig erweitern.
• This thesis investigates information security in the context of social engineering of companies. The aim is to define initiatives that critical infrastructure companies need to implement to ensure information security in the context of social engineering. A literature review was conducted on social engineering, highlighting potential attack vectors. Furthermore, social engineering does not mean that there is always an illegal activity behind it, but that an added value is generated for the attacker with the help of psychology. A survey was sent out to information-systems user. This survey shows a clear awareness of the importance of information security, and no significant difference was found between IT-savvy and non-IT-savvy people. IT-savvy people are more aware of the implications. Furthermore, interviews were conducted with experts to find out what measures are available to ensure or increase information security in the context of social engineering. It turned out that security awareness training is very useful. In the case of companies with critical infrastructure, on-site training should be used, as this triggers a greater sense of information security among the staff. Concerning the costs that a social engineering attack can cause security awareness training always pays off for a critical infrastructure company. It is also recommended to use technical and physical measures to make a social engineering attack more difficult. However, it is worth mentioning that technical measures are not exclusively designed to prevent social engineering attacks. Technical measures protect the public from social engineering attacks, but not individuals. For critical infrastructure companies, recurrent security awareness training and technical measures should be used to ensure information security in the context of social engineering, as these do not have a significant negative impact on the work activities of employees in general, but on the other hand, ensure that employees develop and continuously expand their awareness of this threat. Further research can review these deployed initiatives and measure how much they bring to a company's information security.