Logo des Repositoriums

Auflistung nach Schlagwort "Social Engineering"

1 - 4 von 4
  • Zeitschriftenartikel
    Ok, gegen Cupids Pfeil hilft keine Firewall – Sichere(s) Daten durch ganzheitlichen Kompetenzaufbau
    (HMD Praxis der Wirtschaftsinformatik: Vol. 61, No. 1, 2024) Finster, Rebecca; Kronschläger, Thomas; Grogorick, Linda; Robra-Bissantz, Susanne
    In einer ständig präsenten digitalen Umgebung, die Technologie als zentrales Angebot nutzt, gewinnt Online-Dating immer mehr an Popularität. Ein Großteil der jüngeren Bevölkerung hat Erfahrung damit. Doch diese Entwicklung bringt neue Herausforderungen in Bezug auf Datenschutz und Informationssicherheit mit sich. Online-Dating-Plattformen (z. B. OkCupid ) und -Apps (z. B. Tinder ) führen zur Entstehung von Cyberintimität und eröffnen Risiken, wie Social Engineering, bei denen Menschen beeinflusst werden, um vertrauliche Informationen preiszugeben. Diese Bedrohungen könnten nicht nur persönliche Leben beeinträchtigen, sondern auch die Sicherheit von Unternehmen gefährden. Opfer von Social Engineering könnten in der vermeintlich privaten Online-Dating-Umgebung unbeabsichtigt sensible Informationen enthüllen und dadurch Unternehmensnetzwerke gefährden. Daher ist es von großer Bedeutung, digitale Fähigkeiten in Kompetenzbereichen wie Information Security Awareness und Kommunikation zu stärken und eine kritische Herangehensweise an online geteilte Informationen zu entwickeln. Diese Untersuchung analysiert die Verbindung zwischen Informationssicherheit und Online-Dating durch eine interdisziplinäre hermeneutische Analyse. Dabei liegt der Fokus auf der Rolle von Kommunikation und anderen digitalen Kompetenzen im Kontext von Informationssicherheit und Social Engineering und verdeutlicht die Wichtigkeit von Informationssicherheit über das Berufsleben hinaus. In an ever-present digital environment that revolves around technology, online dating is gaining significant popularity. A large portion of the younger population has experience in this area. However, this trend brings with it new data privacy and information security challenges. Online dating platforms (e.g. OKCupid ) and apps (e.g. Tinder ) contribute to the emergence of cyber intimacy and introduce risks such as social engineering, where individuals are manipulated to gain confidential information. These threats can affect not only personal lives, but also the security of businesses. Victims of social engineering may inadvertently reveal sensitive information in supposedly private online dating situations, putting corporate networks at risk. As a result, it is critical to improve digital skills in competence areas such as information security awareness and communication, while adopting a critical approach to information shared online. A study explores the nexus between information security and online dating through an interdisciplinary hermeneutic analysis. Special emphasis is placed on the role of language, data protection, and other digital competences in the context of information security and social engineering and emphasizes the importance of information security beyond professional life.
  • Konferenzbeitrag
    „Das perfekte Opfer“ – eine Analyse sicherheitsbezogener Einstellungen und Verhaltensweisen im Internet in Abhängigkeit der Nutzerpersönlichkeit
    (Workshop Gemeinschaften in Neuen Medien (GeNeMe) 2018, 2018) Staar, Henning; Wilms, Rafael; Hinrichs, Judith
    Jüngere theoretische Beiträge und empirische Studien zur Informations- und Datensicherheit widmen sich diesem Themenbereich des Social Engineering verstärkt interdisziplinär und rücken dabei neben täterbezogenen Analysen (z.B. Watson, Holz & Mueller, 2008) vor allem gruppen- bzw. kulturbezogenen Aspekte (Flores, Holm, Nohlberg & Ekstedt, 2014; Tembe et al., 2014) als auch individuelle Charakteristika wie Persönlichkeitsmerkmale der (potentiellen) Opfer in den Fokus (z.B. Uebelacker & Quiel, 2014; Pattinson, Jerram, Parsons, McCormac & Butavicius, 2012;Vishwanath, Herath, Chen, Wang & Raghav Rao, 2011). Trotz der gegenwärtigen intensiven Beschäftigung mit dem Thema fehlen jedoch weiterhin eindeutige bedingungs- und personenbezogene Handlungsimplikationen zum Umgang mit den genannten Formen des Datendiebstahls (Gupta, Tewari, Jain & Agrawal, 2017). Ein möglicher Grund mag in der vergleichsweise häufigen Reduktion individueller Charakteristika auf die zentralen Persönlichkeitsmerkmale („Big 5“; Rammstedt, Kemper, Klein, Beierlein & Kovalena, 2012) liegen. Zugrundeliegende Motive oder Werte von Personen werden hingegen bislang unzureichend betrachtet (Fazio, Blascovich & Driscoll, 1992). Darüber hinaus beziehen bislang nur wenige Studien sowohl umfassende psychologische Befragungsinventare zu sicherheitsbezogenen Einstellungen, Verhaltensweisen und individuellen Personenmerkmalen als auch die Beurteilung von E-Mails oder Websites hinsichtlich der Vertrauenswürdigkeit und Handlungsbereitschaft in ihre Analysen ein. Der vorliegende Beitrag verfolgt mit einem entsprechenden Studiendesign das Ziel, diese Lücke weiter zu schließen und Erkenntnisse zu personenbezogenen Einflüssen auf die Informations- und Datensicherheit zu generieren. [Aus der Einleitung.]
  • Zeitschriftenartikel
    Spear Phishing 2.0: Wie automatisierte Angriffe Organisationen vor neue Herausforderungen stellen
    (HMD Praxis der Wirtschaftsinformatik: Vol. 57, No. 3, 2020) Franz, Anjuli; Benlian, Alexander
    Vom ursprünglichen „Phishing = Passwort + Fishing“ wandelt sich das Angriffsmuster durch neue Technologien zum boomenden Geschäftsmodell der cyberkriminellen Szene. Schadsoftware wie „Emotet“ zeigt, dass automatisierte Spear Phishing-Angriffe Realität geworden sind und immense Schäden verursachen. Der Mitarbeiter rückt damit in den Fokus von IT-Sicherheitsmaßnahmen. Das Ziel dieses Beitrags ist es, einen Rundumblick zur aktuellen und zukünftigen Bedrohungslage durch Spear Phishing zu geben und konkrete Handlungsempfehlungen abzuleiten. Zur Messung der Security Awareness im organisatorischen Umfeld wird die Kennzahl „Employee Security Index“ vorgestellt, welche das Sicherheitsbewusstsein von Mitarbeitern gegenüber Phishing-Angriffen standardisiert messbar macht. Es wurde ein Feldexperiment in einer deutschen Organisation durchgeführt, um die Verwundbarkeit der Belegschaft gegenüber Spear Phishing und die Wirksamkeit verschiedener Trainingsmaßnahmen zu untersuchen. Die erhobenen Daten werden mithilfe des „Employee Security Index“ bewertet. Insgesamt verdeutlichen die Ergebnisse, dass neben technischen und organisatorischen Schutzmaßnahmen sowohl eine Schulung der Mitarbeiter als auch ein Umdenken nutzerverbundener Prozesse unabdingbar ist. From the original “Phishing = Password + Fishing”, new technology allows attack patterns to change and make Phishing a booming business of the cybercriminal scene. Malware, such as “Emotet”, shows that automated Spear Phishing attacks have become reality and cause immense damage. This puts the employee in the focus of IT security measures. The aim of this paper is to provide an overview of the current and future threat posed by Spear Phishing and to derive guidance for IT security management. We introduce the “Employee Security Index”, an index to measure security awareness against Phishing attacks in the organizational environment in a standardized way. A field experiment was conducted in a German organization in order to investigate the vulnerability of its workforce to Spear Phishing and the effectiveness of various training measures. The data collected is evaluated using the “Employee Security Index”. Overall, the results of this paper make it clear that, in addition to technical and organizational protective measures, both employee training and a rethinking of user-related processes are indispensable.
  • Zeitschriftenartikel
    Weird Sociotechnical Systems
    (HMD Praxis der Wirtschaftsinformatik: Vol. 57, No. 3, 2020) Klipper, Sebastian
    Durch Hackerangriffe auf technische Schwachstellen werden IT-Systeme kompromittiert und Social Engineers haben menschliche Schwachpunkte zum Ziel. Maximale Schadensszenarien entstehen in heute üblichen Angriffen, z. B. mit Ransomware oder CEO-Fraud, durch die Kombination von Software-Exploits, Social Engineering und Kenntnissen über interne Organisationsabläufe. Technik, Mensch und Organisation werden so von Angreifern als Mensch-Maschine-Einheit bedroht, während sich die Bewertung von Risiken für die Informationssicherheit häufig auf technische Schwachstellen fokussiert. Auch eine getrennte Analyse von technischen Schwachstellen und menschlichen Faktoren ist für diese Art von Bedrohung der soziotechnischen Systeme nicht angemessen. Durch die Interpretation betroffener Organisationen als soziotechnische Systeme sind Angriffe erfolgreicher als durch die ausschließliche Fokussierung auf IT-Systeme. Wenn Risikomanagement, Informations- und IT-Sicherheit dieser Entwicklung etwas entgegensetzen wollen, müssen Sicherheitsmaßnahmen die Einbettung technischer Lösungen in soziotechnische Systeme deutlich stärker berücksichtigen, als das heute üblich ist. Hierzu gehören umfassendere Szenarioanalysen im Risikoassessment ebenso wie eine Ausweitung der Berücksichtigung des Faktors Mensch bei Design, Test und Implementierung von IT-Systemen, die als Teil soziotechnischer Systeme verstanden werden müssen. IT systems are compromised by hacker attacks on technical vulnerabilities and social engineers target human weaknesses. Maximum damage scenarios arise in today’s common attacks, e.g. ransomware or CEO fraud, through the combination of software exploits, social engineering and knowledge of internal organizational processes. Technology, people and organizations are thus threatened by attackers as man-machine units, while the assessment of information security risks often focuses on technical vulnerabilities. Even a separation of the analysis of technical vulnerabilities and human factors is not appropriate for this type of threat to socio-technical systems. By interpreting affected organizations as socio-technical systems, attacks are more successful than by focusing exclusively on IT systems. If risk management, information and IT security want to work against this development, security measures must take much more account of the integration of technical solutions in socio-technical systems than is usual today. This includes more comprehensive scenario analyses in risk assessment as well as an expansion of the consideration of the human factor in the design, testing and implementation of IT systems, which must be understood as part of socio-technical systems.