Social Engineering und Security Awareness für Systemadministratoren

Social-Engineering ist eine Angriffsstrategie, die nicht die Technik als Opfer auserkoren hat. Stattdessen wird hier viel lieber - und vor allem effizienter - der Mensch bzw. sein Verhalten angegriffen. Ein Angreifer verwendet verschiedene Strategien und Taktiken, um aus Benutzern der Systeme Informationen wie Passwörter oder IP-Adressen herauszuholen. Mithilfe dieser Informationen kann er erfolgreiche Angriffe gegen Zielsysteme fahren. Dieser Vortrag zeigt, wie Social-Engineering funktioniert und erklärt die zu Grunde liegenden Tricks und Kniffe anhand sozialpsychologischer Studien und Experimente. Außerdem werden Beispiele, Warnsignale und Gegenmaßnahmen diskutiert. Im zweiten Teil werden aktuelle Erkenntnisse aus unserem Forschungsprogramm zur Didaktik der Sicherheit vorgestellt. Diese sollen dabei helfen, Sicherheitsschulungen und Awareness-Maßnahmen wissenschaftlich fundiert umzusetzen und dabei die Endanwender evaluierbar zu erreichen.

Referent:

Stefan Schumacher ist Hacker und Gründungs-Direktor des Magdeburger Instituts für Sicherheitsforschung und Herausgeber des Magdeburger Journals zur Sicherheitsforschung.

Seine Hackerkarriere begann Ende der 1980er Jahre auf einem Robotron KC85/3 Kleincomputer mit 1,75MHz und Datasette und entwickelte sich weiter über Linux (1996) und NetBSD (2001) zu diversen Open-Source-Projekten.

Er erforscht Sicherheit aus pädagogisch-psychologischer Sicht und stellt seine Forschungsergebnisse in Fachpublikationen und auf internationalen Kongressen vor.
Derzeit leitet er das Forschungsprogramm »Psychologie der Sicherheit« in dem unter anderem die Wahrnehmung und Konstruktion von Sicherheit durch Individuen qualitativ erforscht wird.

Er hat an der Otto-von-Guericke-Universität Magdeburg Bildungswissenschaft mit Nebenfach Psychologie studiert und mit einer Bachelor-Arbeit über die psychologischen Dimensionen der Sicherheit abgeschlossen. Im Studium hat er sich insbesondere auf Arbeits- und Organisationspsychologie sowie Personal- und Organisationsentwicklung vertieft.

Seit über 10 Jahren berät er Finanzinstitute, Unternehmen und Regierungsbehörden in Fragen der Unternehmenssicherheit, insbesondere mit dem Schwerpunkt Kryptographie, Social Engineering, Security Awareness und Sicherheit als Unternehmenskultur.

Desweiteren ist er seit 2003 als Speaker und Trainer auf diversen internationalen Konferenzen aktiv, u.a. in Australien, Russland, Belgien, Luxemburg, Österreich oder der UK. Er verfügt außerdem über umfangreiche Erfahrung als Dozent im Rahmen der Volkshochschule, sowie in der politischen Bildung zu den Themen Cyberwar und Cyberterrorismus, die Hackerszene, Überwachung und Internet-Sicherheit. Seit 2006 publiziert er regelmäßig in Fachzeitschriften und Büchern zum Forschungsfeld IT-Sicherheit.