ITIL als Methode gegen Attacken eines Social Engineers im IT-Betrieb

Abstract

Trotz des kontinuierlichen wissenschaftlichen Diskurses über Information Security sind gerade jene Angriffe noch nicht ausreichend behandelt, die auf menschlichen Aspekten basieren. Dies resultiert primär aus dem bisherigen Fokus, auf der personellen Sicherheitsebene einen wirksamen Schutz gegen Social Engineering aufzubauen. Moderne Informationssicherheitsmodelle zeichnen sich allerdings unter anderem durch einen multi-dimensionalen Ansatz aus. Es ist daher naheliegend, auch gegen Social Engineering ein multi-dimensionales Sicherheitsmodell einzusetzen. Dieses Modell bedingt nicht nur eine Wechselwirkung zwischen den Dimensionen Technik, Mensch und Organisation, sondern auch eine Integration in die Corporate Governance.<br />Diese Arbeit beleuchtet ITIL als ein solches mögliches Rahmenwerk gegen Hacker, die sich Social Engineering Methoden bedienen. Basierend auf beispielhaft dargestellten Prozessen werden Sicherheitsmerkmale in ITIL identifiziert und deren Wirkungsweise gegen Social Engineering diskutiert.<br />Nach der Evaluation der auf ITIL basierenden Sicherheitsmaßnahmen als eine multi-dimensionale Gegenstrategie werden die ITIL Maßnahmen entsprechend ihres Wirkungsbereichs klassifiziert. Daraus ergibt sich ein Management Katalog an Sicherheitsmaßnahmen gegen Social Engineering Angriffe. Abschließend wird gezeigt, dass ITIL als Rahmenwerk gegen Angriffe eines Social Engineers in eine unternehmensweite Information Security Governance integrierbar ist.<br />

Despite all progress on the scientific foundations of information system security, human factor attacks are still not sufficiently researched. This is mostly due to the focus to build sufficient security against social engineering attacks based on personnel security measures. Modern information security models rely on multi- dimensional approaches. Countering social engineering attacks more affectively would also demand a multidimensional approach to information security. Such an approach implies an interconnection of the technical, human and organizational domains and the relationship with corporate governance.<br />This paper proposes ITIL to be such a framework against hackers using social engineering techniques. Based on an exemplified described process of a medium sized financial institution, security mechanisms are identified and classified in the ITIL framework, and their effectiveness against social engineering attacks is discussed.<br />After evaluating security measures according to ITIL for their potential to serve as such a multidimensional counter measure, ITIL measures will be classified according to their application area in preventing or counter acting attacks, thus providing a management catalogue of security measures against social engineering attacks. Finally it is shown that ITIL as a framework against hackers using social engineering techniques can be integrated into enterprise wide information security governance.