Hönig, E. (2010). Trainings concept to prevent social engineering attacks in the context of cyber crime [Master Thesis, Technische Universität Wien]. reposiTUm. https://resolver.obvsg.at/urn:nbn:at:at-ubtuw:1-31064
Cyber Crime; Social Engineering; IT Security; Information Security; Trainings Concept
en
Abstract:
Informations Technologie ist ein integraler Bestandteil in unserer Gesellschaft. Mit dem Aufkommen der neuen Technologie, im speziellen dem Internet, kommt auch eine neue Art von Kriminalität.<br />Diese wird auch als "Cyber Crime" bezeichnet. In einer bestimmten Art von Cyber Crime spielt das erfolgreiche Manipulieren, bzw. das "Social Engineering" eine wichtige Rolle. Um nun solche Social Engineering Angriffe abzuwehren, enthält diese Magisterarbeit ein universelles Schulungskonzept. Dieses Schulungskonzept basiert auf drei Hauptsäulen: Der Analyse von psychologischen Faktoren, Den Cyber Crime Aspekten und der Analyse der Didaktik.<br />Im Kapitel um die Cyber Crime Aspekte wird die Notwendigkeit eines solchen Schulungskonzeptes verdeutlicht, weiters werden aktuelle Statistiken präsentiert, welche die Dimension des Problems zeigen. Unter dem Kapitel der Analyse der psychologischen Faktoren werden sogenannte Duale Informationsprozess Modelle verwendet, um die geistigen Abläufe darzustellen, welche bei einer Manipulation beteiligt sind. Weiters werden in diesem Punkt konkrete Beispiele gebracht, die zeigen wie die verschieden Manipulationstechniken im Cyber Crime Kontext Verwendung finden. Im Teil der Analyse der Didaktik, wird die Sinnhaftigkeit des Instructional System Design (ISD), bzw. Analysis, Design, Development, Implementation and Evaluation (ADDIE) als Ansatz zur Schulungskonzeptentwicklung diskutiert.<br />Die Ergebnisse aller drei Analysen münden in das Schulungskonzept, welches drei Schlüsselelemente zur Prävention von Social Engineering Angriffen vermitteln soll. Diese Schlüsselelemente sind:<br />Sensibilisierung für "Schlüsselreize" die Manipulation ermöglichen, Höhere Motivation die Information sorgfältiger zu Verarbeiten, sowie eine Erhöhung der Fähigkeit zur Informationsverarbeitung.<br />Um dieses Schulungskonzept nun zu verbildlichen und um Beispiele für die Schüsselelemente zu geben, wird das Schulungskonzept bei einer fiktiven Firma angewendet. Diese Firma arbeitet im Bereich des Biomedical Engineering.<br />
de
Information Technology has an integral part in our modern society. With the emerging of the new technology, especially the Internet, comes a new type of crime. This new type of crime is referred as Cyber Crime. In certain types of Cyber Crime, the successful manipulation, respectively "Social Engineering" of people plays an important role. In order to prevent Social Engineering attacks this master theses contains an universal trainings concept. The trainings concept is based on three main pillars: The Analyses of the Psychological Factors, The Cyber Crime Aspects and The Analysis of the Didactics. The Cyber Crime Aspects chapter reveals the need for such training concept and show the dimension of the issue in statistics. In the Analyses of the Psychological Factors part, dual processing information models are used to represent the mental processes involved in the manipulation. Furthermore it shows how the different manipulation techniques are used in the context of Cyber Crime. In the Analysis of the Didactics it is discussed how the Instructional System Design (ISD), respectively the Analysis, Design, Development, Implementation and Evaluation (ADDIE) training development approach fits to the requirements of the trainings concept.<br />The output of all three analytical steps are resulting in the trainings concept, that consists of three key elements to prevent Social Engineering attacks. These key elements are: awareness about "Simple Cues", higher motivation to process information more carefully as well as a greater ability to process information. In order to make the trainings concept more visual and to give examples for the key elements (training methods), the concept is applied on a fictive company. This company works in the field of Biomedical Engineering.