Security Awareness mit dem Lockpicking-Stand

Security-Gamification zum Mitmachen – hierfür hat CycleSEC als Ergänzung für Vorträge, Messen und Security-Awareness-Kampagnen einen Lockpicking-Stand mit Hacker-Kiosk entwickelt. Am 08. und 09.11.2017 wurde der Stand auf der Unternehmensmesse MEER.KONTAKTE. vorgestellt.

Die Standbesucher konnten bei uns praktisch erlernen wie leicht sich Vorhängeschlösser aufbrechen lassen und was man dabei über die Bedrohungen in der Cyber-Security lernen kann. Am Hacker-Kiosk konnte man diese Erkenntnisse dann auf die digitale Welt übertragen und das Admin-Konto eines verwundbaren Webshops kapern. Mittels Hacker-Tool sqlmap konnten auch „ungeübte“ PC-Anwender einen verwundbaren Webshop hacken und so die enthaltene Datenbank und das Admin-Konto kapern – ganz ohne kompliziertes Hacker-Know-how. Denn: die Zeiten, in denen Angreifer auf kompliziertes Expertenwissen zurückgreifen mussten, sind vorbei.

Gamification als Kommunikationsbeschleuniger

Einen Vortrag über Sicherheit zu hören ist das eine. Sicherheit bzw. Unsicherheit im Wortsinne zu „begreifen“ und selbst auszuprobieren, etwas Anderes. Hierfür haben wir in Ergänzung für Vorträge, Messen und Security-Awareness-Veranstaltungen den Lockpicking-Stand mit Hacker-Kiosk entwickelt.

Sebastian Klipper erklärt, wie die Schlösser zu öffnen sind.
Sebastian Klipper erklärt, wie die Schlösser zu öffnen sind.

„Am Lockpicking-Stand geht es darum, sich spielerisch Security-Know-how anzueignen und mit anderen Teilnehmerinnen und Teilnehmern in Wettstreit zu treten: Wer kann zuerst das Vorhängeschloss knacken oder wer zieht im verwundbaren Webshop zuerst die Kundendatenbank ab und knackt die Passwörter? Das begeistert schon eher als ein trockener Vortrag zur neuen Security-Policy des Konzerns.“
— Sebastian Klipper, Initiator und CycleSEC Geschäftsführer.

Die Übungsschlösser machen neugierig und laden zum Gespräch über Sicherheitsthemen ein.
Die Übungsschlösser machen neugierig und laden zum Gespräch über Sicherheitsthemen ein.

Die Teilnehmer lernen in diesem Konzept spielerisch und ohne technische Berührungsängste, wie Angreifer Schwachstellen finden und ausnutzen und was man dabei für die eigene Situation im Unternehmen lernen kann.

Das Gesprächsthema wird dabei nicht starr von unserem Standpersonal vorgegeben, es entwickelt sich vielmehr aus der konkreten Situation für jeden Teilnehmer individuell.

Security „begreifen“

Neben den vermittelten Kenntnissen ist der Lockpicking-Stand aber vor allem eins: ein Kommunikationsbeschleuniger zwischen Teilnehmern und den moderierenden Security-Experten und dem weiteren Stand-Personal. Betreut wird unser Stand nämlich nicht nur von Security-Experten, sondern auch von geschultem, fachfremden Personal z.B. aus unserer Buchhaltung. So wird eine Unterhaltung auf Augenhöhe möglich, ohne das sich Teilnehmer in ihrem Security-Wissen unterlegen fühlen müssen. Auf diese Weise wird unser Stand zum Kommunikationsmotor für die Security-Awareness-Kampagnen unserer Kunden.

Stand-Layout des Lockpicking-Stands mit Hacker-Kiosk.
Stand-Layout des Lockpicking-Stands mit Hacker-Kiosk.

„Analog „begreifen“ und auf die digitale Welt übertragen“…

…so lautet das Motto des Lockpicking-Stands mit Hacker-Kiosk.  Anhand der Schwachstellen der analogen Welt können die Angriffsmuster in der digitalen Welt erklärt und „begriffen“ werden. Dazu ist der Stand mit mehreren „Stationen“ ausgestattet.

Setup des Stands

Zunächst werden spezielle Übungsschlösser unter Anleitung mit einem Dietrich geöffnet und die Teilnehmer lernen, wie Implementierungsfehler in den Schlössern Schwachstellen verursachen und die eigentliche Wirkung einer Sicherungsmaßnahme zerstören.

Links auf dem Monitor das Hacker-Tool und rechts der verwundbare Web-Shop - Cyber-Angriff zum anfassen.
Links auf dem Monitor das Hacker-Tool und rechts der verwundbare Web-Shop – ein Cyber-Angriff zum anfassen.

Diese Methode wird an den Folgestationen des Lockpicking-Stands – dem Hacker-Kiosk – in die digitale Welt übertragen. An eigens hierfür konfigurierten Arbeitsplatzstationen können mit Hackertools Implementierungsfehler und Schwachstellen an einem verwundbaren Web-Shop gesucht und ausgenutzt werden. Die Stationen sind dabei so konfiguriert, dass immer nur ein Angriffstool genutzt werden kann – so sind für die Teilnahme keinerlei Vorkenntnisse nötig. Erfahrungen beim Umgang mit Webseiten sind völlig ausreichend, um in die Rolle des Angreifers zu schlüpfen. Der damit verbundene Perspektivwechsel regt dazu an, das eigene Verhalten in einer digitalen Welt zu hinterfragen und sich für wirksame Schutzmaßnahmen zu interessieren.

Wir zeigen an unserem Stand aber nicht nur, wie einfach technische Schwachstellen auszunutzen sind. Wir sprechen mit unseren Besucherinnen und Besuchern auch darüber, wie man die Informations- und IT-Sicherheit der eigenen Organisation verbessern und  zukunftsfähig machen kann.

Der Stand kann übrigens aus einer Station bestehen und mit bis zu vier Stationen konfiguriert werden. Die namensgebende Lockpicking-Station ist immer mit dabei. Zur MEER.KONTAKTE. wurde sie ergänzt durch eine zweite Station, an der man mit dem Hacker-Tool sqlmap SQL-Injections in einem Web-Shop finden und ausnutzen konnte. Wir bieten aber auch noch weitere individuelle Stationen an, mit denen wir auf besondere Sicherheitsrichtlinien in Ihrer Organisation eingehen können. Außerdem lässt sich das Setup vollständig in Ihrem unternehmenseigenen Corporate Design gestalten – sprechen Sie uns gerne an.

Das Stand-Konzept wurde erstmalig am 16. März auf der Security Awareness-Konferenz TakeAware 2017 in Neuss vorgestellt (siehe Blog-Beitrag).


Sie interessieren sich für den Lockpicking Stand und andere Awareness-Tools?

Falls Sie weitere Informationen oder ein unverbindliches Angebot wünschen, können Sie das folgende Kontakt-Formular nutzen:

Kontaktformular

Senden Sie uns vertrauliche Informationen bitte ausschließlich als verschlüsselte E-Mail und nicht mit diesem Formular. Sie können beim Ausfüllen des Formulars Pseudonyme verwenden. Bitte nutzen Sie alle mit * gekennzeichneten Felder.

Ihr Name*:

Ihre E-Mail-Adresse*:

Rückruf gewünscht?
Bitte geben Sie Ihre Telefonnummer an:

Betreff*:

Ihre Nachricht an CycleSEC*:

Bitte übertragen Sie die Zahlen und Buchstaben des folgenden Captcha in das Textfeld:

captcha

Durch Klicken auf "Absenden" bestätigen Sie, unsere Datenschutzbestimmungen zur Kenntnis genommen zu haben.

Schreibe einen Kommentar