Social Engineering

SWS

ECTS

Sprache(n)

Deutsch (Standard)
Englisch

Lehrform

SU mit Praktikum

Angebot

nach Ankündigung

Aufwand

45 Stunden Kontaktzeiten, 105 Stunden im Selbststudium

Voraussetzungen

Praktische Programmiererfahrung in gängigen Skriptsprachen sowie die praktische Erfahrung in der Erstellung von Web-Anwendungen, Grundkenntnisse von Schadsoftware und Command & Control Infrastrukturen

Ziele

Die Domäne des Social Engineering umfasst die gezielte Manipulation menschlicher Verhaltensmuster zur Umgehung technischer IT-Sicherheitsmaßnahmen. Hieraus lassen sich verschiedene technische und persönlichen Kompetenzen ableiten.

Studierende

erkennenundklassifizierenverschiedeneSocial-Engineering-Angriffsvektoren.
analysieren Reconnaissance-Prozesse und identifizieren geeignete Angriffsvektoren (z.B. Phishing, Vishing).
wenden psychologische Prinzipien (z.B. Autorität, Reziprozität) auf konkrete Angriffsszenarien an.
erstellen maßgeschneiderte Social-Engineering-Kampagnen unter Einbeziehung von OSINT und Pretexting.
entwickeln und bewerten organisatorische und technische Gegenmaßnahmen.
nehmen die Blickrichtung potenzieller Angreifer ein und antizipieren deren Entscheidungsprozesse.
vertreten die eigenen Konzepte argumentativ gegenüber alternativen Strategien.

Inhalt

Das Modul behandelt Konzepte, Methoden und Angriffstechniken des Social Engineering als Bestandteil der Informationssicherheit in modernen IT-Infrastrukturen. Im Zentrum steht der Mensch als sicherheitskritischer Faktor, dessen Wahrnehmung und Verhalten gezielt manipuliert werden können.

Ziel ist es, Social-Engineering-Risiken zu erkennen, zu bewerten und geeignete technische wie organisatorische Angriffsmöglichkeiten umzusetzen. Im Speziellen werden sowohl die Angriffs- als auch die Abwehrperspektive vermittelt.

Inhalte (Auswahl):

Begriffe, Grundlagen und historische Entwicklung des Social Engineering
Psychologische Prinzipien der Beeinflussung und Manipulation
Angriffsformen: Phishing, Spear-Phishing, Smishing, Vishing, Pretexting, Baiting, Tailgating
Informationsbeschaffung und Reconnaissance (z.B. OSINT, Social Media)
Social Engineering in Unternehmen: Bedrohungsszenarien und Insider-Risiken
Erarbeitung von Pretexten sowie Angriffsmöglichkeiten sowie deren praktische Erprobung
Technische und organisatorische Schutzmaßnahmen, Sicherheitsrichtlinien, Awareness-Programme
Rechtliche und ethische Rahmenbedingungen (u.a. bei Tests und Kampagnen)
Konzeption und Auswertung von Social-Engineering-Simulationen und Awareness-Trainings

Medien und Methoden

Die Studierenden analysieren anhand realer Fallbeispiele typische Angriffsvektoren in Unternehmen, kritischen Infrastrukturen und öffentlichen Einrichtungen.

Medien: Tafel, Folien oder Beamer, Livecoding, Moodle, Digitale Umfragen und Boards

Literatur

Christopher Hadnagy: Social Engineering: The Science of Human Hacking, 2018
Mitnick, Kevin D.; Simon, William L.: The Art of Deception: Controlling the Human Element of Security, 2006
BSI: Social Engineering – der Mensch als Schwachstelle
https://www.social-engineer.org/
https://heisec.de

Zuordnungen Curricula

SPO	Fachgruppe	Code	ab Semester	Prüfungsleistungen
IT Version 2020	WPF Vertiefungsfächer		1	Modularbeit mündliche Prüfung schriftliche Prüfung
IG Version 2024	ITSEC: Schwerpunkt		1	Modularbeit mündliche Prüfung schriftliche Prüfung
IG Version 2024	EC: Fachliche u. persönliche Profilbildung		1	Modularbeit mündliche Prüfung schriftliche Prüfung
IG Version 2024	SWE: Fachliche u. persönliche Profilbildung		1	Modularbeit mündliche Prüfung schriftliche Prüfung
IG Version 2024	VCML: Fachliche u. persönliche Profilbildung		1	Modularbeit mündliche Prüfung schriftliche Prüfung
IG Version 2019	EC: Fachliche u. persönliche Profilbildung		1	Modularbeit mündliche Prüfung schriftliche Prüfung
IG Version 2019	SWE: Fachliche u. persönliche Profilbildung		1	Modularbeit mündliche Prüfung schriftliche Prüfung
IG Version 2019	VCML: Fachliche u. persönliche Profilbildung		1	Modularbeit mündliche Prüfung schriftliche Prüfung