Horizontal3

Social Engineering & Menschliche Angriffsfläche

Awareness schärfen,, bevor Angreifer Schwachstellen ausnutzen. Phishing, Vishing, Pretexting, In-Person-Tests und Lieferketten-Social-Engineering durch Senior-Red-Teamer. Wir testen Leute, Prozesse und Kultur — und härten Detection, Training und Governance.

red_team_small
Expertengespräch vereinbaren
cyber_wondering

Warum technische Security nicht reicht

Netze und Anwendungen zu härten reicht nicht. Menschen bleiben der häufigste Einfallspunkt: Credential-Diebstahl, Zahlungstrug, Insider-Manipulation oder Lieferketten-angriffe beginnen mit Social Engineering. Ohne realistische Tests und nachverfolgte Behebung reicht technische Sicherheit allein nicht.

Was ist Social Engineering Testing?

Kontrollierte, autorisierte Tests, die reale mensch-zentrierte Angriffe simulieren: Phishing-Mails, Vishing-Anrufe, SMS-Betrug, Tailgating und Lieferanten-Manipulation. Wir kombinieren red-team Tradecraft mit Verhaltenswissenschaft und Metriken, um Verwundbarkeit, Meldewege und Behebungswirkung zu messen — ohne Mitarbeiter bloßzustellen.

Für wen ist das relevant

A — Geschäftsführung & Risiko-Verantwortliche (Vorstand / COO / CISO)

  • Absicherung gegen Betrug, regulatorische Risiken und Reputationsschäden.

  • Board-geeignete Metriken für Awareness-Investitionen.

B — HR, Produkt & Marketing / Dev (Product Owner, HR-Leiter)

  • Sicherstellung, dass Launches, Kampagnen und Vendor-Onboarding keine Angriffspunkte sind.

  • Härtung von On-/Offboarding und privilegierten Prozessen.

Methodik — realistisch, sicher, messbar

  1. Scope & PIRs: Kritische Funktionen (Finance, HR) und hochriskante Rollen bestimmen.

  2. Threat modeling: Vom Gelegenheitsbetrüger zum organisierten BEC-Ring.

  3. Kampagnen: Phishing (spear + mass), Vishing, Smishing, Pretext Calls, physische Zugangsversuche, Lieferanten-Szenarien.

  4. Hybrid Ansatz: Automatisierte Phishing-Frameworks + maßgeschneiderte manuelle Social Exploits.

  5. Detection & Response: Prüfen von Meldewegen, IR-Playbooks und rechtlichen Flags.

  6. Remediation Cycle: Zielgerichtete Schulungen, Prozesshärtung, Retest & Verifikation.

Purple-Pfad — von Test zum Learning

Jede Kampagne liefert:

  • IR-Playbooks und SOPs,

  • zielgerichtetes Micro-Training,

  • Prozess-Fixes (z. B. Zahlungsfreigabe),

  • Retest-Nachweis.

Deliverables

  • Management-Risiko-Brief mit KPI-Dashboard.

  • Kampagnen-Appendix (Header, Transkripte, Nachweise).

  • Detection & Response Bewertung.

  • Maßnahmenplan & Trainingskonzept.

  • Retest-Bericht + Verifikations-Zertifikat.

Preismodelle

  • Einmalige Kampagne: Phishing + Vishing + Detection Test (2–4 Wochen).

  • Retainer (Empfohlen): Quartalskampagnen + kontinuierliches Awareness-Training & Retests.

  • PTaaS Add-On: Laufende simulierte Phishing-Kampagnen, Dashboard, SME-Support.

Mehr als ein Test — Programm-Integration

  • Stakeholder-Koordination mit HR/Legal/Comms.

  • IT-GRC-Integration: Findings → ServiceNow/Jira mit Owner & SLA.

  • Jahresplanung: ISMS-gestützte Testplanung.

FAQs

  1. Wie legen Sie den Umfang der Social Engineering Tests fest?
    Wir definieren Scope aus PIRs und kritischen Geschäftsprozessen. ROE werden mit HR & Legal abgestimmt, um rechtliche und personalpolitische Risiken zu vermeiden.

  2. Werden Mitarbeiter bloßgestellt?
    Nein. Kampagnen sind so gestaltet, dass Erkenntnisse zur Prozessoptimierung und Schulung genutzt werden — nicht zur öffentlichen Bloßstellung.

  3. Können Tests betrieblich stören oder rechtliche Grenzen überschreiten?
    Nein. Alle Aktionen erfordern schriftliche Autorisierung; physische Tests folgen strikten Sicherheits- und gesetzlichen Vorgaben.

  4. Gibt es Schulungen nach der Kampagne?
    Ja. Zielgerichtete Micro-Trainings und Coachings werden geliefert und mit Retests validiert.

  5. Wie schnell starten Sie eine Kampagne?
    Standardprojekte dauern 2–4 Wochen; Retainer-Kunden können in 24–72 Stunden reagieren, sofern ROE vorliegen.