Fragen im Fachgespräch - Phishing

[Leroi]

Hallo zusammen,

ich hab bald meine mündliche IHK-Prüfung und frage mich schon die ganze Zeit was für Fragen genau drankommen können. Ich weiß das rein theoretisch alles drankommen könnte.

Hier nochmal paar angaben zu meinem Projekt:

Projektumfeld:

Das Projekt wird in der IT-Abteilung der Firma XY verwirklicht. Die Unternehmensgruppe aus mehreren Einzelunternehmen. Diese Unternehmen sind über drei Standorte (Stadt1, Stadt2 und Stadt3) verteilt. Im Augenblick sind es bei der Unternehmensgruppe rund 450 Mitarbeitern an allen Standorten. Die IT-Abteilung besteht aus 4 Mitarbeitern, die meist in unterschiedlichen Bereichen der IT spezialisiert sind.

 

IST:

Aktuell werden die Mitarbeiter von umlaufender Malware über die IT-Leitung benachrichtigt. Potenziell bedrohliche Mails werden von unserer Firewall in "Quarantäne" geschickt, jedoch besteht die Möglichkeit, dass bedrohliche Mails trotzdem zum User gelangen. Hinzu kommt ein Antivirenscanner. Damit keine Malware über Wechseldatenträger ins Netzwerk gelangt, ist eine USB-Sperre aktiv, diese sperrt alle Wechseldatenträger. Nur wenige USB Sticks welche von der IT-Abteilung ausgegeben werden sind zugelassen. Um Sicherheitslücken im Netzwerk zu erkennen, wird jedes Jahr ein Penetrationstest gemacht, sowohl intern als auch extern.

 

SOLL:

Durch eine Phishing-Simulations Software sollen User gegenüber Malware sensibilisiert werden, sowohl per E-Mail als Anhang oder über Links, als auch im Internet über Downloads. Es sollen falsche E-Mails und Webseiten erstellt werden, um zu sehen wie viele User auf eine falsche E-Mail reagieren oder aber auch Schadsoftware im Internet herunterladen. Anschließend wird eine Statistik erstellt und die User werden an Ihren Schwachpunkten geschult.  Die User sollen unseriöse Internetseiten oder E-Mails erkennen und melden. Zudem sollen noch regelmäßige interne Malware-Simulationen gemacht werden, um die anfälligen Bereiche der Infrastruktur auszubessern.

 

Projektbeschreibung :

Durch die IT-Leitung kam der Vorschlag eine Phishing-Simulations Software zu implementieren, da ein konkreter Bedarf hierfür besteht. Die User sollen dadurch gegenüber Malware sensibilisiert werden. Bei den Usern werden zuallererst die Schwachstellen ausfindig gemacht z.B. E-Mail Anhänge, links oder auch Downloads von unsicheren Webseiten. Anschließend folgt eine Schulung um diese Schwachstellen zu vermeiden. Die Umsetzung wurde bereits von der Geschäftsführung genehmigt. Für diese Zwecke suche ich eine passende Software aus und implementiere diese anschließend in unsere Infrastruktur.

 

Freue mich über jede Antwort  

[Schengel]

Mir würde konrekt einfallen:

 

Was ist Phishing explizit?

Auf welchem Layer arbeitet eine Firewall?

Welche Möglichkeiten gibt es noch ein Netzwerk anzugreifen und wie sind diese zu verhindern?

Datenschutz vs. Datensicherheit?

 

... bin aber selbst kein Prüfer o.Ä. - habe meine mündliche ebenfalls in drei Wochen, daher viel Glück!

[charmanta]

vor 10 Minuten schrieb Leroi:

Um Sicherheitslücken im Netzwerk zu erkennen, wird jedes Jahr ein Penetrationstest gemacht, sowohl intern als auch extern.

Lecker ....

vor 10 Minuten schrieb Leroi:

um zu sehen wie viele User auf eine falsche E-Mail reagieren

boah wird immer besser

Arbeitsrecht / Datenschutz / Mitsprache Betriebsrat / Kosten-Nutzen ...

[varafisi]

Ich glaube charmanta stellt hier gleich einen Sonderantrag bei seiner IHK und ersetzt den Hauptprüfer

[Chief Wiggum]

Charmanta ist doch total harmlos. Der will doch nur spielen.