Konzeption und Entwicklung eines Schulungsszenarios für IT-Security Awareness, Jens Kittel

Jens Kittel

Kurzfassung

Im Rahmen dieser Arbeit wurden zwei Schulungsszenarien für das hacking4-Projekt entwickelt, auf denen Benutzer verschiedene Aufgaben zu IT-Security Awareness durchführen können. Über eine ILIAS-Plattform bearbeiten Benutzer den theoretischen Teil und Fragen zu den Themen "Social Engineering" und "Phishing Mails", während auf selbst erstellten Webseiten der praktische Teil zu den Fragen bearbeitet wird. Ziel ist es, den Benutzern zu vermitteln, wie ein Angreifer denkt und arbeitet. Im Anschluss erlangen sie das nötige Wissen, um sich vor Angriffen aus dem spezifischen Szenario zu schützen. Zu Beginn dieser Arbeit wird erläutert, weshalb IT-Security Awareness wichtig ist und welche Themenschwerpunkte für Szenarien gewählt wurden. Weiterhin werden der aktuelle Stand der Technik von Schulungsszenarien, die Grundlagen der Didaktik für das Lernen Erwachsener und die Entwicklungsumgebung für diese Arbeit erörtert. Es werden darüber hinaus der Aufbau eines Kurses sowie die Kursinhalte behandelt. Die Arbeit geht zudem auf die während der Entwicklung entstandenen Probleme und auf die "Gamification" ein, welche einen zukünftigen Aspekt des hacking4 Projekts darstellen soll. Abschließend wird ein Fazit gezogen und ein Ausblick auf die Zukunft von IT-Security Awareness gegeben.

Schlagwörter: Social Engineering (security), Phishing, Spear-Phishing, E-Mails, BSI, Symantec Corporation, Kaspersky Lab, Andragogik, hacking4, CEO Fraud, IT-Sicherheit, IT-Security Awareness

Abstract

This thesis covers the development of two training scenarios for the hacking4 project which will allow trainees to solve tasks in different subjects for the topic of IT-Security Awareness. Using the ILIAS platform, users can answer questions and learn the theory regarding the topics "Social Engineering" and "Phishing Mails" while solving tasks on websites which were specifically developed for this project. The main goal of this work is to let the trainees know how an attacker thinks and operates. Afterwards they gain the knowledge to defend themselves against the attack in the specific scenario. The beginning of this thesis explains the need of IT-Security Awareness and which key topics were chosen. Afterwards the state of the art concerning the available training programs, the basics of the didactics and the development environment are covered. The thesis continues with the structure of a scenario and the contents of the chosen topics. Furthermore, this work covers the problems that occured when developing these scenarios and the topic "gamification" which will be an important aspect in these quests regarding the future of the hacking4 project. This thesis ends with a conclusion and an outlook about the topic IT-Security Awareness.

Keywords: Social Engineering (security), Phishing, Spear-Phishing, e-mails, BSI, Symantec Corporation, Kaspersky Lab, Andragogik, hacking4, CEO Fraud, IT-Security, IT-Security Awareness