(0421) 98 99 88 78
kontakt@vivaldiintelligence.comPentest für Unternehmen
Häufig gestellte Fragen
Fast jede wichtige Frage zu Social Engineering, Pentests, Awareness-Seminaren und sicherer Kommunikation wurde uns schon einmal gestellt. Unsere FAQ-Sammlung liefert Ihnen kompakte, praxisnahe Antworten – für mehr Klarheit, Sicherheit und Orientierung im digitalen Alltag.
Social Engineering Pentest
Was ist ein Social Engineering Pentest?
Ein Social Engineering Pentest simuliert gezielte Angriffe auf die menschliche Komponente eines Unternehmens. Dabei wird getestet, wie anfällig Mitarbeitende gegenüber Manipulation, Phishing, Pretexting oder Fake Calls sind.
Welche Ziele verfolgt ein Social Engineering Pentest?
Ziel ist es, Schwachstellen in Prozessen und im Verhalten aufzudecken – bevor Angreifer sie ausnutzen können. So lassen sich Schutzmaßnahmen gezielt verbessern.
Wie unterscheiden sich technische Pentests von Social Engineering Tests?
Technische Pentests analysieren IT-Systeme. Social Engineering Tests fokussieren auf den Menschen als Sicherheitsfaktor – über Kommunikation, Verhalten und Interaktion.
Welche Rolle spielt Open Source Intelligence (OSINT)?
OSINT liefert öffentlich verfügbare Informationen über Ihr Unternehmen, die Angreifer nutzen könnten. Diese werden in der Vorbereitung des Pentests gezielt gesammelt.
Was sind typische Testformen?
Phishing-Kampagnen, Vishing (Telefonanrufe), Pretexting (gefälschte Identitäten), physisches Eindringen (Tailgating) und Fake-Externe (z. B. vermeintliche Techniker:innen).
Wie lange dauert ein Social Engineering Pentest?
Abhängig vom Umfang – typischerweise 2 bis 6 Wochen inkl. Planung, Durchführung und Reporting.
Wie werden Mitarbeitende über den Test informiert?
Das entscheidet das Unternehmen. Tests können mit oder ohne Vorabinformation stattfinden, meist jedoch im Anschluss durch Schulung und Feedback begleitet.
Welche Daten werden dabei gesammelt?
Es werden keine personenbezogenen Daten veröffentlicht. Fokus liegt auf Verhaltensmustern, organisatorischen Schwächen und strukturellen Risiken.
Ist der Test DSGVO-konform?
Ja. Es werden keine sensiblen Daten gespeichert oder missbraucht. Die Analyse erfolgt anonymisiert und zielgerichtet.
Was passiert bei einem erfolgreichen Angriff?
Der Angriff wird dokumentiert, aber nicht weiter ausgenutzt. Ziel ist es, die Schwäche zu analysieren – nicht, Schaden zu verursachen.
Awareness & Schulung
Was ist das Ziel einer Awareness-Schulung?
Mitarbeitende sollen Social Engineering erkennen, verstehen und abwehren können – durch praktische Beispiele, Hintergrundwissen und Handlungsempfehlungen.
Was sind Inhalte typischer Awareness-Seminare?
Phishing-Beispiele, Pretexting, Social Media Hygiene, sichere Passwörter, interne Prozesse, reale Fälle und Q&A mit Expert:innen.
Wie lange dauert ein Seminar?
Unser Seminar wird Inhouse durchgeführt und dauert in der Regel 2 Tage à 5 Stunden.
Gibt es Teilnahmezertifikate?
Ja, auf Wunsch erhalten alle Teilnehmenden ein Zertifikat zur Bestätigung.
Ist ein Online-Format möglich?
Ja, Schulungen können online, hybrid oder vor Ort durchgeführt werden.
Für wen sind die Schulungen gedacht?
Für alle – ob IT, HR, Assistenz, Management oder Außendienst. Angreifer wählen keine Zielgruppen aus.
Wie oft sollten Schulungen wiederholt werden?
Mindestens einmal jährlich, am besten kombiniert mit wiederkehrenden Tests oder E-Learnings.
Kann das Seminar auf das Unternehmen angepasst werden?
Ja. Inhalte, Beispiele und Angriffsvektoren werden auf Ihre Branche, Prozesse und Risiken zugeschnitten.
Gibt es Materialien zur Nachbereitung?
Ja, z. B. PDFs, Checklisten, Poster oder interne Guidelines.
Was ist der Unterschied zu klassischen IT-Schulungen?
Der Fokus liegt auf menschlichem Verhalten, Kommunikation und psychologischen Manipulationstechniken – nicht auf Technik oder Software.
Sichere Kommunikation (PGP & XMPP)
Was ist PGP?
Pretty Good Privacy (PGP) ist ein Standard zur sicheren E-Mail-Verschlüsselung mit öffentlichem und privatem Schlüssel.
Wie funktioniert PGP?
Jede:r Nutzer:in hat ein Schlüsselpaar. Nachrichten werden mit dem öffentlichen Schlüssel verschlüsselt und können nur mit dem privaten Schlüssel entschlüsselt werden.
Was ist XMPP?
XMPP ist ein offenes Protokoll für dezentrale, sichere Sofortnachrichten-Kommunikation.
Warum sind PGP und XMPP DSGVO-konform?
Sie ermöglichen vollständige Datenhoheit und können auf eigener Infrastruktur betrieben werden – ohne Drittanbieter-Einblick.
Ist die Einrichtung kompliziert?
Nein – wir übernehmen Einrichtung, Konfiguration und auf Wunsch auch Wartung.
Können bestehende Domains genutzt werden?
Ja, z. B. kommunikation.ihrefirma.de oder benutzer@ihrefirma.de.
Welche Geräte sind kompatibel?
Desktop, Laptop, Smartphone – alle gängigen Plattformen werden unterstützt.
Welche Vorteile bietet dezentrale Kommunikation?
Kein Vendor-Lock-In, volle Kontrolle, bessere Datenschutzkonformität und Unabhängigkeit von US-Anbietern.
Gibt es Support?
Ja – technischer Support, Onboarding, Schulung und laufende Wartung sind Teil unseres Angebots.
Können mehrere Standorte integriert werden?
Ja, das System ist beliebig skalierbar – auch international.
Social Engineering Angriffsmethoden
Was ist Phishing?
Der Versuch, über gefälschte E-Mails an vertrauliche Informationen zu gelangen.
Was ist Spear Phishing?
Eine gezielte Form von Phishing – z. B. auf Einzelpersonen oder Rollen wie Buchhaltung oder Geschäftsführung.
Was ist CEO-Fraud?
Angreifer geben sich als Führungskraft aus und veranlassen z. B. Überweisungen durch Mitarbeitende.
Was ist Pretexting?
Das Vortäuschen einer glaubwürdigen Identität, um sensible Informationen zu erhalten.
Was ist Vishing?
Voice Phishing – das Erschleichen von Informationen via Telefon.
Was ist Smishing?
Phishing über SMS – z. B. angebliche Paketbenachrichtigungen oder TAN-Abfragen.
Was ist Baiting?
Lockangebote oder USB-Sticks mit Schadsoftware werden ausgelegt, um Opfer zu ködern.
Was ist Tailgating?
Unberechtigtes Mitgehen durch Sicherheitstüren – ohne Zugangskarte.
Was ist Dumpster Diving?
Das Durchsuchen von Müll nach vertraulichen Informationen.
Welche Rolle spielt Social Media bei Angriffen?
Über soziale Netzwerke sammeln Angreifer Infos für personalisierte Angriffe.
Schutzmaßnahmen & Empfehlungen
Wie kann ich Social Engineering vorbeugen?
Durch regelmäßige Schulungen, klare Prozesse, technische Maßnahmen und eine offene Sicherheitskultur.
Was gehört zu einer guten Sicherheitskultur?
Transparenz, niedrigschwellige Meldewege, interne Kommunikation und Vorleben durch Führungskräfte.
Welche technischen Maßnahmen helfen zusätzlich?
Multi-Faktor-Authentifizierung, Mail-Filter, Zugriffsbeschränkungen, Monitoring und regelmäßige Updates.
Was bringt eine Phishing-Simulation?
Sie zeigt reale Reaktionsmuster der Mitarbeitenden auf – ideal zur gezielten Nachschulung.
Sollte man Verstöße sanktionieren?
Nein. Fehler sind Lernchancen. Ziel ist Aufklärung, nicht Bestrafung.
Wie lange bleibt Awareness wirksam?
Studien zeigen, dass nach 6–12 Monaten die Sensibilität sinkt – regelmäßige Impulse sind entscheidend.
Was ist ein Retest?
Eine Wiederholung des Tests nach Umsetzung der Empfehlungen – zur Erfolgskontrolle.
Welche Rolle spielt das Management?
Vorbildfunktion, Budgetfreigabe und Priorisierung machen Security-Kultur möglich.
Was ist der erste Schritt zur besseren Sicherheit?
Analyse – z. B. durch einen Pentest oder Awareness-Audit mit Handlungsempfehlungen.
Gibt es ein Komplettpaket?
Ja – von Test über Training bis Technik. Modular buchbar oder als Sicherheitsstrategie aus einer Hand.