th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Social Engineering - Sicherheit und der Faktor Mitarbeiter

Tipps zur Abwehr von Spionage am Arbeitsplatz

Social Engineering – Soziale Manipulation – Social Hacking

Unternehmen investieren Geld, um ihre IT vor Angriffen der Außenwelt zu schützen und den unerlaubten Datenzugriff von extern zu unterbinden. Da es immer schwieriger wird die Technik durch Hacken zu umgehen wird ein neuer, einfacherer Zweig immer beliebter, um doch an die Informationen von Unternehmen zu kommen: Social Engineering. Dabei geht es um das zwischenmenschliche Beeinflussen mit dem Ziel, bei Personen ein bestimmtes Verhalten hervorzurufen. Das kann zum Beispiel die Preisgabe von vertraulichen Informationen sein, aber auch der Kauf eines Produktes oder die Freigabe von Finanzmitteln.

Vorgehensweise

Social Engineers spionieren oft das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Auch dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen.  Man spricht dann auch von Social Hacking. 

Die Motivation dahinter ist meist finanzieller Natur, also eine klassische Spielform der Industriespionage. In seltenen Fällen können auch soziale Faktoren der Antrieb sein, um beispielsweise an Informationen über den Ex-Partner oder Ex-Mitarbeiter zu kommen. 

Sehr oft sind Angreifer psychologisch gut geschult und überrumpeln ihre Opfer am Telefon. Dabei werden immer die gleichen Methoden eingesetzt:

  • Es wird Insiderwissen vorgetäuscht.
  • Eine Menge an Fachvokabular wird bewusst verwendet.
  • Es wird an eine dritte Person, meist eine höhere Stelle als Rechtfertigung für den Anruf verwiesen.
  • Sehr oft geben sich Angreifer als „wichtige Person“ aus, z.B. ein Support-Mitarbeiter, ein Bekannter vom Chef, ein Journalist, der dringend Informationen benötigt usw.
  • Es wird aus „besonderen Gründen“ um einen Gefallen gebeten.
  • Es wird Zeitdruck ausgeübt. Alles muss sehr rasch gehen.
  • Sollte das Opfer Widerstand leisten, wird auf die Konsequenzen hingewiesen, bis hin zur Drohung.

Angriffsziel Passwort

Unabhängig von der investierten Summe in IT-Sicherheit fokussieren sich Angreifer auf  wichtigsten Teil Ihres Sicherheitssystems: das Passwort.

Wenn ein Mitarbeiter dieses Passwort nun unter Druck eines telefonischen Vorwands (z.B. eines „Supportanrufs“) herausgibt, oder noch besser einfach mittels Sticker am Monitor oder unterm Keyboard klebt hebelt dies nicht selten die komplette IT-Sicherheit aus. Es klingt daher einfach, wird aber oft immer noch sträflich misachtet:

Verwenden Sie sichere, unterschiedliche Passwörter und teilen Sie diese mit NIEMANDEN!

Risiko - das eigene Büro

Ihr Büro bietet Angreifern eine Menge an Informationen, die oftmals nur eingesammelt werden müssen. Daher sollten Sie zu allererst den Zugang zu Ihren Büroräumlichkeiten regeln und vor allem vertrauliche Dokumente nicht am Schreibtisch herumliegen lassen. Ganz egal ob es ein Ausdruck, ein Ordner oder ein USB Stick ist. Bedenken Sie auch, dass andere Personen Zugang zu Ihren Büro außerhalb der normalen Öffnungszeiten haben.

Eine Reinigungskraft, ein Sicherheitsdienst, oder einfach ein zu aufmerksamer Kunde im normalen Bürobetrieb kann so ganz schnell zu Sicherheitslücke werden. Aber selbst ohne Zugang zu Ihren Büroräumlichkeiten können viele Informationen einfach dem Hausmüll entnommen werden. Fehlausdrucke, alte Berichte usw... geben manchmal schon eine Vielzahl an vertraulichen Infos preis.  

Daher einige Tipps für Ihr Büro:

  • Clear Desk Policy – vertrauliche Dokument werden immer versperrt.
  • Drucker – Entfernen Sie Ausdrucke immer zeitnah aus dem Drucker.
  • Seminarräume – Entfernen Sie alle Flipcharts u.ä. zeitnah.
  • Aktenvernichter – sensible Informationen gehören in den Shredder, nicht ins Altpapier.
  • Zugang zu Daten – Regeln Sie, wer im Betrieb auf welche Daten zugreifen darf.
  • PC Sperren – Sperren Sie Ihren PC bei jedem Verlassen des Arbeitsplatzes

Abwehr von Social Engineering

Sprechen Sie mit Ihren Mitarbeitern über das Risiko von Social Engineering.

Definierten Sie dabei was vertraulich ist, und auch wo über vertrauliche Dinge gesprochen werden sollte. Ein belanglosens Plaudern im Kaffee an der Ecke kann schnell durch einfaches Mitlauschen durch Dritte zum Risiko werden.  

Einer der wichtigsten Faktoren bei Sicherheit ist auch immer das „Bauchgefühl“ Motivieren Sie Ihre Mitarbeiter auf Ihr Bauchgefühl zu achten und einfach rückzufragen wenn eine Situation komisch oder verdächtig vorkommt.

Tipps zu Social Engineering Abwehr

  • Ist die Identität des Absenders einer E-Mail nicht sicher, sollte man stets misstrauisch sein.
  • Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können.
  • Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder zahlungsrelevante Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint.
  • Keine Links aus E-Mails verwenden, die persönliche Daten als Eingabe verlangen. Stattdessen die URL selbst im Browser eingeben.
  • Bei Unklarheit über die Echtheit des Absenders diesen nochmals telefonisch kontaktieren bzw. rückfragen, und die Authentizität der E-Mail überprüfen. Die Rückrufnummer sollte aus einer unabhängigen Quelle stammen (Telefonbuch) und nicht aus dem vorangegangenen Email oder Anruf heraus.
  • Konsequentes Sperren von Bildschirmen beim Verlassen des Arbeitsplatzes damit Betriebsfremde, die sich Zutritt zum Gebäude erschlichen haben, keine Zugriff auf das Computernetz haben,
  • Konsequentes Abräumen der Schreibtische am Ende des Arbeitstags
  • Zugangspassworte werden nur dann zurückgesetzt, wenn der unmittelbare Vorgesetzte dies anordnet oder der Mitarbeiter persönlich beim Helpdesk vorspricht
  • Alle Mitarbeiter tragen deutlich sichtbar ihre Firmenausweise, Fremde sind leicht zu erkennen
  • Alle Mitarbeiter nutzen ihre elektronische Zugangskarten
  • Alle Besucher werden beim Empfang abgeholt und sind nie unbeaufsichtigt auf dem Firmengelände


Videos zum Thema

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.