Social Engineering als Gefahr für Unternehmen

Der Mitarbeiter als Angriffsziel von Datendiebstahl

Lesedauer: 2 Minuten

Social Engineering klingt eigentlich ganz sympathisch, ist es aber nicht. Es ist sogar eine große Gefahr für Unternehmen. Im Grunde geht es um Datendiebstahl. Das Werkzeug ist hier aber kein Virus oder Trojaner sondern zwischenmenschliche Interaktion. Durch Vortäuschung falscher Tatsachen wird ein Kontakt mit dem potenziellen Opfer aufgebaut, um so an sensible Daten wie z.B. Passwörter heran zu kommen. Man nennt es auch Human Hacking.

Methoden des Social Engineering

Der Angreifer beginnt meist mit der Suche nach Informationen, womit er die Zielperson überlisten kann. Das können unpersönliche Methoden (auch Phishing genannt) sein, wie z.B. die E-Mails mit Betreffzeilen wie "Sie haben gewonnen" oder "Ich möchte dich kennen lernen". 

Gefährlicher sind zielgerichtete Angriffe. Dazu werden vor allem auf sozialen Netzwerken und Webseiten Informationen rund um Unternehmen und Mitarbeiter zusammen getragen, die dem Angreifer ein glaubwürdiges Auftreten ermöglichen. Sogenannte Fake-Accounts (gefälschte Profile) auf Facebook, LinkedIn, Xing & Co unterstützen manchmal das Vorhaben.  

Nun beginnt die erste Kontaktaufnahme, oft in der Rolle eines Vorgesetzten, Kollegen, Journalisten, Headhunters oder Mitarbeiters eines Kunden oder Service-Betriebes. Meistens durch ein Telefonat werden menschliche Eigenschaften wie Hilfsbereitschaft, Bequemlichkeit, Gehorsam oder Eitelkeit ausgenutzt. Oft sind es mehrere Gespräche mit verschiedenen Mitarbeitern, von denen mit jedem Anruf neue vertrauliche Informationen gewonnen werden, um gegenüber der nächsten Person noch glaubwürdiger auftreten zu können. 

Aber Social Engineering kann noch weiter gehen, wenn es sich um ein lohnendes Ziel handelt. Welcher Mitarbeiter lässt nicht den beim Eingang wartenden Kunden ins Gebäude? Wer vermutet schon, dass das Gespräch unter Kollegen am Mittagstisch nebenan belauscht wird? Und wieso sollte man nicht einen Blick auf den USB-Stick riskieren, der vor dem Büro am Boden lag?

Schutz vor Social Engineering

Es gibt natürlich die klassischen Schutzkonzepte. Einige Beispiele: Verlässt man den Arbeitsplatz, ist der Zugang zum Computer zu sperren. Der Schreibtisch muss vor dem Verlassen des Büros abgeräumt werden. Es sind Firmenausweise zu tragen. Es gibt klare Richtlinien, wer Zugangsdaten und Sicherheitseinstellungen verändern darf. Externe Personen dürfen sich nie unbeaufsichtigt im Gebäude bewegen.

Angriffsziel des Social Engineering sind aber die Menschen selbst, da reichen solche Schutzmaßnahmen nicht aus. Aber Tugenden wie Kundenfreundlichkeit und Eigeninitiative kann man auch nicht ernsthaft unterbinden. Trotzdem gibt es Möglichkeiten, auch auf der zwischenmenschlichen Ebene für mehr Sicherheit zu sorgen. Es geht um Sensibilisierung. Die erreicht man, indem man z.B. klar stellt, wo die Grenzen der Hilfsbereitschaft gegenüber Kunden, Kollegen und Vorgesetzten sind. Wichtig ist auch das Bewusstsein, dass selbst eine Handynummer eine vertrauliche Information ist. Man kann weitere Legitimierungsnachweise in sensiblen Bereichen etablieren, um Kunden und Mitarbeiter sicher zu identifizieren. Und über mögliche Angriffsversuche sollten Kollegen sofort informiert werden. 

Bekanntlich bestätigen erst Ausnahmen die Regel und man muss dem Mitarbeiter auch eine gewisse Flexibilität zugestehen. Darum ist es außerdem ratsam, eine ständig erreichbare Ansprechperson zu haben, an die sich jeder wenden kann, wenn es einmal notwendig erscheint, die aufgestellten Regeln "großzügig zu interpretieren". Ansonsten kann man davon ausgehen, dass die Sicherheitsmaßnahmen mehr als Schikane angesehen werden, darum nicht gelebt werden und bald in Vergessenheit geraten.

Stand: 18.12.2018

Weitere interessante Artikel