Social Engineering – Beispiele und Prävention

Fachbeitrag

Das größte Sicherheitsrisiko in einem Unternehmen ist der Mensch. Was zunächst unwahrscheinlich klingt, bewahrheitet sich aber leider nur allzu oft. Verfügen die internen Systeme der Unternehmen über meist sehr strenge Sicherheitssysteme, sind die Mitarbeiter mitunter erschreckend schlecht auf Angriffe im Wege des Social Engineering vorbereitet.

Was ist Social Engineering?

Als “Social Engineering” werden alle Angriffe auf Informationssysteme bezeichnet, bei denen die Nutzer dieser Systeme durch psychologische Tricks manipuliert werden. Ziel dieser Angriffe ist es, den Mitarbeitern interne und mitunter sensible Informationen zu entlocken. Dabei der persönliche Kontakt zwischen Täter und Opfer nicht zwingend erforderlich, auch der Versand von z.B. Phishing-Mails zählt zu den gängigen Methoden des Social Engineering.

Wie funktioniert Social Engineering?

Die meisten Menschen wollen nett sein. Sie wollen in Notsituationen helfen oder bei der Beseitigung von Störungen helfen. Manche können Bitten schlecht ablehnen oder haben schlicht Angst, in einer für sie unbekannten Situation falsch zu reagieren. Alle diese Verhaltensweisen nutzen Täter aus, um an Informationen zu gelangen.

Opfer eines solchen Angriffs kann jeder werden, der die für den Täter interessanten Informationen liefern kann. Der Personenkreis ist dabei nicht auf die Mitarbeiter in IT-Abteilungen oder Sekretariaten beschränkt. Nicht selten werden die sensiblen Daten, z.B. in einem fingierten Kundengespräch oder auf Messen, auch direkt bei der Firmenleitung in Erfahrung gebracht.

Wie kann man sich vor Social Engineering schützen?

Zunächst sollten sich alle Mitarbeiter eines Unternehmens darüber bewusst werden, dass sie im Besitz von – mitunter auch vertraulichen – Informationen sind, und ihr Verhalten entsprechend anpassen. Die gute Nachricht ist: Bereits kleine Veränderungen in der täglichen Routine können erheblich zum Schutz der unternehmensinternen Informationen beitragen.

Keine vertraulichen Gespräche an öffentlichen Orten

Wer regelmäßig mit öffentlichen Verkehrsmitteln unterwegs ist, kennt sie zur Genüge, die Vieltelefonierer. Mit lauter Stimme führen sie Gespräche, die ihr unmittelbares Umfeld wenig bis gar nicht interessieren. Dass sie dabei den Umstehenden auch – mitunter erstaunlich sensible – Informationen über ihr Unternehmen preisgeben, ist ihnen nicht bewusst.

Diese Informationen zu schützen ist sehr leicht: Öffentliche Orte, wie z.B. Busse oder Großraumwaggons, sollten nicht für Telefongespräche mit vertraulichem Inhalt genutzt werden. Sollte sich ein solches Gespräch in der Öffentlichkeit einmal nicht vermeiden lassen, sollte der Handynutzer ein Abteil aufsuchen oder sich zumindest außer Hörweite der Umstehenden begeben.

Vorsicht in sozialen Netzwerken

Nicht selten spähen Täter ihre Opfer vor der Social-Engineering-Attacke aus. Je mehr eine Person über sich im Internet preisgibt, desto gefährdeter ist sie. Auch hier ist der Schutz denkbar einfach: Informationen, die den Arbeitgeber betreffen, sollten Mitarbeiter nur in Absprache mit der Geschäftsleitung im Internet veröffentlichen. Bei der Veröffentlichung von privaten Informationen sollte der Nutzer die Privatsphäre-Einstellungen der Social-Media-Portale nutzen und nur ihm tatsächlich bekannten Personen den Zugriff auf persönliche Informationen erlauben.

Vorsicht bei E-Mails und Dateianhängen

E-Mails mit kryptischen Betreffzeilen, die vielleicht zudem von unbekannten Personen stammen, sollten nicht geöffnet werden. Gleiches gilt für Dateianhänge, deren Ursprung nicht genau geklärt werden kann. Nicht selten enthalten solche E-Mails und Dateianhänge Schadsoftware, die z.B. Fremden den Zugriff auf das unternehmensinterne Computersystem ermöglichen oder Daten an unbekannte Empfänger weiterleiten.

Gesundes Misstrauen gegenüber Fremden

Gerade in Großunternehmen, in denen nicht mehr jeder Mitarbeiter jeden Kollegen persönlich kennt, kommt es vor, dass sich Betriebsfremde als neue Mitarbeiter oder Dienstleister ausgeben und auf diese Weise im Unternehmen Informationen ausspähen. Hier gilt: Gegenüber fremden Personen sollte man ein gesundes Misstrauen pflegen. Bevor an sie vertrauliche Informationen herausgegeben werden, sollte die Identität der Person geklärt werden.

Gleiches gilt bei Telefonanrufen von Personen, die nicht eindeutig zugeordnet werden können. Im Zweifel hilft es, einen Rückruf zu vereinbaren und in der Zwischenzeit zunächst Informationen über den Anrufer (z.B. durch Rückverfolgung der Rufnummer) einzuholen.

Bewusstsein für mögliche Attacken schaffen

Leider können nicht alle Attacken im Wege des Social Engineering auf diese Weise verhindert oder abgewehrt werden. Mitarbeiter, die den Begriff „Social Engineering“ schon einmal gehört haben, werden aber in der Regel im Fall des Falles aufmerksamer reagieren.

Daher gilt: Die Mitarbeiter eines Unternehmens sollten regelmäßig in datenschutzrechtlichen Themen geschult werden, um ihr Bewusstsein für die aus dem Social Engineering resultierenden Gefahren zu schärfen.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. Nicht zu vergessen sind die Maulwürfe, die als neue Mitarbeiter gezielt in Organisationen eingeschleust werden, um sie von innen anzugreifen .

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.