TIPPS ZUM SCHUTZ VOR SOCIAL ENGINEERING
TIPPS ZUM SCHUTZ VOR SOCIAL ENGINEERING
Die komplexen Themen Datenschutz und IT-Security erfordern sowohl die Aufmerksamkeit der Unternehmensführung als auch die der Mitarbeiter. Besonders die Mitarbeiter-Awareness ist eben der Technik einer der grundlegenden Sicherheitsfaktoren. Welche Folgen ein Datenabfluss für das Unternehmen haben kann, wird von Mitarbeitern durch Unwissenheit leider nur allzu oft unterschätzt. Die Folge sind Datenpannen trotz technisch modernster Abwehrmaßnahmen und massive Schädigungen des Unternehmens durch Cyberangriffe. Das Einfallstor: Die Mitarbeiter. Der Angriff: Social Engineering.
Bei einer Social Engineering Attacke will der Angreifer, dass sein Opfer aktiv wird. Dabei kann die gewünschte Handlung so einfach und für das Opfer unabsehbar sein, wie die Beantwortung einer simplen Frage oder aber so folgenschwer wie die Erlaubnis, in einen bestimmten gesicherten Bereich eines Unternehmens eintreten zu dürfen.
Der Angreifer wird alles versuchen, das Vertrauen des Opfers zu gewinnen und es so dazu zu bewegen, geheime und sensible Informationen preis zu geben. Er wird sich dafür im Vorfeld so viele Informationen wie möglich verschaffen, um sich auf das Gespräch vorzubereiten. Je mehr der Kriminelle den Eindruck erwecken kann, bereits in bestimmte Themen [Buchhaltung, Unternehmensstrukturen, IT-Sicherheit, etc.] involviert zu sein, desto einfach wird es, das Opfer zu manipulieren. Deshalb muss die Unternehmensführung im Rahmen der internen Kommunikation ihre Mitarbeiterinnen und Mitarbeiter insbesondere für das Thema Social Engineering und die damit verbundenen Risiken sensibilisieren.
Schulungen anhand von praktischen Beispielen helfen Mitarbeitern, konkrete Auswirkungen fälschlich vertraulichen Handelns besser zu verstehen und mögliche Folgen besser abzuschätzen. Ein Beispiel könnte sein: Was würde passieren, wenn ein unternehmenseigenes Laptop oder Smartphone mit Detailinformationen zu Produkten aus einem Firmenwagen gestohlen wird? Angenommen, ein Vertriebsmitarbeiter kündigt und wechselt zu einem Marktbegleiter. Er nimmt Kundendaten auf einem USB Stick mit. Was kann er damit anfangen und kann er dem Unternehmen damit Schaden zufügen?
Zu berücksichtigen sind die folgenden 12 goldene Regeln zum Schutz von Daten:
Social Engineering – Technische Aspekte
- Nutzen Sie sichere Passwörter [und wechseln Sie diese regelmäßig]
- Sperren Sie Ihren Bildschirmen [auch, wenn Sie nur kurz den Arbeitsplatz verlassen]
- Wählen Sie Ihre Informationswege sorgfältig [und verzichten Sie auf ungeschützten Datenverkehr]
- Deaktivieren Sie wann immer es geht alle Funktionsstellen [Bluetooth, WLAN, …]
Sociale Engineering – Verhaltensaspekte
- Schützen Sie stets sensible Informationen jeglicher Art
- Seien Sie wachsam und melden Sie Unregelmäßigkeiten
- Ignorieren und melden Sie elektronische Hinweise, die Sie nicht zweifelsfrei zuordnen können
- Sie tragen selbst die Verantwortung für den sicheren Umgang mit sensiblen Informationen
- Sicherheit geht vor Flexibilität
- Melden Sie jeden [noch so kleinen] Sicherheitsvorfall
- Beachten Sie alle Warnmeldungen und -hinweise
- Beachten und hinterfragen Sie die Sicherheitsregeln Ihres Unternehmens
Das Unternehmen sollte die Mitarbeiter vor allem für die folgenden Situation sensibilisieren:
Tipps zum Schutz vor Social Engineering – Schweigen kann goldwert sein!
Angreifer täuschen in der Regel eine falsche Identität vor. Mitarbeiter sollten daher keine Auskünfte geben, zu denen sie nicht ausdrücklich ermächtigt worden sind. Das gilt für die Arbeits- und Betriebsorganisation, Verantwortlichkeiten oder persönliche Informationen über Kollegen. Das Unternehmen sollte seine Mitarbeiter dahingehend sensibilisieren, dass nur so viele Informationen wie nötig preis gegeben werden und ungewöhnliche Anliegen per Mail oder Telefon stets hinterfragt werden. Wenn Mitarbeiter Informationen als wertlos oder nur von geringem Wert ansehen, werden sie sich auch keine Mühe geben, diese zu schützen. Menschen haben eine innewohnende Hilfsbereitschaft und wollen jedem helfen, der hilflos wirkt. Dieses Verhalten wird von den Angreifern skrupellos ausgenutzt.
Tipps zum Schutz vor Social Engineering – Achtung bei fremden Personen
Möchte ein scheinbar neuer Mitarbeiter aus der IT oder eines Dienstleisters dringend Sicherheitsupdates einspielen, sollten Mitarbeiter immer erst Rücksprache mit ihrem Vorgesetzten halten. Der vermeintlich bedeutungslose Computer dient dem Angreifer oftmals als Türöffner in das Unternehmensnetzwerk und ermöglicht es Kriminellen so, an sensible Informationen zu gelangen. Unbekannte Personen auf den Fluren oder gar in den Unternehmensräumen, offen stehende Türen, die in der Regel geschlossen sind und noch nicht dagewesene technische Vorrichtungen sollten Mitarbeiter umgehend ihren Vorgesetzten mitteilen. Vor allem sollten sich Mitarbeiter nicht davor scheuen, unbekannte Personen auf dem Firmengelände direkt anzusprechen.
Tipps zum Schutz vor Social Engineering – Sicherheit im Büro und bei der Kommunikation
Büros, in denen niemand anwesend ist, sollten immer verschlossen und PCs für die Dauer der Abwesenheit gesperrt sein. Vertrauliche und sensible Dokumente müssen geschreddert und dürfen nicht einfach in den Papierkorb geworfen werden. Andernfalls besteht die Gefahr, dass Unbefugte Informationen abgreifen, die nicht für sie bestimmt sind sich auf diese Weise weitere Informationen erschleichen können. Unbekannte Wechselmedien, wie z.B. USB-Sticks oder externe Festplatten werden an den Vorgesetzten übergeben. Niemals dürfen Wechselmedien eigenmächtig und ohne Prüfung an Firmenrechner angeschlossen werden. Sinnvoll sind auch klare Regeln, über welche Kommunikationskanäle [Telefon, Fax, E-Mail oder Brief] mit Geschäftspartnern, Kunden und neuen, noch unbekannten Kontakten kommuniziert werden darf.
Social Engineering ist eine der gefährlichsten und häufigsten Formen des Informationsdiebstahls und der Manipulation. Wir zeigen bei der FUSE AG, wie sich Unternehmen gegen derartige Angriffe wehren und nachhaltig schützen können.