Foto: IMC AG

Social Engineering

Im ständigen Wandel

Ob Wikileaks, Facebook oder Sony – die Meldungen über Datenlecks und Datenmissbrauch häufen sich. Doch wie können sich Unternehmen vor solchen Vorfällen schützen? Eine zentrale Komponente sind die Mitarbeiter.

Social Engineering, also die Datenbeschaffung durch geschickte Manipulation und Täuschung von Personen, unterliegt dabei einem stetigen Wandel und stellt daher eine der größten Gefahren für Unternehmen und Privatpersonen dar.

Die Motive von Hackern und Datendieben haben sich im Laufe der Jahre geändert. Galt es in den Anfängen des Internets noch, sich durch sein technisches Können zu profilieren, werden heute in erster Linie monetäre Ziele verfolgt. Mit den Motiven der Hacker haben sich auch die Methoden geändert. Schlecht übersetzte Spam-Mails, die früher durchaus erfolgversprechend waren, zeigen beim deutlich versierteren Internetnutzer nicht mehr die gewünschte Wirkung. Heute entstehen aufgrund der sich rasant weiter entwickelnden Technik ständig neue Betrugsmethoden. Die Mehrzahl dieser Methoden sind dem „Social Engineering“ zuzuordnen. Dabei handelt es sich um das systematische Ausspionieren ausgewählter Personen, um über diese unter Ausnutzung menschlicher Tugenden wie Neugier, Angst oder Autoritätshörigkeit an die gewünschten Daten zu kommen.

Klassische Beispiele für ein solches Vorgehen ist ein Anruf eines vermeintlichen Servicetechnikers in einem Unternehmen, der interne Passwörter abfragt, um das System warten zu können. Unter dem Begriff Dumpster Diving versteht man dabei das Durchforsten des Mülls, um an personenbezogene Daten zu gelangen, die zu weiteren Spionageangriffen verwendet werden können.

In Zeiten des Web 2.0 ist dies jedoch kaum noch notwendig. In sozialen Netzwerken geben zahlreiche Personen freiwillig Daten wie Namen, Geburtsdaten, Telefonnummern, Hobbies oder Verbindungen zum Freundeskreis preis und öffnen Betrügern somit Tür und Tor bei der Vorbereitung gezielter Angriffe. Ein denkbares Szenario könnte dabei wie folgt aussehen: Der Datendieb informiert sich bei Facebook und Co. detailliert über das Opfer und dessen Umfeld. Bei einer Kontaktaufnahme per Mail oder Telefon kann dieser sich somit glaubwürdig als eine befreundete oder bekannte Person ausgeben und unter einem Vorwand sensible Daten oder Geld erbeuten.

Ganzheitliche Sicherheitskonzepte

Generell sollte man sich regelmäßig über die momentan beliebten Betrugsmethoden informieren. Unternehmen wird sogar geraten, ein integriertes Sicherheitskonzept zu entwickeln, das sowohl die technische Absicherung durch Firewalls, Virenscanner, simulierte Hackerangriffe sowie auch die Komponente Mitarbeiter einschließt: Mitarbeitersensibilisierung heißt hier das Zauberwort. Ob durch Workshops, themenspezifische E-Learning-Kurse oder eine Kombination aus beidem (Blended Learning) – die grundlegenden Zusammenhänge und Gefahren sollten regelmäßig von Unternehmensseite vermittelt und aus Mitarbeitersicht verinnerlicht werden.

E-Learning Konzept

Ein Beispiel für eine geeignete Weiterbildungsmöglichkeit zu diesem Thema ist der E-Learning-Kurs „Datenschutz und Informationssicherheit“, den die IMC AG entwickelt hat. Dieser richtet sich sowohl an Unternehmen als auch an interessierte Privatpersonen. Der Kurs besteht aus 14 separaten Modulen zu ungefähr 15 Minuten, die jeweils ein abgeschlossenes Themengebiet behandeln und unabhängig voneinander bezogen und bearbeitet werden können. In typischen Bürosituationen thematisieren die handelnden Charaktere des Kurses grundlegende Probleme zu den Themen Datenschutz und Informationssicherheit und bieten dabei gleichzeitig Lösungsmöglichkeiten an. Am Ende eines jeden Moduls steht ein Test, ob die Inhalte in ausreichendem Maße vermittelt wurden.

Christina Meiers, Junior Marketing Manager der imc information multimedia communication AG

Foto: NTT Security

Social Engineering als Waffe

Keine gläserne Firma

Rein technische Angriffe auf eine Unternehmens-IT sind bei weitem nicht mehr so erfolgversprechend, wie sie es noch vor einigen Jahren waren. Die Täter verschaffen sich daher durch Social Engineering Informationen sozusagen über die Hintertür. Die Betroffenen unterschätzen die daraus entstehenden Risiken, gegen die es keine formalen Abwehrmaßnahmen gibt.

Foto: Pixelio.de/ Gerd Altmann

Spionage 2.0

Soziale Netzwerke als Informationsfalle

Immer häufiger bemerken Firmen das Ausspähen sensibler Daten über Facebook & Co. Wie "Industriespione 2.0" vorgehen und wie man sich gegen sie schützen kann, verrät die Unternehmensberatung Becker von Buch.

Foto: Ultima Ratio

Ultima Ratio

Fünf Indizien für Betriebsspionage

Mitarbeiter wechseln zur Konkurrenz, Stammkunden ziehen Aufträge zurück, Firmeninterna landen in der Öffentlichkeit – Zufall oder Datendiebstahl? Das fragen sich viele Unternehmer in diesen Fällen. Gerade mittelständische Firmen sollten genau aufpassen, ob sich nicht ein Datenleck hinter diesen Vorfällen verbirgt.

In vielen Unternehmen mangelt es Mitarbeitern immer noch an Kenntnissen zum Datenschutz.
Foto: Pixabay

IT-Sicherheit

Wie Mitarbeiter für Datenschutz sensibilisiert werden

In vielen Unternehmen mangelt es Mitarbeitern immer noch an Kenntnissen zum Datenschutz. Wie können sie für dieses wichtige Thema sensibilisiert werden?