Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Social Engineering
Wie im letzten Artikel angekündigt, erarbeiten meine Kollegin Ines Hauerstein und ich eine Artikelserie zum Thema „Verhaltensregeln für Mitarbeiter“. Der letzte Artikel behandelte das Thema „Allgemeine Informationssicherheit“.
Stellen Sie sich vor, ein Mitarbeiter von der Hotline ruft Sie in Ihrem Büro an. Er benötigt von Ihnen vertrauliche Zugangsdaten, um wichtige Arbeiten abschließen zu können. Er weckt Vertrauen mit Insiderwissen, Smalltalk über den Büroalltag und vermeintlich gemeinsame Kollegen, verwirrt mit Fachjargon und droht ihre Führungskraft zu kontaktieren, wenn er die geforderten Daten nicht erhält, weil Sie ihn in seiner Arbeit behindern. Was würden Sie tun?
Das Telefongespräch ist ein beliebtes Mittel für einen Social Engineering Angriff, bei dem versucht wird, Ihnen firmeninterne Informationen durch Aushorchen zu entlocken. Diese Attacken bestehend aus zwischenmenschlicher Beeinflussung richten sich an die Hilfsbereitschaft, Gutgläubigkeit oder Unsicherheit von Mitarbeitern, um an vertrauliche Daten eines Unternehmens zu gelangen.
Das Telefon stellt dabei ein vertrautes Medium dar und kann „anonym“ verwendet werden. Seien Sie also auf der Hut! Aber auch das Mithören von Gesprächen an öffentlichen Orten kann dazu missbraucht werden, Ihnen sensible bzw. vertrauliche Informationen zu entlocken.
Die unbedachte Weitergabe vertraulicher Daten kann Unternehmen einen großen Schaden zufügen. Mitarbeiter, Kunden und Lieferanten erwarten, dass vertrauliche Daten mit höchster Sorgfalt behandelt werden. Der kritische Umgang bei der Weitergabe von Informationen bei persönlichen Gesprächen an öffentlichen Orten sowie Anfragen via Telefon, aber auch via E‑Mail ist damit unerlässlich.
So verhalten Sie sich richtig:
- Halten Sie firmenintern vorgegebene Richtlinien immer ein, auch in Stresssituationen! Wenn es in ihrer Firma noch keine Regeln gibt, kontaktieren Sie die entsprechende Abteilung und bitten um die Erstellung solcher verbindlichen Richtlinien.
- Leiten Sie telefonische Anfragen wie z. B. Presseanfragen an die zuständige Abteilung, hier z.B. Public Relations, weiter bzw. verweisen Sie auf Ihre Führungskraft.
- Seien Sie vorsichtig bei unbekannten Personen.
- Geben Sie keine internen oder vertraulichen Informationen an unbekannte Personen und unberechtigte Dritte weiter.
- Lassen Sie sich zu nichts überreden. Fallen Sie nicht auf Komplimente oder übertriebene Höflichkeit herein.
Der nächste Artikel in dieser Serie befasst sich mit dem Thema „Passwortsicherheit“ und erscheint Mitte Februar 2014.
Bisher erschienen in der Reihe “Informationssicherheit: Verhaltensregeln für Mitarbeiter”
Teil 1: Allgemeine Informationssicherheit
Teil 3: Passwortsicherheit
Teil 4: Passwortdiebstahl
Teil 5: Virenschutz
Teil 6: E‑Mail-Sicherheit
Teil 7: Mobile Endgeräte und Datenträger
Teil 8: Verwendung von Software
Teil 9: Datenverluste
Teil 10: Schutz sensibler Daten durch Verschlüsselung
Bild: © Rike / pixelio.de
Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awareness-Koordinator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwerpunktmäßig mit den Themen ISMS und Awareness.

Neueste Kommentare