DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Social Engi­neering

Verhaltensregeln Teil 2

Wie im letzten Artikel ange­kündigt, erar­beiten meine Kol­legin Ines Hau­er­stein und ich eine Arti­kel­serie zum Thema „Ver­hal­tens­regeln für Mit­ar­beiter“. Der letzte Artikel behan­delte das Thema „All­ge­meine Infor­ma­ti­ons­si­cherheit.

 

 

 

Stellen Sie sich vor, ein Mit­ar­beiter von der Hotline ruft Sie in Ihrem Büro an. Er benötigt von Ihnen ver­trau­liche Zugangs­daten, um wichtige Arbeiten abschließen zu können. Er weckt Ver­trauen mit Insi­der­wissen, Smalltalk über den Büro­alltag und ver­meintlich gemeinsame Kol­legen, ver­wirrt mit Fach­jargon und droht ihre Füh­rungs­kraft zu kon­tak­tieren, wenn er die gefor­derten Daten nicht erhält, weil Sie ihn in seiner Arbeit behindern. Was würden Sie tun?

Das Tele­fon­ge­spräch ist ein beliebtes Mittel für einen Social Engi­neering Angriff, bei dem ver­sucht wird, Ihnen fir­men­in­terne Infor­ma­tionen durch Aus­horchen zu ent­locken. Diese Attacken bestehend aus zwi­schen­mensch­licher Beein­flussung richten sich an die Hilfs­be­reit­schaft, Gut­gläu­bigkeit oder Unsi­cherheit von Mit­ar­beitern, um an ver­trau­liche Daten eines Unter­nehmens zu gelangen.

Das Telefon stellt dabei ein ver­trautes Medium dar und kann „anonym“ ver­wendet werden. Seien Sie also auf der Hut! Aber auch das Mit­hören von Gesprächen an öffent­lichen Orten kann dazu miss­braucht werden, Ihnen sen­sible bzw. ver­trau­liche Infor­ma­tionen zu ent­locken.

Die unbe­dachte Wei­tergabe ver­trau­licher Daten kann Unter­nehmen einen großen Schaden zufügen. Mit­ar­beiter, Kunden und Lie­fe­ranten erwarten, dass ver­trau­liche Daten mit höchster Sorgfalt behandelt werden. Der kri­tische Umgang bei der Wei­tergabe von Infor­ma­tionen bei per­sön­lichen Gesprächen an öffent­lichen Orten sowie Anfragen via Telefon, aber auch via E‑Mail ist damit uner­lässlich.

So ver­halten Sie sich richtig:

  • Halten Sie fir­men­intern vor­ge­gebene Richt­linien immer ein, auch in Stress­si­tua­tionen! Wenn es in ihrer Firma noch keine Regeln gibt, kon­tak­tieren Sie die ent­spre­chende Abteilung und bitten um die Erstellung solcher ver­bind­lichen Richt­linien.
  • Leiten Sie tele­fo­nische Anfragen wie z. B. Pres­se­an­fragen an die zuständige Abteilung, hier z.B. Public Rela­tions, weiter bzw. ver­weisen Sie auf Ihre Füh­rungs­kraft.
  • Seien Sie vor­sichtig bei unbe­kannten Per­sonen.
  • Geben Sie keine internen oder ver­trau­lichen Infor­ma­tionen an unbe­kannte Per­sonen und unbe­rech­tigte Dritte weiter.
  • Lassen Sie sich zu nichts über­reden. Fallen Sie nicht auf Kom­pli­mente oder über­triebene Höf­lichkeit herein.

Der nächste Artikel in dieser Serie befasst sich mit dem Thema „Pass­wort­si­cherheit“ und erscheint Mitte Februar 2014.

Bisher erschienen in der Reihe “Infor­ma­ti­ons­si­cherheit: Ver­hal­tens­regeln für Mit­ar­beiter”

Teil 1: All­ge­meine Infor­ma­ti­ons­si­cherheit

Teil 3: Pass­wort­si­cherheit

Teil 4: Pass­wort­dieb­stahl

Teil 5: Viren­schutz

Teil 6: E‑Mail-Sicherheit

Teil 7: Mobile End­geräte und Daten­träger

Teil 8: Ver­wendung von Software

Teil 9: Daten­ver­luste

Teil 10: Schutz sen­sibler Daten durch Ver­schlüs­selung

Bild: © Rike / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awa­reness-Koor­di­nator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwer­punkt­mäßig mit den Themen ISMS und Awa­reness.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.