Social Engi­neering

Wie im letzten Artikel ange­kündigt, erar­beiten meine Kol­legin Ines Hau­er­stein und ich eine Arti­kel­serie zum Thema „Ver­hal­tens­regeln für Mit­ar­beiter“. Der letzte Artikel behan­delte das Thema „All­ge­meine Infor­ma­ti­ons­si­cherheit“.

Stellen Sie sich vor, ein Mit­ar­beiter von der Hotline ruft Sie in Ihrem Büro an. Er benötigt von Ihnen ver­trau­liche Zugangs­daten, um wichtige Arbeiten abschließen zu können. Er weckt Ver­trauen mit Insi­der­wissen, Smalltalk über den Büro­alltag und ver­meintlich gemeinsame Kol­legen, ver­wirrt mit Fach­jargon und droht ihre Füh­rungs­kraft zu kon­tak­tieren, wenn er die gefor­derten Daten nicht erhält, weil Sie ihn in seiner Arbeit behindern. Was würden Sie tun?

Das Tele­fon­ge­spräch ist ein beliebtes Mittel für einen Social Engi­neering Angriff, bei dem ver­sucht wird, Ihnen fir­men­in­terne Infor­ma­tionen durch Aus­horchen zu ent­locken. Diese Attacken bestehend aus zwi­schen­mensch­licher Beein­flussung richten sich an die Hilfs­be­reit­schaft, Gut­gläu­bigkeit oder Unsi­cherheit von Mit­ar­beitern, um an ver­trau­liche Daten eines Unter­nehmens zu gelangen.

Das Telefon stellt dabei ein ver­trautes Medium dar und kann „anonym“ ver­wendet werden. Seien Sie also auf der Hut! Aber auch das Mit­hören von Gesprächen an öffent­lichen Orten kann dazu miss­braucht werden, Ihnen sen­sible bzw. ver­trau­liche Infor­ma­tionen zu ent­locken.

Die unbe­dachte Wei­tergabe ver­trau­licher Daten kann Unter­nehmen einen großen Schaden zufügen. Mit­ar­beiter, Kunden und Lie­fe­ranten erwarten, dass ver­trau­liche Daten mit höchster Sorgfalt behandelt werden. Der kri­tische Umgang bei der Wei­tergabe von Infor­ma­tionen bei per­sön­lichen Gesprächen an öffent­lichen Orten sowie Anfragen via Telefon, aber auch via E‑Mail ist damit uner­lässlich.

So ver­halten Sie sich richtig:

• Halten Sie fir­men­intern vor­ge­gebene Richt­linien immer ein, auch in Stress­si­tua­tionen! Wenn es in ihrer Firma noch keine Regeln gibt, kon­tak­tieren Sie die ent­spre­chende Abteilung und bitten um die Erstellung solcher ver­bind­lichen Richt­linien.
• Leiten Sie tele­fo­nische Anfragen wie z. B. Pres­se­an­fragen an die zuständige Abteilung, hier z.B. Public Rela­tions, weiter bzw. ver­weisen Sie auf Ihre Füh­rungs­kraft.
• Seien Sie vor­sichtig bei unbe­kannten Per­sonen.
• Geben Sie keine internen oder ver­trau­lichen Infor­ma­tionen an unbe­kannte Per­sonen und unbe­rech­tigte Dritte weiter.
• Lassen Sie sich zu nichts über­reden. Fallen Sie nicht auf Kom­pli­mente oder über­triebene Höf­lichkeit herein.

Der nächste Artikel in dieser Serie befasst sich mit dem Thema „Pass­wort­si­cherheit“ und erscheint Mitte Februar 2014.

Bisher erschienen in der Reihe “Infor­ma­ti­ons­si­cherheit: Ver­hal­tens­regeln für Mit­ar­beiter”

Teil 1: All­ge­meine Infor­ma­ti­ons­si­cherheit

Teil 3: Pass­wort­si­cherheit

Teil 4: Pass­wort­dieb­stahl

Teil 5: Viren­schutz

Teil 6: E‑Mail-Sicherheit

Teil 7: Mobile End­geräte und Daten­träger

Teil 8: Ver­wendung von Software

Teil 9: Daten­ver­luste

Teil 10: Schutz sen­sibler Daten durch Ver­schlüs­selung

Bild: © Rike / pixelio.de