DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Ver­hal­tens­regeln zu Social Engi­neering Teil 5

Haben Sie schon einmal die Inte­grität eines Kol­legen oder einer Kol­legin infrage gestellt und ihm oder ihr Unter­neh­mens­spionage unter­stellt? Wohl eher nicht. In einem Unter­nehmen neigen die Mit­ar­beiter dazu, sich blind zu ver­trauen. Sie möchten erfahren weshalb Innen­täter einem Unter­nehmen gefährlich werden können und wann Vor­sicht geboten ist? Dann sind Sie hier richtig.

 

Marcel arbeitet in einem kleinen Unter­nehmen. Er muss täglich Kun­den­in­for­ma­tionen erfassen und sie in das Fir­men­system ein­pflegen. Obwohl er zumeist alleine arbeitet, kennt er viele Mit­ar­beiter beim Namen. In der Kantine lernt er die neue Mit­ar­bei­terin Gina kennen. Sie trägt keinen Mit­ar­bei­ter­ausweis und erzählt Marcel, dass sie zur Abteilung „Sicher­heits­ma­nagement“ gehöre. Im Gespräch ent­decken die beiden, dass sie sehr ähn­liche Auf­ga­ben­ge­biete haben. Einige Tage später ruft Gina in Marcels Büro an, um ihn um Hilfe bei der Arbeit zu fragen, da sie sich mit einigen Abläufen noch schwer tut. Erfreut über das ent­ge­gen­ge­brachte Ver­trauen, gibt Marcel gerne Start­hilfe und leitet Gina wichtige Kun­den­in­for­ma­tionen, die sie zur Bear­beitung benötigt, weiter.
Jeder möchte an seinem Arbeits­platz und im Unter­nehmen ein ange­nehmes Klima schaffen und Kol­legen bei Fragen behilflich sein. Doch wie kann man sich sicher sein, ob der angeb­liche Neuling auch wirklich im Unter­nehmen arbeitet?

Wieso müsste Marcel hier vor­sichtig sein?

  1. Er hat keine Kol­legen, die ihre Stelle im Unter­nehmen bestä­tigen können oder bei dem Treffen anwesend waren.
  2. Er kennt Ginas Aufgabe im Unter­nehmen nur durch ihre Erzäh­lungen und kann nicht sicher sein, dass sie auto­ri­siert ist, Zugriff auf die ange­fragten Infor­ma­tionen zu erhalten.
  3. Im Unter­nehmen gibt es zwar über­wachte Ein­gänge, doch es ist nie aus­ge­schlossen, dass sich ein Social Engineer Zutritt in die Firma verschafft.


Social Engi­neers als Innentäter


Man kann zwi­schen zwei Arten von Innen­tätern unter­scheiden:

1. Der Social Engineer ist kein Mit­ar­beiter des Unter­nehmens und hat sich ille­galen Zutritt ver­schafft bzw. gibt sich fälsch­li­cher­weise als Mit­ar­beiter (z. B. am Telefon) aus.
 

2. Der Social Engineer ist tat­sächlich Mit­ar­beiter der Firma, aber hat kri­mi­nelle Inten­tionen, zum Beispiel:

      a.) Möchte er selbst­ständig an fir­men­in­terne Daten gelangen, um sie an die Kon­kurrenz zu ver­kaufen oder sie für per­sön­liche Zwecke zu nutzen (eigen­ständige Ent­wicklung, geld­werte Vorteile)

      b.) Ist bereits bei einem anderen Unter­nehmen ange­stellt und betreibt Unternehmensspionage

Die häu­figsten Angriffe als Innen­täter finden über das Telefon statt. Besonders bei großen Firmen ist die Wahr­schein­lichkeit groß, dass sich nicht alle Mit­ar­beiter unter­ein­ander kennen und die Gele­genheit ist gut, sich fälsch­li­cher­weise als Mit­ar­beiter aus­zu­geben. Im Bei­spiel oben hat sich die Social Engi­neerin erst das Ver­trauen des Ange­stellten erschlichen und dann seine Gut­mü­tigkeit und Hilfs­be­reit­schaft aus­ge­nutzt. Doch selbst, wenn der Angreifer wirklich Mit­ar­beiter der Firma ist, hat er nicht auto­ma­tisch das Recht, sen­sible Infor­ma­tionen jeder Abteilung zu erfahren.
Die meisten erfolg­reichen Angriffe auf ein Unter­nehmen erfolgen aus den inneren Reihen! Häufig benö­tigen die Täter viel weniger Aufwand, an Infor­ma­tionen zu gelangen, wenn sie bereits Teil des Unter­nehmens sind.


Bitte beachten Sie: Sen­sible Daten sind selbst unter „Kol­legen“ nur an auto­ri­sierte Per­sonen weiterzugeben!


Risiken

  1.  Durch zufällige Treffen in der Mit­tags­pause oder beim Kaf­fee­trinken können sich Innen­täter das Ver­trauen eines Kol­legen leicht erschleichen.
  2.  Die Gefahr sen­sible Infor­ma­tionen an Kol­legen wei­ter­zu­geben ist durch eine ver­meint­liche Ver­trau­ens­basis sehr hoch.
  3.  Trotz Sicher­heits­vor­kehrung besteht das Risiko, dass der Täter sich nur als Mit­ar­beiter der Firma ausgibt, obwohl er ein Externer ist.

 


Ver­hal­tens­regeln

  1.  Über­prüfen Sie  die Iden­tität und Auto­ri­sierung des Kollegen.
  2.  Melden Sie auf­fäl­liges Ver­halten der Füh­rungs­kraft oder sprechen Sie die Person direkt an (zum Bei­spiel, wenn ein Mit­ar­beiter keinen Ausweis trägt, obwohl es im Unter­nehmen vor­ge­schrieben ist).
  3.  Unter­stützen Sie Ihre Mit­ar­beiter, sich auch in Not­si­tuation an ver­ein­barte Vor­ge­hens­weisen zur Auto­ri­sierung zu halten. Sicher­heits­per­sonal sollte spe­zielle Schu­lungen zu diesem Thema erhalten (zum Bei­spiel: Zutrittskontrolle).


Wei­ter­füh­rende Informationen:

  •   Inter­es­sieren Sie sich für weitere (reale) Bei­spiele und Methoden?

 In dem Buch „Social Engineer-Die Kunst der Täu­schung“ beschreibt Kevin Mitnick aus­führlich die Tech­niken eines Social Engi­neers aus eigener Erfahrung

 Bild: © Tijana / fotolia.com

Bisher erschienen in der Reihe “Ver­hal­tens­regeln zu Social Engineering”:

Teil 1: Risiken in den Sozialen Netzwerken

Teil 2: Risiko durch Lauschangriffe

Teil 3: Risiken am Telefon

Teil 4: Risiken im Umgang mit USB-Sticks

 


 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awa­reness-Koor­di­nator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwer­punkt­mäßig mit den Themen ISMS und Awareness.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.