Social Engineering

Wenn das Pläuschchen im Büro die Datensicherheit gefährdet

NEUER KOMMENTAR
Beitrag teilen

Cyberattacken auf die Firewall des Unternehmens sind brandgefährlich. Aber oft eröffnen die eigenen Mitarbeiter einem Hacker den Zugang zum Firmennetzwerk, indem sie sich von ihm gutgläubig aushorchen oder manipulieren lassen. Dagegen hilft nur kontinuierliche Aufklärung.

Female business partners

 

Können Sie sich noch an die Cyberattacke auf Bundestagsabgeordnete im Sommer erinnern? Der Hackerangriff war so raffiniert, dass das Computersystem des Parlaments in der Sitzungspause komplett heruntergefahren und neu aufgesetzt werden musste. Dann musste jeder Nutzer sein Passwort ändern. Inzwischen haben aktuelle Ereignisse wie Flüchtlingskrise oder VW-Affäre das Thema aus den Schlagzeilen verdrängt. Zu Unrecht – so eine Attacke kann jederzeit passieren und jeden treffen. Diesmal richtete sie sich laut Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht nur gegen den Bundestag, sondern gegen mehrere internationale Organisationen. Deshalb sollten Bürger, Unternehmen und Institutionen ausführlicher über die Hintergründe informiert und über Gegenmaßnahmen aufgeklärt werden.

Nicht einfach auf irgendwelche Links klicken

Besonders interessant finde ich, wie der Computervirus ins Netzwerk gelangen konnte. Als Quelle haben die BSI-Experten eine Schad-E-Mail ausgemacht, die sich mit einer Absenderadresse der Vereinten Nationen tarnte. Genau genommen war nicht die Mail das Problem, sondern der Link darin. Er sollte auf ein „UN News Bulletin“ zum Thema „Ukraine conflict with Russia leaves economy in ruins“ führen, war aber mit einer Schadsoftware präpariert, die sich die interessierten Leser auf diesem Weg einfingen. Tatsächlich war das Hauptproblem die Vertrauensseligkeit jener Mailempfänger, die sich von einer offiziell aussehenden Absenderadresse blenden ließen und einfach auf einen Link nach irgendwo klickten.

Mitarbeiter für Social Engineering sensibilisieren

Dieser Fall belegt einmal mehr die Gefahren des sogenannten Social Engineerings. Eigentlich beschreibt der Begriff eine zwischenmenschliche Beeinflussung mit dem Ziel, eine Person zum Beispiel zur Preisgabe von vertraulichen Informationen zu bewegen. Oft treten potenzielle Datendiebe in sozialen Netzwerken mit Angestellten einer für sie interessanten Firmen in Kontakt, um eine Art persönlicher Beziehung zu ihnen aufzubauen und ihnen im Laufe der Zeit etwa Zugangsdaten zu entlocken. In Fall der Bundestagsabgeordneten war das gar nicht nötig, hier reichte es schon, unter dem Deckmantel einer angesehenen Organisation mit den richtigen Schlüsselreizen zu arbeiten, um sie zum Anklicken eines Links zu motivieren – eine offenkundig sehr wirkungsvolle Vorgehensweise.

Alle gefährlichen Situationen erkennen

Sehr empfehlenswert für jeden Unternehmer und Angestellten ist die Lektüre einer kleinen Serie zum Thema Social Engineering im DsiN-Blog, dem IT-Sicherheitsblog für den Mittelstand. Hier gibt es Verhaltensregeln, wie solchen Manipulationsversuchen entgegengewirkt werden kann – von der ersten Kontaktaufnahme im sozialen Netzwerk über mögliche Lauschangriffe in vermeintlich unverfänglichen Situationen oder durch überraschende Anrufe bis hin zu dem Fall, dass ein Angreifer sich etwa als Aushilfe schon in den Betrieb eingeschleust hat und versucht, Beschäftigte mit Zugang zu sensiblen Daten für seine Zwecke auszunutzen.

Leitfaden von DsiN und DATEV nutzen

Ausführliche Informationen und Handlungsanleitungen liefert der Leitfaden „Verhaltensregeln zum Thema Social Engineering“. Warum es dringend nötig ist, dass Unternehmer und ihre Mitarbeiter diesem Thema mehr Aufmerksamkeit widmen, zeigt der „DsiN-Sicherheitsmonitor 2015 Mittelstand“. Das alarmierende Fazit packt DsiN-Beiratsmitglied Professor Dieter Kempf in einen Satz: „Die Digitalisierung gehört in kleinen und mittelständischen Unternehmen längst zum betrieblichen Alltag – und nimmt weiter an Fahrt auf. Bedauerlicherweise sind die Vorkehrungen für IT-Sicherheit nicht im gleichen Maße mitgewachsen, sondern stagnieren oder waren sogar rückläufig.“