Wenn Angreifer Menschen statt Systeme hacken

Durch ihren strategischen, einmaligen und innovativen Charakter bieten Unternehmen, gerade im Mittelstand, immer wieder ein wertvolles Angriffspotenzial für Dritte, zum Beispiel Nachrichtendienste anderer Länder oder Cyberkriminelle. Rufschädigung, Produktionsstillstand, Insolvenz, Vertrauensverlust und finanzieller Schaden können Auswirkungen sein, wenn das Thema Datensicherheit im Unternehmen nicht mit der notwendigen Sorgfalt betrachtet wird.

Viele Unternehmensverantwortliche sind der Meinung, Datensicherheit sei ein Thema der IT, und vertrauen auf technische Maßnahmen, um ihr Unternehmen vor Cyberangriffen zu schützen. Oft heißt es: „Wir haben eine Firewall und einen guten Administrator, uns kann nichts passieren.“ Oder: „Das passiert doch nur den anderen.“ Dabei wird jedoch der Faktor Mensch nicht in Betracht gezogen und in Sachen Datensicherheit unterschätzt.

Interne oder externe Beschäftigte werden häufig – gewollt oder ungewollt – zur Angriffsfläche auf wertvolle und vertrauliche Unternehmenswerte. Denn um einen Weg an den Sicherheitsmaßnahmen der IT vorbei zu finden, nutzen Angreifer zunehmend die vielversprechenden Mittel des sogenannten Social Engineering. Social Engineering ist eine Methode, um durch zwischenmenschliche Beeinflussung Zugang zu Informationen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften, wie zum Beispiel Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität, ausgenutzt. Diese Eigenschaften dienen einem Angreifer oft als Ablenkungsstrategie, um Beschäftigte zu einer unbedachten oder fahrlässigen Handlung zu verleiten.

Bei gezielten Tests auf Schwachstellen finden Experten fast in jedem Unternehmen Wege, um Informationen zu beschaffen, die dabei helfen, einen Angriff zu planen und durchzuführen. Eine bewährte Gegenmaßnahme ist, die Organisation in Bezug auf mögliche Social-Engineering-Angriffe zu sensibilisieren und Security Awareness zu schaffen. Die folgenden Aspekte sollten Unternehmen dabei im Blick haben:

Menschliche Barrieren

Durch sicheres und forsches Auftreten oder Vorspiegelung falscher Tatsachen, zum Beispiel indem er sich als Techniker oder Paketbote ausgibt, kann sich ein Angreifer Vertrauen verschaffen und so Eingangskontrollen überwinden. Maßnahmen:

• Die Mitarbeiter regelmäßig sensibilisieren und
• klare Regelungen für Zugang und Zutritt schaffen!

Raucherbereiche

Eine beliebte Informationsquelle ist der Raucherbereich. Meist außerhalb von Gebäuden eines Unternehmens wird in diesem oft offen über Probleme und Neuigkeiten diskutiert. Ein unbekannter Dritter fällt meist nicht auf. Maßnahme:

• Die Mitarbeiter regelmäßig sensibilisieren!

Zentrale Abteilungsdrucker

Oft findet man dort sehr vertrauliche Ausdrucke, die nicht zeitnah abgeholt wurden. Besonders wertvoll ist das Ablagefach oder der Papierkorb neben den Druckern. Ist ein Ausdruck nicht auffindbar, wird nochmals gedruckt, weil man denkt, dass der Druck nicht funktioniert hat. Maßnahme:

• Den Abteilungsdrucker durch eine PIN schützen!

Papierkörbe oder Papiercontainer

Vertrauliche Informationen werden im Papierkorb entsorgt und zum Beispiel von Reinigungskräften in Papiertonnen oder -container entleert, die öffentlich zugänglich sind. Maßnahmen:

• Leicht zugängliche Schredder mit der notwendigen Sicherheitsstufe (DIN 66399) bereitstellen und
• Datensicherheitstonnen nutzen!

Social Media

Mitarbeiter veröffentlichen Informationen über Internas des Unternehmens in Social-Media-Kanälen wie Facebook, Instagram oder Xing. Maßnahme:

• Verbindliche „Social-Media-Hygiene-Vorschrift“ einführen! Diese gibt vor, wer über welchen Kanal wann welche Informationen über das Unternehmen veröffentlichen darf.

Reinigungskräfte

Reinigungskräfte, die nach Dienstschluss die Büroräume säubern, wenn alle Mitarbeiter in ihren verdienten Feierabend gegangen sind, haben Zugang zu nahezu allen Bereichen des Unternehmens (teilweise mit Generalschlüssel). Maßnahmen:

• Dienstleister sorgfältig auswählen
• klare Dienstanweisungen geben, wer nach Dienstschluss ohne Berechtigung die Büroräume betreten darf, und
• Zutritte protokollieren!

Besprechungszimmer

Oftmals findet man in Besprechungszimmern an Flip Charts und Whiteboards wertvolle Informationen, Ideensammlungen, Strategieskizzen und so weiter. Maßnahme:

• verbindliche Regeln, wie ein Besprechungszimmer nach der Besprechung zu hinterlassen ist.

Arbeitsplatz

Beschäftigte lassen vertrauliche Unterlagen auf ihrem Schreibtisch liegen oder sperren ihren Monitor nicht, wenn Sie den Arbeitsplatz für längere Zeit verlassen. Maßnahme:

• „Clean-Desk-Policy“ (aufgeräumter Schreibtisch) etablieren und
• den Monitor automatisch sperren nach 5 Minuten ohne Aktivität am PC-Arbeitsplatz!

Zugriffe auf gespeicherte Daten

Beschäftigte haben auf mehr Daten Zugriff, als sie für ihre tägliche Arbeit benötigen. Man spricht zum Beispiel vom „Azubi“-Effekt. Auszubildende, die während ihrer Ausbildungszeit vielerlei Abteilungen durchlaufen, haben am Ende ihrer Ausbildung oftmals Zugriff auf viele Systeme und Daten, weil Berechtigungen nicht entzogen werden. Maßnahme:

• Berechtigungen restriktiv vergeben und
• Verantwortliche überprüfen regelmäßig, welche Zugriffsberechtigungen notwendig sind!

Autor: Joachim A. Hader

(c)2019
Vogel Communications Group