Lernlabor Cybersicherheit
Lernlabor Cybersicherheit

Selektionsgolf – Verantwortungsvoller Umgang mit sensiblen Informationen

Wer jemals den Schläger geschwungen hat, ob auf der Minigolf-Anlage oder der Driving Range, weiß: Jeder Schlag will wohl überlegt sein, denn nur so erreicht der Ball das gewünschte Ziel. Wer hingegen unbedacht drauflos schießt, verliert den Ball oder trifft ein falsches Ziel. Ebenso verhält es sich im Zeitalter der digitalen Kommunikation mit der Weitergabe von Informationen: Vorschnelles Weiterleiten von E-Mails an große Verteiler birgt nicht nur die Gefahr, dass sich wichtige Empfänger nicht zuständig fühlen. Auch können Informationen dadurch in falsche Hände geraten. Während die Gefahren unternehmensintern in der Regel noch überschaubar sind, kann eine achtlose Weiterleitung von internen Dokumenten an Kunden – oder gar Wettbewerber – ernsthafte Konsequenzen haben.

 

Risiko Social Engineering

Auch die Preisgabe von (persönlichen) Informationen auf sozialen Medien birgt Risiken. So ist es für Millionen von Berufstätigen heute selbstverständlich, ein Profil auf einem Business-Netzwerk wie Xing oder LinkedIn zu unterhalten. Dort sind neben dem Namen und der Position auch die Zuständigkeiten beim Arbeitgeber oftmals öffentlich zu finden. Weitere persönliche Details und vertrauliche Informationen zur Person oder beispielsweise Vorgänge und Gepflogenheiten im Unternehmen sollten dort aber keinesfalls veröffentlicht werden. Denn diese können Cyber-Kriminellen als Einstieg für das Social Engineering dienen: Indem sie durch Hintergrundwissen eine Vertraulichkeit herstellen und über weitere Manipulationen internes Wissen erlangen. Auf diese Weise kann Schadsoftware zu Zwecken der Spionage oder Sabotage in Unternehmensnetzwerke eingeschleust werden (etwa durch infizierte E-Mail-Anhänge). Aber sie können damit auch die digitale Identität von beispielsweise Top-Managern übernehmen und Entscheidungsträger im Unternehmen so manipulieren, dass diese ihnen Zahlungsvorgänge autorisieren. Dieses CEO-Fraud (CEO-Betrug) genannte Phänomen hat so manches Unternehmen bereits viel Geld gekostet.

Neben dem CEO-Betrug hat Social Engineering noch weitere Spielarten und Ziele: Kriminelle geben sich beispielsweise als Techniker aus, um Opfern Passwörter zu entlocken oder auf eine schädliche Website zu locken, über die ebenfalls Spionage- oder Erpressersoftware ins Unternehmensnetz geschleust werden können. Die E-Mail-Kommunikation hilft dabei den Tätern. Denn im Unterschied zur persönlichen können sie sich bei der schriftlichen Kommunikation deutlich effektiver hinter einer erdachten Identität verstecken. Häufig geben sich Täter aber auch am Telefon als Systemadministratoren aus und versuchen, ihrem Gesprächspartner Passwörter zu entlocken, um einen Systemfehler oder ein Sicherheitsproblem zu beheben. Hier nutzen sie die Hilfsbereitschaft der Mitarbeiter aus sowie den Umstand, dass technische Barrieren wie Spam-Filter dort nicht wirken.

 

Erste Schutzmaßnahmen

Eine Handvoll einfacher Tipps helfen, beim Selektionsgolf zu einem beachtlichen Handicap zu gelangen:

  • E-Mails und Dokumente lieber einem handselektierten Verteiler weiterleiten – auch wenn es länger dauert, als einen vorkonfigurierten zu verwenden.
  • Immer achtsam sein bei unbekannten und unerwarteten E-Mails oder Kontaktaufnahmen von Unbekannten in sozialen Netzwerken. Nicht selten verbergen sich dahinter Phishing-Versuche. Im Zweifel entweder löschen oder unbeantwortet lassen, oder nach Möglichkeit den Absender recherchieren oder telefonisch Kontakt aufnehmen.
  • Nur die wenigsten persönlichen und beruflichen Informationen in sozialen Netzwerken preisgeben. Die Einstellungen zur Sichtbarkeit von Profilinformationen und Privatsphäre immer möglichst restriktiv einstellen  - am besten für einen eingeschränkten Nutzerkreis.
  • Nutzerkontendaten oder gar Passwörter niemals preisgeben. Niemand mit ehrlichen Absichten wird jemals danach fragen – besonders nicht die IT-Administratoren Ihres Unternehmens.

 

Um das Wissen über die Risiken des Social Engineering zu vertiefen und alle Mitarbeiter im Unternehmen gegen dieses Cyber-Risiko zu schützen, bietet die Fraunhofer Academy das eintägige Seminar „Security Awareness – Bewusstsein schaffen, Sicherheit gewinnen“ an. Teilnehmerinnen und Teilnehmer erfahren dort unter anderem, wie Social Engineering-Angriffe funktionieren und welche Schutzmaßnahmen existieren. Das Seminar kann auf Wunsch auch als Inhouse-Schulung in Unternehmen durchgeführt werden.