• 0228 955 0220

Social Engineering: Mitarbeiter für Datenschutz sensibilisieren

© sdecoret/Fotolia
Social Engineering

Viele Menschen sind völlig unzutreffend der Meinung, dass der Datenschutz im digitalen Zeitalter allein eine Sache der Techniker wäre. Doch das ist nicht der Fall, wie ein Blick auf die Datenzugriffe belegt, die mit dem Social Engineering erlangt werden. Menschliche Schwächen nutzen die Hacker einfach aus. Deshalb ist es für den Datenschutz in Unternehmen extrem wichtig, dass sich alle Mitarbeiter mit den Praktiken der potenziellen Datendiebe auskennen.

Was ist das beste Argument für die Beschäftigung mit dem Social Engineering

Lernen ist anstrengend und genau diesem Aufwand möchten sich viele Mitarbeiter gern entziehen. Deshalb kommt es besonders auf eine zugkräftige Motivation der Belegschaft zum Lernen an. Dabei können die Chefs ausnutzen, dass nicht nur Unternehmen zu den Zielen von Datendieben gehören. Eine der am häufigsten beim Social Engineering angewendeten Techniken ist das Phishing. Dabei handelt es sich um gefakte Websites und E-Mails, mit denen Hacker Zugangsdaten abgreifen wollen.

Das kann die Mitarbeiter auch im privaten Bereich treffen. Allein im Jahr 2014 entstanden durch Phishing im Onlinebanking in Deutschland Gesamtschäden in Höhe von 27,9 Millionen Euro. Die verstärkte Aufklärung über die beim Social Engineering genutzten Methoden bewirkte 2015 einen Rückgang auf 17,9 Millionen Euro. 2016 wurden noch Schäden in Höhe von 8,7 Millionen Euro registriert. Unternehmer sollte ihre Mitarbeiter deshalb explizit darauf hinweisen, dass Informationen rund um die „Human Firewall“ auch privat für sie sehr nützlich sind.

Welche Verhaltensweisen begünstigen das Social Engineering?

Zur Datenspionage in Unternehmen kommen neben dem Phishing weitere Taktiken zum Einsatz. Dabei wird vor allem die „Plauderfreudigkeit“ des Menschen ausgenutzt. Die Hacker sammeln beispielsweise Informationen über die hierarchischen Strukturen von Firmen. Eine wichtige Rolle spielen die Namen und Eigenheiten von Mitarbeitern und Vorgesetzten. Sie dienen beim Social Engineering dazu, einen Insider vorzugaukeln. Kommt noch das Wissen um ein konkretes technisches Problem hinzu, haben es die Datendiebe noch einfacher, denn sie können sich erfolgreich als Servicetechniker ausgeben.

Es ist also wichtig, den Hackern genau diese Informationen nicht zugänglich zu machen. Auch das gilt für den privaten Bereich genauso wie für die Arbeit. Deshalb sollten die Sicherheitsbeauftragten der Unternehmen den Mitarbeitern erklären, wie sich die Preisgabe von Detailinformationen in Social Networks auswirken kann. Die beste Vorgehensweise ist die Arbeit mit Praxisbeispielen.

Dabei könnte man beispielsweise versuchen, anhand der Informationen in den Social Networks ein komplettes Personenprofil zu erstellen. Für viele Menschen ist es sehr erschreckend, welche Zusammenhänge allein damit herausgefunden werden können. Sie sind nicht nur in Bezug auf den Datenschutz interessant. Öffentlich einsehbare Angaben über Aufenthaltsorte und Gewohnheiten werden auch von Einbrecherbanden knallhart ausgenutzt.

Welche Rolle spielt die Nötigung beim Social Engineering?

Hacker scheuen nicht davor zurück, neben dem Datendiebstahl weitere Straftaten zu begehen. Ein Beispiel dafür ist der Identitätsmissbrauch. Die Konsequenzen können Abmahnungen bei der Arbeit und finanzielle Verluste im privaten Bereich sein. Dafür nutzen die Datendiebe auch aus, dass die meisten Menschen einen gehörigen Respekt vor ihren Vorgesetzten haben. Sie drohen beispielsweise mit Beschwerden beim Vorgesetzten, wenn angeblich notwendige Aktionen von den Mitarbeitern blockiert werden.

Genau an dieser Stelle sollten Unternehmen im Interesse des Datenschutzes ebenfalls handeln. Der beste Weg ist es, Mitarbeiter erst gar nicht in solche Situationen zu bringen. Um Datendiebstähle per Social Engineering zu verhindern, sind die Organisationsstrukturen zu optimieren. Das geht am einfachsten, indem vor Fernwartungen an den Rechnern, der Mitarbeiter genaue Mitteilungen zum Zeitpunkt und zum Ausführenden erfolgen. Außerdem sollten Unternehmer ihren Mitarbeitern die Angst davor nehmen, sich in zweifelhaften Situationen mit Rückfragen an ihre Vorgesetzten zu wenden.

Warum ist strikte Konsequenz für eine funktionierende „Human Firewall“ wichtig?

Natürlich nutzen die Datendiebe auch technische Lücken in den Computersystemen aus. Der bekannteste Weg ist die Einschleusung von Scareware. Aber auch sie kann nur dann wirksam werden, wenn der Faktor Mensch hinzukommt. Meistens findet die Scareware den Weg auf die Firmenrechner über private Aktivitäten. Die Palette reicht vom Anschluss externer Datenträger bis hin zum Checken der privaten Mailaccounts.

Viele Unternehmen versuchen, das mit Komplettverboten zu unterbinden. Wirklich wirksam ist das nicht, weil es immer wieder Mitarbeiter gibt, die solche Verbote ignorieren. Die reine Aufklärung ist als Motivation zur Unterlassung nicht ausreichend. Parallel zur Sensibilisierung der Mitarbeiter sind Exempel zu statuieren. Nutzbar sind arbeitsrechtliche Konsequenzen von der Abmahnung bis hin zur fristlosen Kündigung. Das klingt hart, ist aber bei der Vermeidung von Schäden durch das Social Engineering sehr effizient.

Allerdings gibt es an dieser Stelle inzwischen ein Hemmnis in Form des sich ausbreitenden Fachkräftemangels. Ein möglicher Ausweg wäre das Verbot des Mitbringens von Datenträgern, Smartphones und Tablets in die eigentlichen Arbeitsbereiche. Das würde Taschenkontrollen erfordern, die wiederum rechtlich problematisch sind. Die Zustimmung der Mitarbeiter kann aber pauschal über Klauseln im individuellen Arbeitsvertrag eingeholt werden.

Aufklärung und die Verbote optimal ergänzen, aber wie?

Die „Human Firewall“ kann nur dann gut funktionieren, wenn die Mitarbeiter genau wissen, wie sie sich in bestimmten Situationen zu verhalten haben. Dafür erweisen sich konkrete Handlungsanweisungen als sehr nützlich. Viele Varianten von Schadsoftware werden nur durch Aktionen der Nutzer der Rechner aktiv. Ein Beispiel sind Abwandlungen von Erpressersoftware, welche eine Verschlüsselung der Inhalte ankündigen. Die Verschlüsselung erfolgt (wenn überhaupt) erst dann, wenn man den Rechner neu startet. Die Mitarbeiter müssen also wissen, dass sie genau das beim Auftauchen von Hinweisen auf erpresserischen Krypto-Schadcode nicht tun dürfen.

Unternehmen haben aber noch andere Möglichkeiten, eine zuverlässige „Human Firewall“ zu etablieren. Eine Chance ist die Entgegennahme der Mails an alle Mitarbeiter an einer zentralen Stelle. Diese muss von einem Mitarbeiter mit besonderen Kenntnissen besetzt werden. Außerdem lässt sich das direkte Öffnen von Links in Mails über individuelle Anpassungen der Client-Software unterbinden. Dadurch wird das vom „Risikofaktor Mensch“ ausgehende Schadenspotential reduziert.

Welches Fazit ist daraus für den praktischen Datenschutz zu ziehen?

Die beste Motivation für die Mitarbeiter zur Vorsicht beim Umgang mit sensiblen Daten ist der Hinweis, dass Nachlässigkeiten im Job auch Schäden im privaten Bereich nach sich ziehen können. Haben Hacker Daten der Personalabteilung erbeutet, nutzen sie diese beispielsweise für betrügerische Bestellungen. Welche weiteren Konsequenzen erfolgreiche Hackeraktivitäten haben können, hat die Hackerattacke auf Sony im Jahr 2014 bewiesen. Damals erbeutete man Mails, in denen sich Sony-Führungskräfte über diverse Filmschaffende und auch über den damaligen US-Präsidenten Barack Obama ausgetauscht hatten. Dadurch wurde dieser Hackerangriff in den USA praktisch zur „Staatsaffäre“


Das könnte Sie auch interessieren: Datenanalyse – Welche Daten dürfen Mitarbeiter analysieren?

* Selbstverständlich können Sie den 150 Euro Gutschein sowie eBooks und Leitfäden auch unabhängig von einer Newsletter-Anmeldung anfordern. Schreiben Sie uns dazu bitte eine kurze E-Mail mit Link zu dieser Seite.

Copyright © 2019 [r]evolution. Impressum | Datenschutz