Passives Social Engineering

Das Social Engineering gehört nicht ohne Grund zu den größten Gefahren im Unternehmensalltag. Insbesondere passives Social Engineering kann dabei den Datenklau begünstigen. Dabei ist es fast immer die Unwissenheit von Mitarbeitern, die Hacker heimtückisch ausnutzen. Dahinter steht jedoch stets dasselbe Ziel: An sensible Daten zu gelangen. Deshalb ist es für Unternehmen umso wichtiger, sich vor solchen Angriffen zu schützen.

Was ist passives Social Engineering?

Der Begriff Social Engineering bezieht sich auf die zwischenmenschliche Beeinflussung, durch die sich vorhersehbare Verhaltensweisen hervorrufen lassen. Dazu gehört beispielsweise das freiwillige Preisgeben von Informationen.

Eine der bekanntesten Taktiken ist das Phishing. Dabei erhalten Personen täuschend echt wirkende E-Mails, die von unterschiedlichsten Absendern stammen können. Wer auf einen hierin enthaltenen Link klickt, landet auf einer gefälschten Zielseite. Geben Betroffene dort Anmeldeinformationen oder Passwörter ein, können Cyberkriminelle sie problemlos einsehen.

Während sich klassisches Social Engineering auf die zwischenmenschliche Interaktion ausrichtet, lässt das passive Social Engineering diesen Faktor aus. Das bedeutet, die Angreifer spionieren die Betroffenen im Geheimen aus. Die folgenden Beispiele zeigen typische Szenarien:

  • Potenzielle Angreifer belauschen die Gespräche von Personen.
  • Durch die Installation präparierter Hard- oder Software lassen sich die Computer von Mitarbeitern problemlos ausspähen.
  • Ein unbeobachteter Blick über die Schulter eines Angestellten ermöglicht es, Passwörter oder personenbezogene Daten
  • Dokumente, die im Papierkorb oder im Papiermüll liegen, werden auf der Suche nach Informationen durchsucht.

Was sind die Gefahren durch passives Social Engineering?

Obwohl sich viele Unternehmen darum bemühen, ihre Umgebung sicher zu gestalten, gelingt dieser Vorsatz nicht immer. Schließlich nutzt das Social Engineering keine systemseitigen Schwachstellen aus, sondern die Arglosigkeit von Mitarbeitern. Das macht es umso schwieriger, die Gefahr zu bannen.

Durch das passive Social Engineering ist es möglich, dass Cyberkriminelle an vertrauliche Daten gelangen. Daraus resultieren Datenschutzverstöße, die mit hohen Bußgeldern einhergehen. Zudem kann dem Unternehmen ein Imageschaden drohen, sollte der Datenklau publik werden.

Eine weitere Gefahr liegt in der Installation von Schadsoftware. Mit ihrer Hilfe gelingt es Hackern, entweder Computer oder ganze Firmennetzwerke auszuspionieren. Dieses interne Wissen lässt sich anschließend vielfältig nutzen.

Übrigens: Der Faktor Mensch spielt beim Social Engineering eine zentrale Rolle. Deshalb ist es sinnvoll, die Mitarbeiter in Form einer Datenschutzberatung für potenzielle Gefahren zu sensibilisieren. Auch ein Datenschutzbeauftragter für Datenschutz am Arbeitsplatz kann bei diesem Unterfangen helfen. Schließlich sind bereits nicht gesperrte Bildschirme von Mitarbeitern ein gerne genutztes Einfallstor.

Das können Sie tun, um Ihr Unternehmen zu schützen

Um Angriffen durch Social Engineering vorzubeugen, ist es sinnvoll, die wichtigsten Vorsichtsmaßnahmen zu ergreifen. Wichtig dabei ist, dass sich diese Gefahr keineswegs allein durch technische Vorkehrungen ausräumen lässt. Stattdessen ist es notwendig, die Mitarbeiter einzuweisen und sie auf mögliche Risiken hin zu schulen. Durch ein besseres Sicherheitsbewusstsein im IT-Umfeld gelingt es viele Social Engineering Attacken abzuwenden, bevor sie Schaden anrichten können.

  1. Fremde oder unbekannte Speichermedien meiden: Potenzielle Angreifer nutzen häufig präparierte Geräte, auf denen Schadsoftware aufgespielt ist. Es ist deshalb ratsam, keine fremden Medien an den PC anzuschließen.
  2. Bildschirm in der Pause sperren: Selbst wenn Mitarbeiter nur für ein paar Minuten Pause machen, sollten sie unbedingt darauf achten, das Gerät zu sperren. Zusätzlich ist ein ausreichender Passwortschutz notwendig, damit niemand den PC in Abwesenheit nutzen kann.
  3. Hardware und Dokumente richtig entsorgen: Bevor man Geräte oder Speichermedien entsorgt, sollten sie frei von sämtlichen Informationen sein. Dokumente hingegen gehören nicht einfach in die Papiertonne, sondern in den Schredder – das gilt selbst im Homeoffice.
  4. Fernortung aktivieren: Die Fernortung an einem Gerät zu aktivieren, ermöglicht es, die Hardware im Falle eines Diebstahls wiederzufinden.
  5. Eine sichere Arbeitsumgebung schaffen: Social Engineering erfolgt oft am Arbeitsplatz. Deshalb ist es wichtig, dass das Büro ausreichend sicher gestaltet ist. Ein Blickschutzfilter hilft beispielsweise dabei, fremde Einblicke abzuwehren. Zusätzlich sollten die Mitarbeiter darauf achten, dass sich keine fremden Personen in der Nähe der Arbeitsgeräte aufhalten.

 

Bild: AdobeStock_191656700, Feodora

Leave a Reply