„Social Engineering“ ist eine weit verbreitete Angriffsmethoden auf die IT-Sicherheit, bei der sich der Angreifer der Manipulation von Personen bedient um an sensible Informationen von Unternehmen oder Privatpersonen zu gelangen. DATEV und die Initiative „Deutschland sicher im Netz e.V.“ haben hierzu „Verhaltensregeln zum Thema Social Engineering“ erarbeitet und veröffentlicht.

RISIKO „SOCIAL NETWORK“

Die Verhaltensregeln betreffen insbesondere fünf erhöhte Risiken. Das erste davon findet sich in Form der sozialen Netzwerke, denen sich heutzutage kaum noch jemand entzieht. Doch kennen viele Nutzer nur einen geringen Teil ihrer „freunde“ in den Netzwerken tatsächlich auch persönlich. Auch kann sich jeder auf diesen Netzwerken als jede x-beliebige andere Person oder Unternehmen ausgeben. Andere Social Engineers erschleichen sich hierüber auch langsam das Vertrauen um an Informationen zu gelangen. Auch können so Vorlieben ausgekundschaftet oder gefährliche Links verbreitet werden.

RISIKO „LAUSCHANGRIFF“

Unter Lauschangriffen versteht man nicht nur die klassische „Wanze“ aus Spionagefilmen. In der heutigen Zeit versteht man darunter durchaus auch den Einsatz von sogenannter Malware oder Spyware um die Geräte von Nutzern auszuspionieren. Aber auch Phishingangriffe, bei denen versucht wird dem Nutzer über eine vorgegaukelte E-Mail eines seriösen Unternehmens sensible Daten zu entlocken zählen dazu.

RISIKO „TELEFON“

Auch am Telefon ist man nicht sicher vor Social Engineering. Hier versucht man mit falschen Angaben an Informationen zu gelangen. Der Angreifer gibt sich als Techniker eines vertrauten Unternehmens aus und verlangt Zugriff auf Ihre Geräte. Aber auch weniger verdächtige Angriffe, bei denen vermeintlich unbedenkliche Informationen erfragt werden können dem Social Engineer bereits zu wichtigen Rückschlüssen verhelfen.

RISIKO „USB-STICK“

Ein gefundener USB-Stick ist was tolles. Schnell an den PC angesteckt um zu sehen wie viel Speicherkapazität er denn hat und um ihn für den eigenen Gebrauch zu formatieren. Schließlich sind diese Sticks teuer. Aber schon ist es passiert, der Stick installiert unbemerkt Malware und der Angriff ist schon passiert. Social Engineers „verlieren“ solche USB-Sticks natürlich absichtlich auf dem Firmengelände.

RISIKO „INNENTÄTER“

Als Innentäter bezeichnet man zum einen den Social Engineer der sich als Mitarbeiter Ihrer Firma ausgibt, oder sich unbefugt Zugang zum Firmengelände verschafft hat, zum anderen aber den eigenen Mitarbeiter, der mit krimineller Absicht versucht dem Unternehmen zu schaden. Vielleicht möchte er Informationen an andere Unternehmen verkaufen, oder diese als Einstandsgeschenk zum neuen Unternehmen mitnehmen.

RISIKEN UND VERHALTENSREGELN

Der Leitfaden beschreibt diese Risiken ausführlich und gibt auch entsprechende Verhaltensregeln zu jedem einzelnen Punkt an die Hand. Zu guter Letzt kann man sich anhand einer Selbsteinschätzung auf seine eigene Anfälligkeit überprüfen und damit jeder Mitarbeiter sich der Gefahr auch ständig bewusst bleibt gibt es noch eine Erinnerungs-Karte mit den fünf größten Risiken zum download. DATEV und Sicher im Netz e. V. bieten hiermit ein wertvolles Instrument zur IT-Sicherheit an, das wir auch nur weiterempfehlen können.