Sicherheitsrisiko
Mit Methoden des ‚Social Engineering‘ können Datendiebe die Sicherheitssysteme von Unternehmen überwinden. Unterstützung bei diesen Angriffen bekommen Sie von arglosen, hilfsbereiten Mitarbeitern des angegriffenen Unternehmens.
Wir haben einige beispielhafte Szenarien für Sie einmal dargestellt:
Szenario 1: Schwachstelle Hilfsbereitschaft
Ein sympathischer, gut gekleideter, junger Mann betritt den Eingangsbereich eines Unternehmens. Er erkundigt sich nach einem führenden Mitarbeiter, mit dem er angeblich zum Essen verabredet ist. Nennen wir diesen Manager: ‚Herrn Müller‘. Herr Müller ist jedoch in einer Besprechung, was dem Besucher aufgrund zuvor durchgeführter telefonischer Ermittlungen durchaus bekannt ist. Der Besucher beschließt, im Foyer oder im Wartezimmer zu warten. Er klappt sein Laptop auf um ‚zu arbeiten‘. Nach 10 Minuten fragt er nochmals nach Herrn Müller. Als er erfährt, dass dieser noch immer in der Besprechung ist, bittet er darum, ob es möglich sei, dass er während der Wartezeit in einem ruhigeren Besprechungsraum arbeiten könne. Tatsächlich verschafft er sich in diesem Besprechungsraum mit spezieller Software Zugang zu Ihrem firmeneigenen Netzwerk. Gerade für das Personal am Empfang ist ‚Hilfsbereitschaft‘ eine Selbstverständlichkeit. Bei einem ‚Ja, natürlich‘ hat der Besucher gewonnen – oder können Sie garantieren, dass in jedem Besprechungsraum die Netzwerkzugänge einem Angriff standhalten? Bedenken Sie bei Ihrer Antwort, dass der Angreifer innerhalb des eigenen Unternehmens ist. Es gibt also kaum noch technische Hindernisse, die überwunden werden müssten. ‚Frechheit siegt‘ und genau darauf basiert dieser Angriff!
Szenario 2: Soziale Bestätigung
Das Telefon in Ihrer Marketingabteilung klingelt. Am Apparat ist ein Marktforschungsinstitut. Der Anrufer gibt an, dass er diesen Anruf mit dem – überraschenderweise gerade heute nicht anwesenden Abteilungsleiter – besprochen hat. Dieser hat Sie als kompetenten Ansprechpartner benannt. Können Sie da ‚Nein‘ sagen? Doch eher unwahrscheinlich!
Und schon beginnt die ‚Umfrage‘: Wie viele Mitarbeiter hat die Firma? Wie viele davon arbeiten am PC? Welches Betriebssystem haben die PCs? Gibt es eine Firewall? Wird eine Antivirenschutz-Software eingesetzt? Wie lautet die Benutzerkennung? Wie viele Zeichen hat Ihr Passwort? (Hinweis des Anrufers an dieser Stelle: Sagen Sie auf gar keinen Fall Ihr Passwort, sondern nur die Anzahl der Buchstaben!!) Wie entsorgen Sie Müll? Was machen Sie mit alten CDs und Disketten? Und noch ein paar weitere Fragen zu Öffnungszeiten und anderen völlig banalen Sachen.
Der Mitarbeiter antwortet auf die Fragen, weil ja schließlich sein Vorgesetzter ihn genau dafür ausgewählt hat. Die Hoffnung: Je besser die Mitarbeit, umso größer die Anerkennung. Wie viele Mitarbeiter würden bei diesen guten Aussichten die Antwort verweigern?!
Aus einer solchen ‚Umfrage‘ kann eine Vielzahl von Informationen herausgezogen werden, die dem Anrufer dann einen gezielten Angriff auf Ihr Unternehmen ermöglichen. Wichtig ist, dass brisante Fragen in ein möglichst allgemeines Umfeld eingebettet werden. Technisches Know-how ist hier nicht erforderlich. Der Anrufer muss einzig und alleine gut und überzeugend reden können.
Szenario 3: Eine (von vielen) technische Variante
Eine Führungskraft hat ein Notebook mit Wireless-LAN (WLAN). Damit der Manager auch zu Hause arbeiten kann, richtet er sich privat ein WLAN ein. Es wird nur unzureichend oder gar überhaupt nicht geschützt. Dadurch ist es jedem Datendieb ein Leichtes, alle drahtlos übertragenen Dateien ‚mitzulesen‘, zum Beispiel E-Mails, und Office-Dokumente. Dehnen Sie dieses Szenario auf die ‚Hot-Spots‘ von Flughäfen, Bahnhöfen und Hotels aus, die in der Regel ohnehin unverschlüsselt arbeiten, dann wird das Gefahrenpotenzial offensichtlich.
Diese drei simplen Geschichten zeigen, mit welch‘ einfachen und ohne besondere Vorkenntnisse durchführbaren Mitteln ein Datendiebstahl möglich wird, wenn der Mitarbeiter die vorhandenen Sicherheitstechnologien nicht richtig einsetzt oder sie privat sogar für überflüssig hält. Der Angreifer braucht nicht viel Know-how um die Sicherheitslücken zu erkennen und auszunutzen.
Bei einer halbstündigen ‚Testfahrt‘ durch das Industriegebiet ‚Frankfurt-Niederrad‘ fanden unsere Spezialisten mehr als zehn ungeschützte WLAN-Zugänge, teilweise von namhaften Firmen!
Das Fazit!
Das waren nur drei von einigen Dutzend realistischen Szenarien. Mit ein wenig Fantasie kann sich jeder Geschäftsführer kinderleicht weitere Varianten ausmalen.
Nutzen Sie also unsere Fachkenntnis und unsere jahrelange Erfahrung um Ihre Mitarbeiter zu schulen, zu sensibilisieren und Ihr eigenes Unternehmen so vor möglichen Schäden zu bewahren – Schäden, die leicht in die Hunderttausende Euro gehen können.
Alle Ihre Mitarbeiter sollten die Methoden eines Social-Engineering-Angriffs kennen lernen. Auf dieser Basis werden dann durch unsere TÜV-zertifizierten Fachberater Sicherheitsleitlinien speziell für Ihr Unternehmen entwickelt und im Anschluss daran Schulungen Ihrer Mitarbeiter durchgeführt.
Sprechen Sie uns an, wir beraten Sie gerne…
Über den Autor: Marcus R. Lentz
Marcus R. Lentz, Jahrgang 1968, ist ZAD geprüfter Privatermittler (IHK), Mediator (Univ.) und sachverständiger Fachgutachter für das Detektei- und Bewachungsgewerbe und in dieser Funktion für zahlreiche Gerichte und Anwaltschaften als Fachgutachter tätig, seit 1987 als Privatdetektiv tätig; seit 1995 als selbständiger Detektiv und geschäftsführender Gesellschafter tätig und spezialisiert auf Ermittlungen und Internetrecherchen.
In seiner Freizeit ist der zweifache Vater viel und gern mit dem Motorrad unterwegs und Inhaber einer PPL(A)-Privatpilotenlizenz.
Nehmen Sie Kontakt auf.
Das sagen unsere unsere Mandanten
Kundenbewertungen für Lentz GmbH & Co. Detektive KG
Oliver P., Leipzig
K.H. Reichelt, Wolfsburg
S. Mesner, Herne