Zur Navigation springen Zum Inhalt springen Zum Footer springen

Sicherheitslücke Mensch - Angriffe durch Social Engineering

Rechtstipp vom 24.11.2015
(14)
Rechtstipp vom 24.11.2015
(14)

Ausgangspunkt

Entsprechend den Vorgaben des § 9 BDSG in Verbindung mit der entsprechenden Anlage des Gesetzes sind Unternehmen in der Regel gut gerüstet, was die systemseitige Absicherung der IT anbelangt. So erlaubt die technische Komponente in der Regel den Schutz personenbezogener Daten mithilfe von Verschlüsselung, Passwortschutz, Virenscanner, etc. Ein nicht zu unterschätzendes Sicherheitsrisiko ist allerdings noch immer der Mensch, was aktuelle Erkenntnisse zum Social Engineering belegen.

Was ist Social Engineering?

Das sog. Social Engineering steht für die zwischenmenschliche Beeinflussung zur Erlangung vertraulicher Informationen oder zum Zwecke des Zugriffs auf IT-Systeme. In manipulativer Weise werden hierbei menschliche Eigenschaften ausgenutzt, um von Mitarbeitern unternehmensinterne Informationen zu erlangen. Die Beeinflussungen können hierbei durch Ausnutzen der Hilfsbereitschaft, von Vertrauen, Angst oder Gutgläubigkeit erfolgen und funktioniert nicht nur mithilfe von E-Mails oder Webseiten, sondern auch über sonstige Kommunikation wie bspw. Chat-Dienste, Anrufe, Fax-Nachrichten oder gar mittels persönlichem Kontakt.

Angriffe durch Social Engineering

Die klassischen Angriffsmethoden des Social Engineering sollen hier kurz dargestellt werden.

Die Manipulation per Telefonanruf kann bspw. dadurch erfolgen, dass sich der Anrufer als Mitarbeiter oder Kollege bzw. Vorgesetzter ausgibt und unter dem Vorwand „schnell etwas erledigen zu müssen, allerdings sein Passwort vergessen hat“. Vielfach wird hierbei auch ein technischer Mitarbeiter oder Administrator als vermeintlicher Kollege angegeben, welcher ein dringendes Problem beheben soll und deshalb sofortigen Zugriff auf das Unternehmensnetzwerk benötigt.

Eine ebenfalls gängige Methode sind die zwischenzeitlich bekannten Pishing-Mails in welchen die Nutzer aufgefordert werden über einen eingebetteten Link und einer zugehörigen eventuell manipulierten oder vorgetäuschten Webseite Login-Daten und Passwörter einzugeben. Wird dies gemacht erhalten die Angreifer hiervon Kenntnis und damit Zugang zu den entsprechend geschützten Bereichen.

Verbreitet ist auch die Methode, dass präparierte Medien wie bspw. USB-Sticks oder CD-ROMs in Unternehmen verbracht oder an Mitarbeiter verteilt werden. Diese Fundstücke oder Geschenke enthalten dann Malware in Form von Viren oder Trojanern, welche sich bei der Benutzung durch die gutgläubigen oder neugierigen Mitarbeiter selbst installieren und so in das Unternehmensnetzwerk geschleust werden. Als Folge erhalten die Angreifer die Möglichkeit, Daten auszulesen oder sogar einen Remote-Zugriff von außen.

Mitarbeiter sensibilisieren

Viele IT-Experten halten die „Sicherheitslücke Mensch“ als die größte Schwachstelle, zumal es hier nicht möglich ist mithilfe von Updates oder Patches eventuelle Probleme zu beheben. Hier ist es wichtig, die Mitarbeiter des Unternehmens durch entsprechende Aufklärung und Datenschutzunterweisungen über die Gefahren aufzuklären und eine Sensibilisierung herbeizuführen. Auch können entsprechend geschulte Mitarbeiter durch ein geschärftes Gefahrenbewusstsein Social Engineering-Angriffe besser identifizieren und damit eine Gefährdung verhindern.

Datenschutzbeauftragter

In jedem Fall kann ein von Seiten des Unternehmens eingesetzter Datenschutzbeauftragter zur Klärung der offenen Fragen und durch entsprechende Schulungsmaßnahmen der Mitarbeiter auch im Hinblick auf Social Engineering zur rechtssicheren Handhabung sowie zu einem effektiven Datenschutz im Betrieb beitragen.

Bitte beachten Sie, dass vorstehende Zusammenfassung einen Überblick über die bestehende Rechtslage darstellt. Eine ausführliche und individuelle Beratung im Zusammenhang mit konkreten Einzelfällen kann hierdurch nicht ersetzt werden.


Rechtstipp aus dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.