Schutz von Insidern vor Bedrohungen durch Social Engineering

Veröffentlicht: 18. Aug 2006
Auf dieser Seite

Einführung
Bedrohungen durch Social Engineering und Gegenmaßnahmen
Entwerfen von Schutzmaßnahmen gegen Bedrohungen durch Social Engineering
Implementieren von Schutzmaßnahmen gegen Bedrohungen durch Social Engineering
Anhang 1: Checklisten für Social-Engineering-Sicherheitsrichtlinien
Anhang 2: Glossar

Einführung

Willkommen bei diesem Dokument aus der Reihe der Sicherheitsleitfäden für mittelgroße Unternehmen. Microsoft hofft, dass Ihnen die folgenden Informationen beim Erstellen einer sichereren und produktiveren Computerumgebung helfen werden.

Zielgruppe dieses Dokuments

Das vorliegende Dokument enthält sicherheitsrelevante Informationen über die Gefahren, die durch Social Engineering drohen, und die Maßnahmen, mit denen zum Schutz vor Social-Engineering-Hackern beigetragen werden kann. Bei Social Engineering geht es primär um nichttechnische Bedrohungen der Unternehmenssicherheit. Die vielfältige Art dieser potenziellen Bedrohungen macht es erforderlich, dass Mitarbeiter verschiedener Management- und Technikbereiche eines Unternehmens über die Gefahren und die mögliche Schutzmaßnahmen informiert werden. Hierzu gehören unter anderem folgende Bereiche:

  • Unternehmensvorstand

  • Technische Betriebs- und Dienstleiter

  • Kundendienstpersonal

  • Sicherheitspersonal

  • Geschäftsführung

Übersicht

Um Ihr Unternehmen anzugreifen, nutzen Social-Engineering-Hacker die Gutgläubigkeit, Bequemlichkeit, Höflichkeit oder sogar die Begeisterungsfähigkeit Ihrer Mitarbeiter aus. Deshalb ist es schwierig, sich vor einem solchen Angriff zu schützen, denn die Opfer merken unter Umständen gar nicht, dass sie hinters Licht geführt wurden, oder sträuben sich, dies zuzugeben. Die Motive eines Social-Engineering-Hackers – einer Person, die versucht, unbefugterweise Zugriff auf Ihre Computersysteme zu erlangen – ähneln denen von anderen Hackern: Sie wollen an Geldmittel, Informationen oder IT-Ressourcen Ihres Unternehmens gelangen.

Ein Social-Engineering-Hacker versucht, Ihre Mitarbeiter zur Preisgabe von Informationen zu überreden, die ihn befähigen, Ihre Systeme oder Systemressourcen zu nutzen. Ein solches Vorgehen wird üblicherweise als Trickbetrug bezeichnet. Viele mittelgroße und kleine Unternehmen sind der Ansicht, dass Hackerangriffe ein Problem für große Konzerne oder Institutionen sind, bei denen sehr viel Geld zu holen ist. Dies mag in der Vergangenheit so gewesen sein. Der Anstieg der Internetkriminalität bedeutet jedoch, dass es Hacker nun auf alle Sektoren der Community abgesehen haben, vom Großkonzern bis zum Einzelbenutzer. Viele Kriminelle bestehlen Unternehmen direkt, indem sie Finanzmittel und Ressourcen umleiten. Andere verwenden jedoch auch Unternehmen als Stützpunkt für kriminelle Aktionen gegen andere. Auf diese Weise sind sie für die Behörden wesentlich schwerer zu fassen.

Um Ihre Mitarbeiter vor Social-Engineering-Angriffen zu schützen, müssen Sie wissen, welche Arten von Angriffen zu erwarten sind, verstehen, was die Hacker wollen, und abschätzen, welche Verluste dies für Ihr Unternehmen bedeuten könnte. Mit diesem Wissen können Sie Ihre vorhandene Sicherheitsrichtlinie um Abwehrmaßnahmen gegen Social-Engineering-Angriffe erweitern. In diesem Dokument wird vorausgesetzt, dass Sie bereits eine Sicherheitsrichtlinie haben, in der die Ziele, Praktiken und Verfahren festgelegt sind, die das Unternehmen zum Schutz seines Informationsbestands, seiner Ressourcen und seiner Mitarbeiter vor technologischen oder physischen Angriffen für nötig erachtet. Die Änderungen an Ihrer Sicherheitsrichtlinie helfen den Mitarbeitern richtig zu reagieren, wenn sie einer Person oder Computeranwendung gegenüberstehen, die sie zu drängen oder zu überreden versucht, geschäftliche Ressourcen herauszugeben oder Sicherheitsinformationen preiszugeben.

Bedrohungen durch Social Engineering und Gegenmaßnahmen

Social-Engineering-Hacker nutzen für ihre Angriffe vor allem folgende fünf Kanäle:

  • Online

  • Telefon

  • Abfallentsorgung

  • Persönliche Kontakte

  • Reverse Social Engineering

Doch es geht nicht nur darum, diese Angriffspunkte zu erkennen, sondern auch zu wissen, worauf es der Hacker voraussichtlich abgesehen hat. Die Motive von Hackern beruhen auf dem Streben nach Dingen, die uns alle antreiben: Geld, sozialer Aufstieg und Selbstwertgefühl. Hacker wollen Ihr Geld oder Ihre Ressourcen, sie wollen Anerkennung in der Gesellschaft oder unter ihresgleichen, und sie möchten stolz auf sich selbst sein. Leider versuchen Hacker, diese Ziele illegal durch Diebstahl oder die Beschädigung von Computersystemen zu erreichen. Angriffe jeder Art sind für Ihr Unternehmen kostspielig, sei es wegen entgangener Umsätze, entwendeter Ressourcen, veruntreuter Informationen, eingeschränkter Verfügbarkeit oder beschädigter geschäftlicher Glaubwürdigkeit. Bei der Planung der Schutzmaßnahmen gegen solche Bedrohungen sollten Sie abschätzen, wie viel Sie ein Angriff kosten würde.

Onlinebedrohungen

In unserer zunehmend vernetzten Geschäftswelt bearbeiten Mitarbeiter in elektronischer Form vorliegende Anfragen und Informationen, die sowohl von innerhalb als auch von außerhalb des Unternehmens stammen. Diese Konnektivität versetzt Hacker in die Lage, in der relativen Anonymität des Internets mit ihnen in Kontakt zu treten. Aus der Presse ist häufig von Onlineangriffen zu erfahren, bei denen mittels E-Mail, Popupanwendungen und Instant Messaging trojanische Pferde, Würmer oder Viren (kollektiv Malware genannt) verbreitet werden, um Computerressourcen zu beschädigen oder lahm zu legen. Viele dieser Malwareangriffe können Sie verhindern, indem Sie leistungsfähige Antivirensysteme einsetzen.

Hinweis   Weitere Informationen über Antivirenlösungen finden Sie im Handbuch zum tief greifenden Antivirenschutz (möglicherweise in englischer Sprache) unter http://go.microsoft.com/fwlink/?linkid=28732.

Anstatt einen Computer durch einen direkten Angriff mit Malware zu infizieren, überreden Social-Engineering-Hacker einen Mitarbeiter des Unternehmens durch glaubhafte List zur Preisgabe von Informationen. Durch einen solchen Angriff können Informationen beschafft werden, mit denen sich anschließend ein Malwareangriff verüben lässt, doch dies ist kein klassisches Ziel von Social-Engineering-Hackern. Deshalb müssen Sie Ihre Mitarbeiter darüber in Kenntnis setzen, wie sich Social-Engineering-Onlineangriffe am besten erkennen und vermeiden lassen.

E-Mail-Bedrohungen

Viele Mitarbeiter erhalten Dutzende oder sogar Hunderte E-Mails pro Tag, aus geschäftlichen wie auch aus privaten E-Mail-Systemen. Die schiere Menge an E-Mails macht es oft schwierig, jeder Nachricht gebührende Aufmerksamkeit zu schenken. Diese Tatsache kommt einem Social-Engineering-Hacker sehr entgegen. Die meisten E-Mail-Benutzer fühlen sich beim Umgang mit elektronischer Korrespondenz recht wohl: Die Tätigkeit entspricht quasi dem Bearbeiten von herkömmlicher Post in anderer Form. Wenn ein Hacker eine einfache Anfrage machen kann, die leicht zu bearbeiten ist, kommt ihr das Opfer häufig automatisch nach, ohne darüber nachzudenken, was es dabei tut.

Ein Beispiel für einen solch einfachen Angriff ist das Versenden einer E-Mail an einen Mitarbeiter, in der zu lesen ist, dass dem Chef für eine Konferenz alle Urlaubszeitpläne zugesendet werden sollen und dass die E-Mail bitte an alle in der Liste genannten Personen kopiert werden soll. Es ist einfach, einen fremden Namen in die Liste der Kopieempfänger einzuschmuggeln und den Absendernamen zu fälschen (zu spoofen), so dass die Mail scheinbar aus einer unternehmensinternen Quelle stammt. Spoofing ist besonders einfach, wenn ein Hacker Zugriff auf ein Computersystem des Unternehmens erlangt, weil dann nicht erst die Umkreisfirewalls durchbrochen werden müssen. Die Kenntnis des Urlaubszeitplans einer Abteilung scheint keine Sicherheitsbedrohung zu sein, doch sie bedeutet, dass der Hacker weiß, wann ein bestimmter Mitarbeiter abwesend ist. Der Hacker kann sich dann ohne große Gefahr, erkannt zu werden, als dieser Mitarbeiter ausgeben.

Die Verwendung von E-Mails als Social-Engineering-Tool ist im Laufe der letzten zehn Jahre zu einem endemischen Problem geworden. Unter Phishing ist das Erlangen von personenbezogenen oder vertraulichen Informationen mithilfe von E-Mail zu verstehen. Hacker versenden häufig E-Mails, die scheinbar von vertrauenswürdigen Unternehmen stammen, etwa von Banken oder Partnerfirmen.

Die folgende Abbildung zeigt einen scheinbar unverdächtigen Link zur Kundenbetreuungssite von Contoso.

Abbildung 1. E-Mail-Phishing-Hyperlink

Abbildung 1. E-Mail-Phishing-Hyperlink

Bei genauerer Betrachtung sind jedoch zwei Unstimmigkeiten zu erkennen:

  • Im E-Mail-Text wird behauptet, dass es sich um eine sichere Site mit https-Verschlüsselung handelt. Aus der QuickInfo, die beim Berühren des Links mit dem Mauszeiger angezeigt wird, geht jedoch hervor, dass nur einfaches http verwendet wird.

  • In der E-Mail lautet der Unternehmensname „Contoso“, der Link verweist jedoch auf ein Unternehmen namens „Comtoso“.

Wie aus dem Begriff „Phishing“ (abgeleitet von fishing = fischen) hervorgeht, sind diese Methoden in der Regel spekulativ, da hierbei versucht wird, von einer sehr allgemeinen Zielgruppe Informationen zu erlangen. Die realistische Tarnung mit täuschend echten Logos, Schriftarten und sogar scheinbar unverdächtigen gebührenfreien Kundendienst-Telefonnummern lassen solche E-Mails durchaus glaubwürdig erscheinen. In jeder Phishing-E-Mail werden Benutzerinformationen angefordert, oftmals unter dem Vorwand, dass diese für eine Aktualisierung oder eine zusätzliche Serviceleistung benötigt würden. Eine besondere Phishing-Variante ist das Spear-Phishing, das sich gezielt an eine bestimmte Gruppe oder Abteilung richtet. Diese Methode ist wesentlich raffinierter, da hierbei persönliche Daten und relevante Unternehmensinformationen für besonders hohe Glaubhaftigkeit sorgen. Hierbei muss der Täter das Opfer genauer kennen, kann ihm dann aber spezifischere und detailliertere Informationen entlocken.

E-Mails können auch Hyperlinks enthalten, die einen Mitarbeiter dazu verleiten, die Unternehmenssicherheit zu unterwandern. Wie in Abbildung 1 gezeigt, führen Links nicht immer zum erwarteten oder versprochenen Ziel. Daneben gibt es eine Reihe anderer Tricks, die in Phishing-E-Mails verwendet werden, etwa Bilder, die als Hyperlinks fungieren und den Download von Viren, Spyware oder anderer Malware bewirken, oder Text, der in Form einer Grafik angezeigt wird, um nicht von Hyperlink-Sicherheitsfiltern erkannt zu werden.  

Die meisten Sicherheitsmaßnahmen zielen darauf ab, nicht autorisierte Benutzer auszusperren. Ein Hacker kann jedoch viele Schutzvorkehrungen umgehen, indem er einen Benutzer dazu bringt, ein trojanisches Pferd, einen Wurm oder einen Virus über einen Link in das Unternehmen einzuschleusen. Ein solcher Link kann auch zu einer Website führen, auf der mithilfe von Popupanwendungen Informationen angefordert oder Hilfestellungen versprochen werden.

Anhand einer Matrix von Angriffsmitteln, Angriffsmotiven, Beschreibungen und Kosten für Ihr Unternehmen können Sie Angriffe einordnen und ihre Risken für Ihr Unternehmen leichter abschätzen. Die nachstehende Tabelle zeigt ein Beispiel für eine solche Matrix. In manchen Fällen birgt ein Angriff gleich mehrere Risiken. Wo dies der Fall ist, sind die Risiken in den folgenden Beispielen fett hervorgehoben.

Tabelle 1. Online-E-Mail-Angriffe und Kosten

Ziele des Angriffs

Beschreibung

Kosten

Diebstahl von Unternehmensinformationen

Der Hacker gibt sich als interner Benutzer aus (Spoofing), um Unternehmensinformationen zu erlangen.

Vertrauliche Informationen

Glaubwürdigkeit des Unternehmens

Diebstahl von Finanzinformationen

Der Hacker verwendet Phishing (oder Spear-Phishing), um an vertrauliche Firmeninformationen wie etwa Kontendaten zu kommen.

Geld

Vertrauliche Informationen

Glaubwürdigkeit des Unternehmens

Herunterladen von Malware

Der Hacker verleitet einen Benutzer zum Klicken auf einen Hyperlink oder zum Öffnen eines Anhangs und infiziert dadurch das Unternehmensnetzwerk.

Verfügbarkeit des Unternehmens

Glaubwürdigkeit des Unternehmens

Herunterladen von Software des Hackers

Der Hacker verleitet einen Benutzer zum Klicken auf einen Hyperlink oder zum Öffnen eines Anhangs, wodurch ein Hackerprogramm heruntergeladen wird, das Ressourcen des Unternehmensnetzwerks nutzt.

Ressourcen

Glaubwürdigkeit des Unternehmens

Geld

Wie den meisten Arten von Trickbetrug können Sie auch den Angriffen von Social-Engineering-Hackern am besten vorbeugen, indem Sie alles Unerwartete in Ihrem Posteingang mit Skepsis betrachten. Zur Unterstützung solcher Vorsichtsmaßnahmen sollten Sie der Sicherheitsrichtlinie Ihres Unternehmens einen speziellen Leitfaden zum Thema E-Mail beifügen, in dem der Umgang mit folgenden Dingen geregelt ist:

  • Anhänge in Dokumenten

  • Hyperlinks in Dokumenten

  • Anforderungen von persönlichen oder firmenbezogenen Informationen von unternehmensinternen Absendern

  • Anforderungen von persönlichen oder firmenbezogenen Informationen von unternehmensexternen Absendern

In einem solchen Leitfaden müssen auch Beispiele für Phishing-Angriffe gezeigt werden. Wenn ein Benutzer einmal das Prinzip eines Phishing-Falls durchschaut hat, wird er auch ähnliche Fälle leichter erkennen.

Popupanwendungen und Dialogfelder

Es ist unrealistisch zu glauben, dass Mitarbeiter den Internetzugang des Unternehmens nur für geschäftliche Zwecke verwenden. Die meisten Angestellten surfen dann und wann auch aus privaten Gründen im Web, um etwa Onlineshopping zu betreiben oder eigene Recherchen durchzuführen. Durch privates Surfen können die Mitarbeiter – und damit die Computersysteme des Unternehmens – in Kontakt mit allgemeinen Social-Engineering-Hackern geraten. Auch wenn es diese Hacker nicht speziell auf Ihr Unternehmen abgesehen haben, könnten sie Ihre Mitarbeiter dazu missbrauchen, Zugriff auf Ihre Unternehmensressourcen zu erlangen. Eine der beliebtesten Methoden ist es, eine Mail-Engine in einer Computerumgebung zu installieren, über die der Hacker dann Phishing- oder sonstige E-Mail-Angriffe auf das Unternehmen oder auf einzelne Personen starten kann.

Die folgende Abbildung zeigt, wie ein Hyperlink scheinbar zu einer sicheren Kundenbetreuungssite (secure.contosa.com/account_id?Amendments) führt, während in der Statusleiste angezeigt wird, dass das Linkziel eine Hacker-Site ist. Bei manchen Browsern kann der Hacker sogar die Anzeige in der Statusleiste unterdrücken oder anders formatieren.

Cc875841.HPISET02(de-de,TechNet.10).gif

Abbildung 2. Phishing-Hyperlink auf einer Webseite
Bild in voller Größe anzeigen

Die zwei gängigsten Methoden, um Benutzer zum Klicken auf eine Schaltfläche in einem Dialogfeld zu bewegen, sind Warnungen vor einem Problem, etwa in Form einer realistisch aussehenden Betriebssystem- oder Anwendungsfehlermeldung, oder Hinweise auf zusätzliche Dienste, zum Beispiel auf einen kostenlosen Download, der den Computer des Benutzers schneller macht. Für erfahrene IT- und Webbenutzer mögen solche Methoden leicht zu durchschauen sein. Auf weniger erfahrene Mitarbeiter können solche Popupanwendungen oder Dialogfelder aber einschüchternd oder verlockend wirken.

Tabelle 2. Angriffe durch Onlinepopupanwendungen und -dialogfelder und ihre Kosten

Ziele des Angriffs

Beschreibung

Kosten

Diebstahl von persönlichen Informationen

Der Hacker fordert persönliche Informationen des Mitarbeiters an

Vertrauliche Informationen

Geld (Mitarbeiter)

Herunterladen von Malware

Der Hacker verleitet einen Mitarbeiter zum Klicken auf einen Hyperlink oder zum Öffnen eines Anhangs

Verfügbarkeit des Unternehmens

Glaubwürdigkeit des Unternehmens

Herunterladen von Software des Hackers

Der Hacker verleitet einen Mitarbeiter zum Klicken auf einen Hyperlink oder zum Öffnen eines Anhangs

Ressourcen

Glaubwürdigkeit des Unternehmens

Geld

Der Schutz von Benutzern vor Social-Engineering-Popupanwendungen ist in erster Linie eine Frage des Bewusstseins. Um das Problem zu vermeiden, können Sie den Browser so konfigurieren, dass Popups und automatische Downloads standardmäßig verhindert werden. Einige Popups können diese Browsereinstellungen jedoch umgehen. Wirksamer ist es, den Benutzern klar zu machen, dass Popups erst nach Absprache mit Supportmitarbeitern angeklickt werden dürfen. Deshalb müssen Sie sich in Ihrem Unternehmen darauf verlassen können, dass Supportmitarbeiter nicht von vornherein abweisend reagieren, wenn der Benutzer im Web gesurft hat. Dieses Vertrauensverhältnis kann durch Ihre Unternehmensrichtlinie bezüglich privater Internetnutzung beeinflusst werden.

Instant Messaging

Instant Messaging (IM) ist ein relativ neues Kommunikationsmittel, doch es erfreut sich als Business-Tool bereits großer Beliebtheit, und einige Fachleute schätzen, dass IM-Produkte im Jahr 2006 von 200 Millionen Benutzern verwendet werden. Die Unmittelbarkeit und Familiarität von IM macht dieses Medium zu einem willkommenen Betätigungsfeld für Social-Engineering-Hacker, da es von vielen Benutzern als eine Art Telefon betrachtet und nicht mit Computersoftwarebedrohungen in Verbindung gebracht wird. Angriffe über IM bestehen meist in der Zusendung von Malware-Links innerhalb von IM-Nachrichten und in der Zusendung von Dateien. Darüber hinaus ist IM natürlich ein weiterer Kanal, über den ganz einfach Informationen angefordert werden können.

In Zusammenhang mit Social Engineering birgt IM einige spezielle Gefahren. Das erste Problem ist die Formlosigkeit von IM. Die zwanglose Natur von IM, kombiniert mit der Möglichkeit, sich einen falschen oder irreführenden Namen zuzulegen, bedeutet, dass es nicht immer klar ist, ob Sie sich wirklich mit der Person unterhalten, die Sie hinter dem Namen vermuten, wodurch Spoofing-Angriffen viele Türen offen stehen.

Die folgende Abbildung verdeutlicht, wie Spoofing bei E-Mail und IM funktioniert.

Abbildung 3. IM- und E-Mail-Spoofing

Abbildung 3. IM- und E-Mail-Spoofing

Der Hacker (rot) gibt sich als bekannter Benutzer aus und sendet entweder eine E-Mail oder eine IM-Nachricht, die scheinbar von dieser bekannten Person kommt. Der familiäre Charakter des Mediums führt zu Nachlässigkeit bei Schutzmaßnahmen. Die Benutzer klicken deshalb wesentlich bedenkenloser auf einen Link oder einen Anhang von einer Person, die sie kennen beziehungsweise zu kennen glauben. Bei den meisten IM-Anbietern besteht die Möglichkeit der Benutzeridentifizierung über die E-Mail-Adresse. Auf diese Weise kann ein Hacker, der das Muster der Adressenvergabe innerhalb Ihres Unternehmens verstanden hat, Einladungen zu IM-Kontakten an andere Mitarbeiter zu versenden. Die Funktionalität stellt an sich keine Bedrohung dar, doch sie bewirkt, dass wesentlich mehr Personen innerhalb Ihres Unternehmens zu Angriffszielen werden können.

Tabelle 3. IM-Angriffe und ihre Kosten

Ziele des Angriffs

Beschreibung

Kosten

Anforderung von vertraulichen Unternehmensinformationen

Der Hacker gibt sich mittels IM-Spoofing als Kollege aus, um Unternehmensinformationen anzufordern.

Vertrauliche Informationen

Glaubwürdigkeit des Unternehmens

Herunterladen von Malware

Der Hacker verleitet einen Benutzer zum Klicken auf einen Hyperlink oder zum Öffnen eines Anhangs und infiziert dadurch das Unternehmensnetzwerk.

Verfügbarkeit des Unternehmens

Glaubwürdigkeit des Unternehmens

Herunterladen von Software des Hackers

Der Hacker verleitet einen Benutzer zum Klicken auf einen Hyperlink oder zum Öffnen eines Anhangs, zum Beispiel einer Mail-Engine, wodurch ein Hackerprogramm heruntergeladen wird, das Ressourcen des Unternehmensnetzwerks nutzt.

Ressourcen

Glaubwürdigkeit des Unternehmens

Geld

Wenn Sie vorhaben, von der Unmittelbarkeit und den Kosteneinsparungen zu profitieren, die IM bietet, müssen Sie auch IM-spezifische Schutzmaßnahmen in Ihre Sicherheitsrichtlinien einbeziehen. Um in Ihrem Unternehmen die Kontrolle über IM zu wahren, sollten Sie die folgenden fünf Nutzungsregeln aufstellen:

  • Eine einzige IM-Plattform als Standard festlegen. Diese Regel minimiert den Supportaufwand und hält Benutzer davon ab, über einen eigenen IM-Anbieter zu kommunizieren. Wenn Sie die Wahlmöglichkeiten der Benutzer noch weiter einschränken möchten, können Sie Ports blockieren, die von den gängigen IM-Diensten genutzt werden.

  • Sicherheitseinstellungen der Bereitstellung definieren. IM-Clients bieten eine Reihe von Sicherheits- und Datenschutzoptionen, wie etwa Virensuchfunktionen.

  • Kontaktrichtlinien festlegen. Empfehlen Sie den Benutzern, grundsätzlich keine Einladungen zu neuen Kontakten anzunehmen.

  • Kennwortstandards festlegen. Stellen Sie sicher, dass Ihre IM-Kennwörter den Standards für sichere Kennwörter entsprechen, die Sie für Hostkennwörter festgelegt haben.

  • Geben Sie Empfehlungen zur Nutzung. Stellen Sie eine Liste mit Nutzungsempfehlungen für Ihre Benutzer zusammen, und erläutern Sie die Gründe für die jeweiligen Empfehlungen.

Telefongestützte Bedrohungen

Das Telefon stellt ein besonderes beliebtes Angriffsmittel für Social-Engineering-Hacker dar. Es ist ein vertrautes Medium, doch es ist auch unpersönlich, da das Opfer den Hacker nicht sehen kann. Die Kommunikationsoptionen der meisten Computersysteme machen auch Nebenstellenanlagen zu einem attraktiven Angriffsziel. Eine andere, eher einfach gestrickte Angriffsart besteht darin, in Telefonzellen Geheimzahlen von Kredit- oder Telefonkarten einzusehen. Von solchen Angriffen sind in der Regel Privatpersonen betroffen, doch auch die Daten von Firmenkreditkarten sind eine willkommene Beute. Die meisten Menschen wissen, dass Sie sich an Geldautomaten vor Spionen in Acht nehmen sollten, doch bei der Eingabe von Geheimzahlen in Telefonzellen wird meist unvorsichtiger vorgegangen.

VoIP (Voice over Internet Protocol) ist ein wachsender Markt, der Unternehmen deutliche Kostenvorteile bietet. Aufgrund der noch relativ geringen Anzahl an Installationen wird VoIP-Hacking vorerst noch nicht als große Bedrohung betrachtet. Doch mit zunehmender Verbreitung dieser Technologie dürfte VoIP-Spoofing zu einer ebenso grassierenden Gefahr werden wie E-Mail- und IM-Spoofing.

Nebenstellenanlagen

Für Angriffe auf Nebenstellenanlagen gibt es drei wichtige Motive:

  • Anfordern von Informationen, in der Regel durch Vortäuschung eines legitimen Benutzers, entweder um auf das Telefonsystem als solches zuzugreifen oder um Remotezugriff auf Computersysteme zu erlangen

  • Erlangung von Zugriff auf „kostenlose“ Telefonnutzung

  • Erlangung von Zugriff auf ein Kommunikationsnetzwerk

Dabei geht es jeweils um verschiedene Varianten ein und derselben Masche: Der Hacker ruft bei dem Unternehmen an und versucht, an die Telefonnummern zu gelangen, die einen direkten Zugriff auf die Nebenstellenanlage oder über eine Nebenstellenanlage auf das öffentliche Telefonnetz ermöglichen. Im Hackerjargon wird dies als Phreaking bezeichnet. Die gängigste Vorgehensweise der Hacker ist es, sich als Telefontechniker auszugeben und entweder eine Leitung nach außen zu verlangen oder ein Kennwort zu erfragen, um die angeblich gemeldeten Probleme mit dem internen Telefonsystem analysieren und beheben zu können (siehe folgende Abbildung).

Abbildung 4. Telefonangriffe auf Nebenstellenanlagen

Abbildung 4. Telefonangriffe auf Nebenstellenanlagen

Das Erbitten von Informationen oder Zugangsnummern über das Telefon ist für den Hacker eine relativ risikofreie Angriffsform. Wenn die angerufene Person Verdacht schöpft oder sich weigert, der Bitte nachzukommen, kann der Hacker einfach auflegen. Seien Sie sich jedoch bewusst, dass solche Angriffe in raffinierterer Weise stattfinden, als dass ein Hacker einfach anruft und nach einer Benutzer-ID und einem Kennwort fragt. Meist schildert der Hacker eine Ausnahmesituation und bittet um Hilfe oder bietet diese an, bevor ihm dann noch scheinbar ganz beiläufig einfällt, nach persönlichen oder geschäftlichen Informationen zu fragen.

Tabelle 4. Angriffe auf Nebenstellenanlagen und ihre Kosten

Ziele des Angriffs

Beschreibung

Kosten

Anfordern von Unternehmensinformationen

Der Hacker gibt sich als legitimer Benutzer aus, um an vertrauliche Informationen zu gelangen.

Vertrauliche Informationen

Glaubwürdigkeit des Unternehmens

Anfordern von telefonbezogenen Informationen

Hacker gibt sich als Telefontechniker aus, um Zugriff auf die Nebenstellenanlage zu erhalten, um externe Anrufe zu tätigen.

Ressourcen

Geld

Verwendung der Nebenstellenanlage für den Zugriff auf Computersysteme

Hacker bricht über die Nebenstellenanlage in Computersysteme ein, um Informationen zu stehlen oder zu manipulieren, Malware zu verbreiten oder Ressourcen zu nutzen.

 

Die meisten Benutzer kennen in Zusammenhang mit dem internen Telefonsystem nur das Telefon selbst. Diese Tatsache ist die wichtigste Schutzvorkehrung, die Sie in Ihre Sicherheitsrichtlinie aufnehmen können. Telefonhacker treten normalerweise nicht mit allgemeinen Benutzern in Kontakt. In der Regel wenden sie sich an Mitarbeiter am Empfang oder in der Telefonzentrale. Es muss festgelegt werden, dass nur Service-Desk-Personal dazu autorisiert ist, Telefondienstanbietern Auskunft zu erteilen. Auf diese Weise werden alle technischen Supportanrufe grundsätzlich von autorisierten Mitarbeitern übernommen. Diese Vorkehrung sorgt dafür, dass angerufene Mitarbeiter entsprechende Anfragen schnell und effizient an qualifizierte Kollegen weiterleiten.

Service Desk

Das Service Desk, auch Support oder Helpdesk genannt, ist einerseits einer der wichtigsten Verteidigungstrupps gegen Hacker, andererseits ist es aber auch ein Ziel für Social-Engineering-Hacker. Obwohl sich Supportmitarbeiter meist der Bedrohung durch Hacker bewusst sind, werden sie auch dazu ausgebildet, Anrufern mit Rat und Hilfe entgegenzukommen. Mitunter geht die von Supportmitarbeitern gezeigte Hilfsbereitschaft bei der Lösung eines Problems so weit, dass die Verpflichtung zur Einhaltung von Sicherheitsverfahren vernachlässigt wird, wobei die Service-Desk-Mitarbeiter in einem Dilemma stecken: Wenn sie die strengen Sicherheitsstandards befolgen und Nachweise verlangen, dass die Bitte oder Frage von einem autorisierten Benutzer stammt, werden sie leicht als wenig hilfsbereit oder sogar als stur wahrgenommen. Fertigungs-, Verkaufs- und Marketingmitarbeiter, die der Ansicht sind, dass sie von der IT-Abteilung nicht sofort den benötigten Service erhalten, werden sich schnell beschweren, und hochrangige Führungskräfte, die zum Nachweis ihrer Identität aufgefordert werden, zeigen oft sehr wenig Verständnis für die Beharrlichkeit des Supportpersonals.

Tabelle 5. Telefonangriffe auf Supportabteilungen und ihre Kosten

Ziele des Angriffs

Beschreibung

Kosten

Anfordern von Informationen

Ein Hacker gibt sich als legitimer Benutzer aus, um an Unternehmensinformationen zu gelangen.

Vertrauliche Informationen

Anfordern von Zugriff

Ein Hacker gibt sich als legitimer Benutzer aus, um Sicherheitszugriff auf Unternehmenssysteme zu erlangen.

Vertrauliche Informationen

Glaubwürdigkeit des Unternehmens

Verfügbarkeit des Unternehmens

Ressourcen

Geld

Das Service Desk muss eine Balance zwischen Sicherheit und geschäftlicher Effizienz suchen, und dabei müssen ihm die Sicherheitsrichtlinien und -verfahren entgegenkommen. Die Angabe von Identitätsnachweisen wie Mitarbeiternummer, Abteilung und Name des Managers gegenüber dem Service-Desk-Personal ist nicht zu viel verlangt, da schließlich jeder Mitarbeiter diese Daten auswendig kennt. Ein solcher Nachweis ist zwar nicht unbedingt sicher, da ein Hacker diese Informationen gestohlen haben könnte. Er ist jedoch ein realistisches Minimum. Die einzige zu 99,99 Prozent sichere Identifikationsmethode wäre eine DNA-Analyse, doch diese Methode ist natürlich völlig unrealistisch.

Noch schwieriger ist es für Service-Desk-Mitarbeiter, sich vor eigenen Mitarbeitern oder Auftragnehmern zu schützen, die als Hacker auftreten. Solche Hacker sind mit den internen Arbeitsweisen bestens vertraut und können in Ruhe alle Informationen sammeln, die sie für Anrufe beim Service Desk benötigen. Die Sicherheitsbestimmungen müssen in dieser Situation eine doppelte Lösung vorsehen:

  • Der Service-Desk-Mitarbeiter muss sicherstellen, dass ein Überwachungspfad für sämtliche Aktionen vorhanden ist. Wenn es einem Hacker gelingt, über einen Supportanruf unbefugterweise Zugriff auf Informationen oder Ressourcen zu erlangen, müssen diese Vorgänge beim Service Desk aufgezeichnet werden, damit eventuelle Schäden oder Verluste umgehend abgewendet werden können. Wird bei jedem Anruf automatisch oder manuell eine E-Mail verfasst, in der das Problem oder die Anfrage festgehalten wird, kann auch der Mitarbeiter, der das Opfer von Datendiebstahl wurde, leichter nachvollziehen, was passiert ist, und das Service Desk verständigen.

  • Der Service-Desk-Mitarbeiter benötigt ein gut strukturiertes Vorgehenskonzept zum Umgang mit verschiedenen Anruftypen. Wenn beispielsweise der Manager des Mitarbeiters per E-Mail eine Änderung des Zugriffs anfordern muss, können keine nicht genehmigten oder informellen Änderungen an den Sicherheitsstufen stattfinden.

Wenn sich die Benutzer dieser Regeln bewusst sind und das Management deren Umsetzung unterstützt, ist es für Hacker wesentlich schwieriger, Erfolg zu haben oder unentdeckt zu bleiben. Der 360°-Überwachungspfad ist ein äußerst nützliches Instrument zur Vermeidung und Aufdeckung von Regelverstößen.

Bedrohungen in Zusammenhang mit Abfallentsorgung

Das illegale Durchstöbern von Abfall ist ein viel versprechendes Betätigungsfeld für Hacker. Papierabfälle von Unternehmen können Informationen enthalten, die für Hacker von unmittelbarem Nutzen sind, beispielsweise weggeworfene Zettel mit Kontonummern und Benutzer-IDs, oder als Hintergrundinformationen dienen können, etwa Telefonlisten und Organisationsdiagramme. Diese Art von Informationen ist für einen Social-Engineering-Hacker von größtem Wert, da es ihn bei seinem Angriff glaubwürdig erscheinen lässt. Wenn der Hacker beispielsweise gut über das Personal in einer Unternehmensabteilung Bescheid weiß, wird er wahrscheinlich erfolgreicher vorgehen können. Die meisten Mitarbeiter werden davon ausgehen, dass jemand, der so viel über das Unternehmen weiß, selbst ein erfahrener Mitarbeiter ist.

Noch nützlicher können elektronische Medien sein. Wenn in einem Unternehmen keine Regeln für die Entsorgung nicht mehr benötigter Datenträger vorhanden sind, lassen sich auf weggeworfenen Festplatten, CDs und DVDs die vielfältigsten Informationen finden. Die hohe Beständigkeit fester und wechselbarer Datenträger bedeutet, dass die für IT Sicherheit zuständigen Personen Medienmanagement-Richtlinien festlegen müssen, die das Löschen der Inhalte oder die Zerstörung dieser Medien vorschreiben.

Tabelle 6: Angriffe durch Missbrauch entsorgter Dokumente und Medien und ihre Kosten

Ziele des Angriffs

Beschreibung

Kosten

Papierabfälle in externen Containern

Der Hacker nimmt Papier aus externen Containern, um sich wertvolle Unternehmensinformationen anzueignen.

Vertrauliche Informationen

Glaubwürdigkeit des Unternehmens

Papierabfälle in internen Papierkörben oder Sammelboxen

Der Hacker nimmt Paper aus internen Papierkörben oder Altpapiersammelboxen und umgeht dadurch Richtlinien zur Papierentsorgung außerhalb des Betriebs.

Vertrauliche Informationen

Glaubwürdigkeit des Unternehmens

Entsorgte elektronische Medien

Der Hacker stiehlt Informationen und Anwendungen von weggeworfenen elektronischen Medien. Der Hacker stiehlt auch die Medien selbst.

Vertrauliche Informationen

Ressourcen

Glaubwürdigkeit des Unternehmens

Ihre Mitarbeiter müssen sich in vollem Umfang der Gefahren bewusst sein, die das Entsorgen von Papierdokumenten oder elektronischen Medien über den normalen Büromüll birgt. Sobald der Müll das Firmengelände verlassen hat, werden die Eigentumsverhältnisse rechtlich unklar. Das Stöbern in Müllcontainern muss nicht unter allen Umständen gesetzwidrig sein. Die Mitarbeiter müssen deshalb über den richtigen Umgang mit Abfallmaterialien unterrichtet werden. Schreddern Sie alle Papierabfälle, und löschen oder vernichten Sie elektronische Datenträger. Wenn ein Objekt zu sperrig ist, um es in einen Schredder zu stecken (z. B. ein Telefonverzeichnis), oder aus technischen Gründen vom Benutzer nicht vernichtet werden kann, muss die Entsorgung nach einem genauen Protokoll erfolgen. Abfall- oder Altpapiercontainer sollten an sicheren, für die Öffentlichkeit unzugänglichen Orten aufgestellt werden.

Beim Erstellen einer Abfallentsorgungsrichtlinie ist darauf zu achten, dass sie auch den örtlichen Gesundheits- und Sicherheitsbestimmungen entspricht. Sie können auch Ihr soziales Ansehen steigern, indem Sie ökologisch unbedenkliche Entsorgungsstrategien einführen.

Neben der Handhabung von externen Abfällen – Papierabfall oder Elektronikschrott, der in fremde Hände gelangen könnte – muss auch die Handhabung interner Abfälle geregelt sein. Dieser Aspekt wird in den Sicherheitsrichtlinien oftmals außer Acht gelassen, da häufig davon ausgegangen wird, dass jeder, der Zugang zum Unternehmen erhält, auch vertrauenswürdig ist. Dies ist natürlich nicht immer der Fall. Eine der effektivsten Maßnahmen zum Umgang mit Papierabfällen ist eine Klassifizierung des Materials. Hierzu definieren Sie verschiedene Kategorien für papiergestützte Informationen und legen fest, wie diese von den Mitarbeitern zu entsorgen sind. Hier einige Beispiele für solche Kategorien:

  • Vertrauliche Unternehmensdokumente. Schreddern Sie alle nicht mehr benötigten Dokumente dieses Typs, bevor Sie sie in einen Papierkorb oder in eine Altpapiersammelbox werfen.

  • Private Dokumente. Schreddern Sie alle nicht mehr benötigten Dokumente dieses Typs, bevor Sie sie in einen Papierkorb oder in eine Altpapiersammelbox werfen.

  • Abteilungsinterne Dokumente. Schreddern Sie alle nicht mehr benötigten Dokumente dieses Typs, bevor Sie sie in öffentliche Container werfen.

  • Öffentliche Dokumente. Nicht mehr benötigte Dokumente dieses Typs können Sie als normales Altpapier entsorgen.

Weitere Informationen zum Entwickeln von Datenkategorien finden Sie unter Service-Management-Funktionen für die Sicherheitsverwaltung (möglicherweise in englischer Sprache) im Microsoft® TechNet unter http://go.microsoft.com/fwlink/?linkid=37696.

Persönliche Kontakte

Am einfachsten und billigsten kommt ein Hacker an Informationen, indem er eine Person direkt danach fragt. Diese Methode mag primitiv und allzu offensichtlich erscheinen, doch sie ist seit Urzeiten die gängigste Art des Trickbetrugs. Social-Engineering-Hacker haben vor allem mit den folgenden vier Methoden Erfolg:

  • Einschüchterung. Hierzu gibt sich der Hacker als Autoritätsperson aus, um ein Opfer dazu zu bringen, der Forderung nachzukommen.

  • Überredung. Die gängigsten Formen der Überredungskunst sind Schmeichelei und Namedropping (Erwähnen bekannter Persönlichkeiten).

  • Einschmeichelung. Diese Methode ist meistens längerfristig angelegt: Ein untergeordneter oder gleichrangiger Kollege baut Schritt für Schritt ein Vertrauensverhältnis zum Opfer auf, um schließlich auch Informationen von ihm zu bekommen.

  • Hilfe. Der Hacker bietet dem Opfer Hilfe an. Um diese Hilfe nutzen zu können, muss das Opfer letztendlich persönliche Informationen preisgeben, die der Hacker dann missbraucht.

Die meisten Menschen gehen davon aus, dass ihr Gegenüber die Wahrheit sagt. Dies ist insofern interessant, als die meisten Menschen selbst zugeben, dass sie gelegentlich lügen. (The Lying Ape: An Honest Guide to a World of Deception, Brian King, Icon Books Limited). Blindes Vertrauen ist eines der Ziele von Social-Engineering-Hackern.

Benutzer vor diesen Arten von persönlichen Kontakten zu schützen, ist sehr schwierig. Manche Benutzer sind Social-Engineering-Angriffen der vier genannten Arten natürlicherweise ausgesetzt. Ein guter Schutz vor einem Einschüchterungsangriff ist die Entwicklung einer Kultur der Angstfreiheit innerhalb des Unternehmens. Wenn Höflichkeit das normale Verhalten ist, ist der Erfolg eines Einschüchterungsversuchs geringer, da die jeweiligen Mitarbeiter Konfrontationssituationen mit größerer Wahrscheinlichkeit ihren Vorgesetzten melden werden. Eine unterstützende Haltung seitens Manager und Führungskräften gegenüber Mitarbeitern bei der Meldung von Problemen und bei Entscheidungsprozessen ist das Ungünstigste, was einem Social-Engineering-Hacker passieren kann. Schließlich ist es sein Ziel, das Opfer zu einer raschen Entscheidung zu bewegen. Wenn das Problem an eine höhere Stelle weitergeleitet wird, hat der Hacker schlechtere Chancen, sein Ziel zu erreichen.

Überredung ist unter Menschen von jeher eine wichtige Methode zum Erreichen persönlicher Ziele. Sie können diese Methode nicht aus dem Personal verbannen, doch Sie können strenge Richtlinien darüber aufstellen, was der Einzelne darf und nicht darf. Der Hacker wird immer eine Situation zu schaffen versuchen, in der ein Mitarbeiter freiwillig vertrauliche Informationen herausrückt. Langfristige Bewusstseinskampagnen und klare Sicherheitsrichtlinien zu Kennwörtern und Ähnlichem sind die beste Verteidigung.

Ein Hacker braucht Zeit, um sich bei Ihren Mitarbeitern einzuschmeicheln. Er muss mit dem Mitarbeiter in regelmäßigem Kontakt stehen, möglicherweise, indem er in die Rolle eines Kollegen schlüpft. In den meisten mittelgroßen Unternehmen tritt diese Bedrohung hauptsächlich in Form von Dienstleistern und anderen Auftragnehmern auf. Die Personalabteilung muss bei Auftragnehmern genauso strenge Sicherheitskontrollen durchführen wie bei fest angestelltem Personal. Dabei können Sie die meiste Arbeit dem Auftragnehmer selbst überlassen. Um sicherzustellen, dass er effektiv arbeitet, können Sie von ihm verlangen, sich den Kontrollen zu unterziehen, die auch für fest angestelltes Personal gelten. Wenn ein Social-Engineering-Hacker eine Festanstellung in Ihrem Unternehmen erhält, ist die beste Schutzvorkehrung das geschulte Bewusstsein Ihrer Mitarbeiter und die Befolgung der Richtlinien zur Informationssicherheit.

Angriffe in Form von Hilfegesuchen oder -angeboten lassen sich weitgehend vermeiden, wenn Sie über ein effektiv arbeitendes Service Desk verfügen. Die Hilfe eines Kollegen wird oft nur deshalb in Anspruch genommen, weil mit den Supportdiensten des Unternehmens Unzufriedenheit herrscht. Zwei Dinge müssen durchgesetzt werden, damit Ihre Mitarbeiter sich an das Service Desk und nicht an einen unbefugten Mitarbeiter oder gar an einen externen Experten wenden:

  • Legen Sie in Ihrer Sicherheitsrichtlinie fest, dass das Service Desk die einzige Instanz ist, an die sich die Mitarbeiter mit ihren Problemen wenden dürfen.

  • Sorgen Sie dafür, dass das Service Desk im Rahmen der Dienstvereinbarung auf Abteilungsebene nach klaren Regeln vorgeht. Überprüfen Sie regelmäßig die Leistung des Service Desks, um sicherzustellen, dass die Benutzer die Aufmerksamkeit und Hilfe erhalten, die sie benötigen.

Die Bedeutung des Service Desks als erste Verteidigungslinie gegen Social-Engineering-Angriffe ist nicht zu unterschätzen.

Virtuelle Kontakte

Social-Engineering-Hacker müssen mit Ihren Opfern in Kontakt treten, um angreifen zu können. Am häufigsten geschieht dies über ein elektronisches Medium, etwa per E-Mail oder in Form eines Popupfensters. Die Masse an Junk-Mails und Spam, die in den meisten persönlichen Postfächern landet, hat den Erfolg dieser Angriffsmethode etwas vermindert, denn inzwischen werden Ketten-E-Mails und konspirative Aufrufe zur Beteiligung an „legalen“ und lukrativen Finanzgeschäften zunehmend skeptisch betrachtet. Dennoch bleiben solche Angriffe aufgrund der großen Menge an Mails und der Verwandbarkeit von trojanischen Pferden für manche Hacker attraktiv, auch wenn die Erfolgsaussichten minimal sind. Die meisten Angriffe dieser Art zielen auf das Erlangen von Informationen über die Identität von Einzelpersonen ab. Doch auch für Unternehmen bedeutet die weit verbreitete private Nutzung von firmeneigenen Systemen wie Computern und Internetzugängen, dass Hacker in Unternehmensnetzwerke eindringen können.

Telefonanrufe sind oft eine gezieltere, individuellere Methode der Kontaktaufnahme. Das geringe Risiko gefasst zu werden bedeutet, dass einige Hacker sich auf telefonische Kontaktaufnahme spezialisieren, doch dabei geht es meist um Angriffe auf Nebenstellenanlagen beziehungsweise auf das Service Desk. Die meisten anderen Mitarbeiter wären wohl misstrauisch, wenn jemand, den Sie nicht persönlich kennen, Informationen von ihnen verlangt.

Physische Kontakte

Weniger häufig, aber umso effektiver sind direkte, persönliche Kontakte des Hackers mit dem Opfer. Nur die misstrauischsten Mitarbeiter werden an der Rechtschaffenheit einer Person zweifeln, die sich ihnen vorstellt und Hilfe zu einem Computersystem anbietet. Obwohl diese Vorgehensweisen ein viel größeres Risiko für den Täter bergen, liegen die Vorteile auf der Hand. Der Hacker kann uneingeschränkten Zugriff auf Computersystem im Unternehmen erlangen, und dies auch innerhalb aller etwaigen Umkreisschutzeinrichtungen.

Die zunehmende Nutzung mobiler Technologien, mit denen Verbindungen zu Unternehmenswerken von unterwegs oder von zu Hause aus hergestellt werden können, sind eine weitere ernste Gefahr für die IT-Ressourcen eines Unternehmens. Die Angriffsmöglichkeiten reichen hierbei vom einfachsten Beobachtungsangriff, wobei ein Unbekannter einem Mobilcomputerbenutzer in einem Zug über die Schulter blickt, um Benutzer-ID und Kennwort auszuspionieren, bis zu raffinierteren Angriffen, bei denen ein sehr hilfsbereiter Servicetechniker ein Kartenlesegerät oder ein Routerupgrade liefert und dabei Zugriff auf das Unternehmensnetzwerk erlangt, indem er freundlich um die ID und das Kennwort des Benutzers und vielleicht noch eine Tasse Kaffee bittet. Ein gründlicher Hacker würde sich die Verwendung der Zugangsdaten vom Benutzer schriftlich genehmigen lassen – dann hätte er auch noch dessen Unterschrift! Zu solchen Angriffen gesellen sich dann auch noch Bedrohungen durch Nachbarn und andere Personen, die unter Umständen den vom Unternehmen bezahlten Breitbandanschluss über ein ungeschütztes WLAN zum Surfen im Internet nutzen.

Während die meisten großen Unternehmen hoch entwickelte Systeme zur Sicherung des Betriebsgeländes verwenden, nehmen es viele kleinere und mittelgroße Firmen mit dem Gebäudezugang nicht so genau. Wenn sich ein Unbefugter einer Person mit Ausweis anschließt und ihr so in einen Büroraum folgt, ist dies ein sehr einfacher Fall eines Social-Engineering-Angriffs. Möglicherweise hält der Eindringling dem autorisierten Mitarbeiter freundlich die Tür auf und plaudert mit ihm über das Wetter oder den Fußball am Wochenende, und schon spaziert er neben ihm problemlos am Empfang vorbei. Diese Methode würde bei einem großen Unternehmen nicht funktionieren, bei dem jede Person an einem Drehkreuz ihre Karte lesen lassen muss, und auch nicht in einem kleinen Unternehmen, in dem jeder den anderen kennt. Sie eignet sich jedoch perfekt für Unternehmen mit tausend Angestellten, wo es völlig normal ist, dass ein Mitarbeiter nicht alle Kollegen kennt. Wenn der Hochstapler zuvor an Unternehmensinformationen gelangt ist, etwa an Abteilungsnamen, Mitarbeiternamen oder interne Nachrichten, kann die ablenkende Unterhaltung noch glaubhafter ausfallen.

Die Sicherheitsmaßnahmen von Telearbeitern beschränken sich meist auf technologische Vorkehrungen. Die Sicherheitsrichtlinie muss Firewalls vorschreiben, um sicherzustellen, dass externe Hacker keinen Zugriff auf Netzwerke erhalten. Von dieser Bestimmung abgesehen, gestatten die meisten mittelgroßen Unternehmen ihren Telearbeitskräften, ihre Sicherheit und auch ihre Datensicherung selbst zu regeln.

Tabelle 7. Angriffe durch physischen Zugang und ihre Kosten

Ziele des Angriffs

Beschreibung

Kosten

Datendiebstahl bei mobilen Benutzern

Der Hacker beobachtet, wie der Benutzer Anmeldeinformationen oder andere Details am Computer eingibt. Dies kann der Auslöser für den physischen Diebstahl des Computers sein.

Vertrauliche Informationen

Diebstahl persönlicher Daten der Telearbeitskraft

Der Hacker gibt sich als IT-Supportmitarbeiter oder Wartungstechniker aus, um Zugriff auf ein Heimnetzwerk zu erlangen. Er erfragt Benutzer-ID und Kennwort, um den Erfolg der Wartung zu testen.

Vertrauliche Informationen

Direkter Netzwerkkontakt über das Heimnetzwerk

Der Hacker greift über das Heimnetzwerk auf das Unternehmensnetzwerk zu, indem er sich als Supporttechniker ausgibt. Der Hacker hat uneingeschränkten Zugriff auf Netzwerk und Unternehmensressourcen.

Vertrauliche Informationen

Glaubwürdigkeit des Unternehmens

Verfügbarkeit des Unternehmens

Ressourcen

Geld

Dauerhafter Zugriff auf Heimnetzwerk

Der Hacker oder lokale Benutzer erlangt Zugriff auf Breitband-Internetzugang über ein ungesichertes Heimnetzwerk.

Ressourcen

Zugang zu Büroräumen ohne Begleitung

Der Hacker schleicht sich im Schutz eines autorisierten Mitarbeiters in das Unternehmensgebäude ein.

Vertrauliche Informationen

Glaubwürdigkeit des Unternehmens

Verfügbarkeit des Unternehmens

Geld

Ressourcen

Zugang zu einem bestimmten Büroraum des Unternehmens

Hacker erlangt Zugang zu einer Person, bei der er versuchen kann, Computertechnik oder Papierdokumente, zum Beispiel aus Aktenschränken, zu nutzen.

Vertrauliche Informationen

Ressourcen

Geld

Schutzvorkehrungen gegen diese Bedrohungen bestehen im Wesentlichen in der Anwendung bewährter Praktiken durch die Benutzer gemäß einer effektiven Sicherheitsrichtlinie des Unternehmens, in der die folgenden drei Bereiche berücksichtigt sein müssen:

  • das Firmengelände

  • der Heimarbeitsplatz

  • mobiles Arbeiten

Es sollte unmöglich sein, ohne entsprechende Autorisierung Einlass in ein Unternehmen zu erhalten. Das Empfangspersonal muss gegenüber Mitarbeitern, Auftragnehmern und Besuchern höflich, aber bestimmt auftreten. Einige einfache Bedingungen in der Sicherheitsrichtlinie des Unternehmens machen physische Social-Engineering-Angriffe nahezu unmöglich. Dies können zum Beispiel folgende Bedingungen sein:

  • Ausweise mit Lichtbild, die jeder Mitarbeiter beim Betreten des Gebäudes vorzeigen muss.

  • Ein Besucherbuch, in dem der Besucher bei der Ankunft und beim Verlassen einen Eintrag macht, der jeweils vom besuchten Mitarbeiter gegengezeichnet wird.

  • Mit Datum versehene Besucherausweise, die immer sichtbar getragen und beim Verlassen am Empfang zurückgegeben werden müssen.

  • Ein Auftragnehmerbuch, in dem der Auftragnehmer bei der Ankunft und beim Verlassen des Unternehmens einen Eintrag macht, der jeweils von dem Mitarbeiter gegengezeichnet wird, der die Arbeit des Auftragnehmers autorisiert hat.

  • Mit Datum versehene Auftragnehmerausweise, die immer sichtbar getragen und beim Verlassen am Empfang zurückgegeben werden müssen.

Um sicherzustellen, dass sich jeder bei der Empfangsperson vorstellt, müssen entsprechende Barrieren errichtet werden, so dass alle Besucher direkt an der Empfangsperson vorbeigehen und dabei ihren Ausweis vorzeigen oder sich in eine Liste eintragen müssen. Solche Barrieren müssen keine Drehkreuze oder Absperrungen sein, durch die man sich hindurchzwängen muss.

In einem Empfangsbereich kann zum Beispiel ein gemütliches Sofa stehen, das dafür sorgt, dass die Leute an der Empfangsperson vorbeigehen, wie in den beiden folgenden Abbildungen dargestellt.

Abbildung 5. Planung des Empfangsbereichs

Abbildung 5. Planung des Empfangsbereichs

Im links abgebildeten Empfangsbereich können sich unbefugte Besucher an der Empfangsperson vorbeimogeln, indem sie sich hinter einem legitimen Angestellten verbergen. Im Beispiel rechts muss jeder Besucher direkt an der Empfangsperson vorbeigehen. Die Position des Computerbildschirms verstellt der Empfangsperson nicht den Blick. Der Durchgangsbereich muss groß genug sein, damit ihn jeder – auch Rollstuhlfahrer – bequem passieren kann. Wichtig ist, dass das Empfangspersonal bei der Begrüßung und Überprüfung jeder Person immer vorschriftsgemäß und konsequent vorgeht. Jeder Eingang des Gebäudes muss diesen Standards entsprechen, und Mitarbeiter dürfen nur genehmigte Eingänge benutzen. Es darf keine unüberwachten Hintereingänge geben.

Beim Einrichten von Schranken oder automatisch gesteuerten Türen ist darauf zu achten, dass die geltenden Vorschriften hinsichtlich Gesundheit, Sicherheit und behindertengerechter Zugänglichkeit eingehalten werden.

Zu Hause ist es nicht realistisch, von jedem Besucher oder Handwerker zu verlangen, dass er sich ausweist. Tatsächlich sind die meisten Menschen gegenüber Besuchern im Privatbereich viel vorsichtiger als am Arbeitsplatz. Noch wichtiger ist es, dafür zu sorgen, dass bei einem Angriff kein Zugriff auf Unternehmensressourcen möglich ist. Ein Protokoll über betriebsexterne IT-Dienstleistungen muss folgende Regeln enthalten:

  • Jede Kundendienstmaßnahme, egal ob Reparatur oder Upgrade vor Ort, muss vom Supportpersonal geplant und genehmigt werden.

  • Auftragnehmer und interne Mitarbeiter, die Wartungs- oder Installationsarbeiten im Unternehmensgebäude durchführen, benötigen einen entsprechenden Ausweis, möglichst mit Passfoto.

  • Der Benutzer muss die IT-Supportabteilung kontaktieren, um ihr mitzuteilen, wann das Technikpersonal ankommt und wann die Arbeit erledigt ist.

  • Zu jedem Auftrag gibt es ein Auftragsblatt, auf dem der Benutzer Beginn und Ende der Arbeit einträgt und durch seine Unterschrift bestätigt.

  • Der Benutzer darf niemals persönliche Zugangsdaten bereitstellen oder sich am Computer anmelden, um einem Techniker Zugriff zu gewähren.

Dieser letzte Punkt ist von entscheidender Bedeutung. Es unterliegt der alleinigen der Verantwortung des IT-Serviceteams, unternehmensexterne Technikfachkräfte mit ausreichenden persönlichen Zugriffsrechten auszustatten, damit sie ihre Arbeit durchführen können. Hat die Fachkraft keine ausreichenden Zugriffsrechte, um den Auftrag erledigen zu können, muss sie sich an das Service Desk wenden. Diese Bestimmung ist von essenzieller Bedeutung, da es für einen Hacker besonders verlockend ist, als einfacher Techniker für eine Computerservicefirma zu arbeiten. Dadurch genießt er hohe Autorität, als Technikfachmann wie auch als Helfer.

Mobile Arbeitskräfte verwenden ihre Computer oft an Orten, an denen sich viele Menschen drängen, etwa in Zügen, auf Bahnhöfen, auf Flughäfen oder in Restaurants. Selbstverständlich lässt sich in einer solchen Umgebung fast unmöglich sicherstellen, dass Ihnen niemand beim Tippen zusieht. Die Sicherheitsrichtlinie des Unternehmens muss aber dennoch Empfehlungen enthalten, wie sich die Risiken für persönliche und geschäftliche Daten minimieren lassen. Wenn Mitarbeiter PDAs (Personal Digital Assistants) verwenden, sollten Sie auch deren Sicherheit und Synchronisierung regeln.

Reverse Social Engineering

Reverse Social Engineering (umgekehrtes Social Engineering) bezeichnet eine Situation, in der die Opfer selbst den Kontakt anbahnen und dem Hacker die gewünschten Information anbieten. Eine solche Situation mag abwegig erscheinen, doch Autoritätspersonen – insbesondere Personen, die hohes fachliches oder soziales Ansehen genießen – erhalten oftmals unverlangt wertvolle persönliche Informationen wie Benutzer-IDs und Kennwörter, da sie über jeden Verdacht erhaben zu sein scheinen. Beispielsweise würde kein Helpdesk-Supportmitarbeiter eine Benutzer-ID oder ein Kennwort von einem Hilfe suchenden Anrufer verlangen. Die Probleme werden ohne diese Angaben gelöst. Viele Benutzer, die IT-Probleme haben, geben aber in der Hoffnung, dadurch die Lösung des Problems beschleunigen zu können, von sich aus diese sicherheitsrelevanten Daten an. Der Hacker braucht also gar nicht erst danach zu fragen. Wie dieses Beispiel zeigt, verlaufen Social-Engineering-Angriffe nicht immer in einer Richtung.

Ein Social-Engineering-Angriff schafft eine Situation, wirbt für eine Lösung und bietet auf Wunsch Hilfe an. Dies kann so einfach sein wie im folgenden Szenario:

Ein als Kollege getarnter Hacker benennt eine Datei um oder verschiebt sie, so dass das Opfer glaubt, die Datei existiere nicht mehr. Der Hacker stellt in Aussicht, die Datei wiederbeschaffen zu können. Das Opfer, das seine Arbeit rasch fortsetzen möchte oder befürchtet, dass es selbst an dem Datenverlust schuld sein könnte, nimmt das Angebot liebend gerne an. Der Hacker behauptet, dass die Wiederherstellung nur möglich wäre, wenn er sich selbst im Namen des Opfers anmelden würde. Womöglich weist er sogar darauf hin, dass die Unternehmensrichtlinien dies verbieten. Das Opfer bittet den Hacker, sich in seinem Namen anzumelden und zu versuchen, die Datei wiederherzustellen. Widerstrebend willigt der Hacker ein, stellt die Datei wieder her, und erschleicht sich dabei die Benutzer-ID und das Kennwort des Opfers. Der Hacker hat damit sogar seinen Ruf aufpoliert, so dass er nun auch ähnliche Hilfegesuche von anderen Kollegen bekommt. Mit solchen Methoden können die normalen IT-Supportkanäle umgangen werden, und Hacker haben es leicht, unerkannt zu bleiben.

Bei Reverse Social Engineering ist es nicht immer notwendig, das Opfer zu kennen oder ihm sogar persönlich gegenüberzutreten. Das Imitieren von Fehlern oder Problemen mithilfe von Dialogfeldern kann sich als wirksamer nichtspezifischer Reverse-Social-Engineering-Angriff erweisen. Durch das Dialogfeld wird gemeldet, dass ein Problem vorliegt oder dass ein Update installiert werden muss, damit die Arbeit fortgesetzt werden kann. In diesem Dialogfeld wird auch gleich eine Downloadmöglichkeit zur Lösung des Problems angeboten. Nach dem Download verschwindet das künstlich erzeugte Problem, und der Benutzer arbeitet zufrieden weiter, ohne zu merken, dass er die Sicherheitsbestimmungen verletzt und ein Malwareprogramm heruntergeladen hat.

Tabelle 8. Angriffe in Form von Reverse Social Engineering und ihre Kosten

Ziele des Angriffs

Beschreibung

Kosten

Diebstahl persönlicher Daten

Hacker erhält Benutzer-ID und Kennwort von autorisiertem Benutzer.

Vertrauliche Informationen

Glaubwürdigkeit des Unternehmens

Verfügbarkeit des Unternehmens

Geld

Ressourcen

Diebstahl von Informationen

Hacker verwendet Benutzer-ID und Kennwort eines autorisierten Benutzers, um auf Unternehmensdateien zuzugreifen.

Vertrauliche Informationen

Geld

Ressourcen

Glaubwürdigkeit des Unternehmens

Verfügbarkeit des Unternehmens

Herunterladen von Malware

Der Hacker verleitet einen Benutzer zum Klicken auf einen Hyperlink oder zum Öffnen eines Anhangs und infiziert dadurch das Unternehmensnetzwerk.

Verfügbarkeit des Unternehmens

Glaubwürdigkeit des Unternehmens

Herunterladen von Software des Hackers

Der Hacker verleitet einen Benutzer zum Klicken auf einen Hyperlink oder zum Öffnen eines Anhangs, zum Beispiel einer Mail-Engine, wodurch ein Hackerprogramm heruntergeladen wird, das Ressourcen des Unternehmensnetzwerks nutzt.

Ressourcen

Glaubwürdigkeit des Unternehmens

Geld

Sich vor Reverse Social Engineering zu schützen, ist wahrscheinlich am schwierigsten. Das Opfer hat keinen Grund, sein Gegenüber als Hacker zu verdächtigen, da es das Gefühl hat, die Situation selbst hergestellt zu haben. Die effektivste Schutzmaßnahme ist eine klare Regelung in Ihrer Sicherheitsrichtlinie, wonach Probleme über das Service Desk gelöst werden müssen. Wenn Service-Desk-Mitarbeiter effizient, höflich und vorurteilslos auftreten, werden sich andere Mitarbeiter gerne an sie wenden und keine unbefugten Kollegen oder Bekannten um Hilfe bitten.

Entwerfen von Schutzmaßnahmen gegen Bedrohungen durch Social Engineering

Nachdem Sie sich das weite Feld an möglichen Bedrohungen bewusst gemacht haben, sind drei Schritte nötig, um entsprechende Schutzmaßnahmen gegen Social-Engineering-Angriffe auf Mitarbeiter Ihres Unternehmens zu entwickeln. Wirksame Verteidigung ist eine Sache der Planung. Oftmals ist die Verteidigung reaktiv: Sie entdecken, dass ein Angriff stattgefunden hat, und errichten eine Barriere, damit das Problem nicht erneut auftreten kann. Wenngleich dieses Vorgehen ein bestimmtes Maß an Problembewusstsein demonstriert, kommt die Lösung zu spät, wenn der Schaden umfangreich oder kostspielig ist. Um Angriffe von vornherein zu vermeiden, gilt es, die folgenden drei Schritte auszuführen:

  • Ein Sicherheitsmanagement-Framework entwickeln. Sie müssen eine Reihe von Social-Engineering-Sicherheitszielen definieren und entsprechende Mitarbeiter ernennen, die für das Erreichen dieser Ziele verantwortlich sind.

  • Risikobewertungen durchführen. Eine bestimmte Bedrohung stellt nicht für jedes Unternehmen das gleiche Risiko dar. Sie müssen alle Social-Engineering-Bedrohungen einzeln prüfen und sich vergegenwärtigen, welche Gefahr sie jeweils für Ihr konkretes Unternehmen bedeuten.

  • Social-Engineering-Schutzmaßnahmen in Ihre Sicherheitsrichtlinie einbeziehen. Entwickeln Sie in schriftlicher Form Richtlinien und Vorgehensweisen, durch die festgelegt wird, wie sich Ihre Mitarbeiter in Situationen zu verhalten haben, bei denen es sich um Social-Engineering-Angriffe handeln könnte. Bei diesem Schritt wird vorausgesetzt, dass bereits eine Sicherheitsrichtlinie zur Vermeidung anderer Gefahren existiert. Wenn noch keine Sicherheitsrichtlinie vorliegt, gilt es, eine solche aufzustellen. Die Elemente, die Sie im Rahmen der Social-Engineering-Risikobewertung identifiziert haben, sind eine Grundlage, aber es müssen auch noch andere potenzielle Bedrohungen betrachtet werden.

    Weitere Informationen über Sicherheitsrichtlinien finden Sie im Microsoft Sicherheits-Portal unter www.microsoft.com/security.

Entwickeln eines Sicherheitsmanagement-Frameworks

Ein Sicherheitsmanagement-Framework liefert ein Gesamtbild der möglichen Bedrohungen durch Social Engineering für Ihr Unternehmen und definiert Personen mit ganz bestimmten Funktionen, die für die Entwicklung von Richtlinien und Vorgehensweisen zuständig sind, um diesen Bedrohungen entgegenzuwirken. Dies bedeutet nicht, dass Sie Mitarbeiter einstellen müssen, die sich ausschließlich um die Sicherheit der Unternehmensressourcen kümmern. Wenngleich dies in großen Unternehmen möglich ist, ist es in kleineren und mittleren Firmen selten realistisch oder wünschenswert, solche Sonderbeauftragte eigens anzustellen. Vielmehr geht es darum, dass einige Mitarbeiter die folgenden Schlüsselfunktionen übernehmen:

  • Sicherheitssponsor. Eine hochrangige Führungskraft, möglicherweise aus dem Vorstand, die mit ihrer Autorität dafür sorgt, dass alle Mitarbeiter das Thema Sicherheit ernst nehmen.

  • Sicherheitsmanager. Ein Managementmitarbeiter, der die Entwicklung und Aufrechterhaltung der Sicherheitsrichtlinie koordiniert.

  • IT-Sicherheitsbeauftragter. Ein Mitarbeiter aus dem technischen Bereich, der für die Entwicklung der IT-Infrastruktur und von Richtlinien und Vorgehensweisen für die Betriebssicherheit zuständig ist.

  • Gebäudesicherheitsbeauftragter. Ein Mitglied des Gebäudeverwaltungsteams, der für die Entwicklung von Richtlinien und Vorgehensweisen für die Standort- und Betriebssicherheit zuständig ist.

  • Beauftragter für Sicherheitsbewusstsein. Ein Managementmitarbeiter, häufig aus dem Bereich Personalwesen oder Personalschulung, der für die Entwicklung und Durchführung von Kampagnen zur Schärfung des Sicherheitsbewusstseins zuständig ist.

Dieses Team, der Sicherheitslenkungsausschuss, fungiert als Vermittler innerhalb des Unternehmens. Den auserwählten Mitgliedern des Sicherheitslenkungsausschusses kommt die Aufgabe zu, die wichtigsten Ziele des Sicherheitsmanagement-Frameworks zu definieren. Ohne klar definierte Ziele ist es schwierig, andere Mitarbeiter zur Beteiligung zu ermuntern oder den Erfolg des Projekts zu messen. Zunächst muss der Sicherheitslenkungsausschuss ermitteln, an welchen Stellen das Unternehmen für Social-Engineering-Angriffe anfällig ist. Anhand einer einfachen Tabelle wie der folgenden können Sie sich rasch ein Bild über die möglichen Schwachstellen machen.

Tabelle 9. Anfälligkeiten des Unternehmens gegenüber Social-Engineering-Angriffen

Angriffsmittel

Beschreibung der Situation im Unternehmen

Anmerkungen

Online

 

 

E-Mail

Alle Benutzer haben Microsoft Outlook® auf Ihren Desktopcomputern.

 

Internet

Mobile Benutzer haben Outlook Web Access (OWA) zusätzlich zum Outlook-Clientzugriff.

 

Popupanwendungen

 

Derzeit ist keine technische Vorkehrung zum Schutz vor Popups implementiert.

Instant Messaging

Das Unternehmen lässt die unverwaltete Nutzung verschiedener IM-Produkte zu.

 

Telefon

 

 

Nebenstellenanlage

 

 

Service Desk

Derzeit besteht das „Service Desk“ in provisorischem Support durch die IT-Abteilung.

Supportleistungen dürfen sich jedoch nicht auf den IT-Bereich beschränken.

Abfallentsorgung

 

 

Intern

Alle Abteilungen kümmern sich selbst um die Entsorgung Ihres Abfalls.

 

Extern

Container befinden sich außerhalb des Firmengeländes. Die Müllabfuhr kommt dienstags.

Wir haben derzeit keinen Platz für Container auf dem Firmengelände.

Persönliche Kontakte

 

 

Physische Sicherheit

 

 

Sicherheit der Büroräume

Alle Büroräume bleiben tagsüber unverschlossen.    

25 Prozent der Angestellten arbeiten von zu Hause aus.    Wir haben keine schriftlichen Regeln für die Sicherheit der Telearbeitskräfte.

Telearbeiter

Wir haben kein Protokoll für Wartungsarbeiten vor Ort bei Telearbeitern.

 

Sonstiges/Unternehmensspezifisches

 

 

Betriebsinterne Franchiseunternehmen

Das gesamte Catering wird durch ein Franchiseunternehmen abgewickelt.

Wir haben keine Informationen über dieses Personal, und es ist keine Sicherheitsrichtlinie dafür vorhanden.

Wenn der Sicherheitslenkungsausschuss die Sicherheitsanfälligkeiten klar erkennt, kann er eine Tabelle mit den Anfälligkeiten des Unternehmens gegenüber Social-Engineering-Angriffen erstellen (siehe Beispiel oben). Die Tabelle bietet einen Überblick über die Protokolle des Unternehmens in potenziell anfälligen Bereichen. Die Kenntnis der Anfälligkeiten ermöglicht es dem Ausschuss, ein Konzept für die potenziell benötigten Richtlinien zu entwickeln.

Der Sicherheitslenkungsausschuss muss zunächst die Bereiche ermitteln, die für das Unternehmen ein Risiko darstellen könnten. Bei diesem Ermittlungsprozess sollten alle in diesem Dokument genannten Angriffsmittel sowie unternehmensspezifische Elemente berücksichtigt werden, beispielsweise die Verwendung öffentlicher Terminals oder Büroverwaltungspraktiken.

Risikobewertung

Bei allen Sicherheitsfragen gilt es zu beurteilen, welches Risiko der jeweilige Angriff für Ihr Unternehmen darstellt. Obwohl die Risikobewertung gründlich durchgeführt werden sollte, muss sie nicht zeitaufwändig sein. Anhand der Hauptpunkte des Sicherheitsmanagement-Frameworks, die bereits vom Sicherheitslenkungsausschuss ermittelt wurden, können Sie die Risiken verschiedenen Kategorien und Prioritätsstufen zuordnen. Zwischen folgenden Kategorien sollte unterschieden werden:

  • Vertrauliche Informationen

  • Glaubwürdigkeit des Unternehmens

  • Verfügbarkeit des Unternehmens

  • Ressourcen

  • Geld

Die Prioritätsstufen legen Sie anhand des ermittelten Risikos und der errechneten Kosten für die Vermeidung dieses Risikos fest. Wenn die Vermeidung des Risikos mehr kostet als der zu befürchtende Schaden, ist sie unter Umständen nicht zu rechtfertigen. Diese Risikobewertungsphase kann sich später beim Ausarbeiten der Sicherheitsrichtlinie als äußerst nützlich erweisen.

Beispielsweise kann der Sicherheitslenkungsausschuss die Gefahr in Zusammenhang mit Besuchern im Empfangsbereich hervorheben. Für Unternehmen, die nicht mehr als 20 Besucher pro Stunde erwarten, sind keine aufwändigeren Sicherheitsvorkehrungen als eine Empfangsperson, ein Anmeldungsbuch und einige nummerierte Besucherausweise erforderlich. Für Unternehmen, die 150 Besucher pro Stunde erwarten, müssen jedoch eventuell zusätzliche Empfangspersonen eingestellt oder Selbstregistrierungsterminals aufgestellt werden. Während ein kleineres Unternehmen sich Selbstanmeldungsterminals kaum leisten kann, kann sich ein größeres kaum die geschäftlichen Einbußen durch lange Verzögerungen am Empfang leisten.

Demgegenüber mag man in einem Unternehmen, das niemals Besucher oder Auftragnehmer empfängt, das Gefühl haben, dass es nicht sehr riskant ist, Computerausdrucke an einer zentralen Stelle zur Abholung liegen zu lassen. Ein Unternehmen mit vielen Auftragnehmern wird zu dem Schluss kommen, dass es das Risiko durch potenziell vertrauliche Informationen im Ausgabefach eines Druckers nur durch die Installation lokaler Drucker an jedem Schreibtisch umgehen kann. Das Unternehmen kann dieses Risiko auch vermeiden, indem es die ständige Begleitung von Besuchern durch einen Mitarbeiter vorschreibt. Diese Lösung ist wesentlich preiswerter, abgesehen von den Kosten für die Arbeitszeit des Mitarbeiters.

Nach der Beurteilung anhand der Matrix „Anfälligkeiten des Unternehmens gegenüber Social-Engineering-Angriffen“ kann der Sicherheitslenkungsausschuss die benötigten Richtlinien, Risikotypen und Risikostufen für das Unternehmen definieren (siehe folgende Tabelle).

Tabelle 10. Matrix für den Lenkungsausschuss zur Definition von Sicherheitsbedarf und Risiken

Angriffsmittel

Voraussichtlich erforderliche Richtlinie

Risikotyp / Vertrauliche Informationen / Glaubwürdigkeit des Unternehmens / Verfügbarkeit des Unternehmens / Ressourcen / Geld

Risikostufe hoch = 5 niedrig = 1

Aktion

 

Schriftliche Social-Engineering-Sicherheitsrichtlinien

 

 

 

 

Änderungen, um Richtlinienerfüllung in den Standardvertrag für Angestellte aufzunehmen

 

 

 

 

Änderungen, um Richtlinienerfüllung in den Standardvertrag für Auftragnehmer aufzunehmen

 

 

 

Online

 

 

 

 

E-Mail

Richtlinie zu Arten von Anhängen und dem Umgang mit ihnen

 

 

 

Internet

Richtlinie zur Internetnutzung

 

 

 

Popupanwendungen

Richtlinie zur Internetnutzung mit speziellen Hinweisen, wie mit unerwarteten Dialogfeldern zu verfahren ist

 

 

 

Instant Messaging

Richtlinie zu unterstützten und erlaubten IM-Clients

 

 

 

Telefon

 

 

 

 

Nebenstellenanlage

Richtlinie für Nebenstellenanlagen-Support

 

 

 

Service Desk

Richtlinie zur Gewährung von Datenzugriff

 

 

 

Abfallentsorgung

 

 

 

 

Papier

Richtlinie zur Entsorgung von Papier

 

 

 

 

Leitlinien zur Entsorgung in Containern

 

 

 

Elektronik

Richtlinie zur Entsorgung elektronischer Medien

 

 

 

Persönliche Kontakte

 

 

 

 

Physische Sicherheit

Richtlinie zum Umgang mit Besuchern

 

 

 

Sicherheit der Büroräume

Richtlinie zur Verwaltung von Benutzer-IDs und Kennwörtern – Beispiel: Kennwörter auf keinen Fall auf Notizzettel schreiben und an den Bildschirm heften

 

 

 

Telearbeiter

Richtlinie zur Verwendung von Mobilcomputern außerhalb des Unternehmens

 

 

 

Sonstiges/
Unternehmensspezifisches

 

 

 

 

Betriebsinterne Franchiseunternehmen

Richtlinie zur Kontrolle von betriebsinternem Franchisepersonal

 

 

 

Der Sicherheitslenkungsausschuss muss Übereinkunft über die Bedeutung eines Risikos erlangen. Jedes Unternehmen wird die Risiken, die die verschiedenen Bedrohungen darstellen, anders einschätzen.

Weitere Informationen über Methoden und Tools zur Risikobewertung finden Sie im Leitfaden zum Sicherheitsrisikomanagement unter http://go.microsoft.com/fwlink/?linkid=30794.

Social Engineering in der Sicherheitsrichtlinie

Das Management- und IT-Personal muss für das Unternehmen eine effektive Sicherheitsrichtlinie entwickeln und zu ihrer Umsetzung beitragen. Manchmal liegt der Schwerpunkt einer Sicherheitsrichtlinie auf technischen Kontrollmöglichkeiten, die zum Schutz vor technologischen Bedrohungen wie Viren und Würmern beitragen. Technische Kontrollmöglichkeiten bieten einen gewissen Schutz vor Technologien wie Datendateien, Programmdateien und Betriebssystemen. Social-Engineering-Schutzvorkehrungen müssen allgemeine Social-Engineering-Angriffe gegen Mitarbeiter im Voraus unterbinden.

Der Sicherheitslenkungsausschuss ist verantwortlich für die wichtigsten Sicherheitsbereiche und Risikobewertungen. Hierfür muss er die Entwicklung von Vorgehensweisen, Prozessen und Unternehmensdokumentationen delegieren. Die folgende Tabelle zeigt, wie der Sicherheitslenkungsausschuss mit der Hilfe einzelner Interessensgruppen die Dokumentation definieren kann, die zur Unterstützung der Sicherheitsrichtlinie notwendig ist.

Tabelle 11. Erforderliche Vorgehensweisen und Dokumente des Lenkungsausschusses

Erforderliche Richtlinie

Erforderliche Vorgehensweisen/Dokumente

Aktion/Datum

Schriftliche Social-Engineering-Sicherheitsrichtlinien

Keine

 

Änderungen, um Richtlinienerfüllung in den Standardvertrag für Angestellte aufzunehmen

  1. Wortlaut für neuen Vortrag (juristischer Bereich)

  2. Neues Format für Auftragnehmerverträge

 

Änderungen, um Richtlinienerfüllung in den Standardvertrag für Auftragnehmer aufzunehmen

  1. Wortlaut für neuen Vortrag (juristischer Bereich)

  2. Neues Format für Auftragnehmerverträge

 

Richtlinie zum Umgang mit Besuchern

  1. Vorgehensweise für die An-/Abmeldung von Besuchern

  2. Vorgehensweise für die Begleitung von Besuchern

 

Leitlinien zur Entsorgung in Containern

  1. Vorgehensweise für die Entsorgung von Papier (siehe Daten)

  2. Vorgehensweise für die Entsorgung von elektronischen Medien (siehe Daten)

 

Richtlinie zur Gewährung von Datenzugriff

 

 

Richtlinie zur Entsorgung von Papier

 

 

Richtlinie zur Entsorgung elektronischer Medien

 

 

Richtlinie zur Internetnutzung mit speziellen Hinweisen, wie mit unerwarteten Dialogfeldern zu verfahren ist

 

 

Richtlinie zur Verwaltung von Benutzer-IDs und Kennwörtern – Beispiel: Kennwörter nicht auf Notizzettel schreiben und an den Bildschirm heften

 

 

Richtlinie zur Verwendung von Mobilcomputern außerhalb des Unternehmens

 

 

Richtlinie zur Problembehandlung bei Verbindung zu Partneranwendungen (Banking, Finanzen, Einkauf, Aktienmanagement)

 

 

Hieraus wird deutlich, dass die Liste recht lang werden kann. Unter Umständen kann es sinnvoll sein, fachliche Hilfe von außen zu beauftragen, um diesen Teil des Prozesses zu beschleunigen. Der Sicherheitslenkungsausschuss muss sich auf Bereiche konzentrieren, denen er gemäß der Risikobewertung einen hohen Wert beimisst.

Implementieren von Schutzmaßnahmen gegen Bedrohungen durch Social Engineering

Nachdem Sie die Sicherheitsrichtlinie verfasst und genehmigt haben, müssen Sie sie den Mitarbeitern unterbreiten und dafür sorgen, dass sie befolgt wird. Wenngleich Sie technische Kontrollmöglichkeiten ohne Kenntnis Ihrer Mitarbeiter einrichten können, müssen Sie deren Unterstützung gewinnen, wenn Sie Schutzvorkehrungen gegen Social-Engineering-Angriffe erfolgreich anwenden möchten. Zur Unterstützung der Implementierung müssen Sie Protokolle zur Reaktion auf Vorfälle für Ihr Service-Desk-Personal entwickeln.

Bewusstsein

Für eine gute Kampagne zur Steigerung des Bewusstseins gibt es keinen Ersatz, wenn es um die Implementierung der Social-Engineering-Elemente Ihrer Sicherheitsrichtlinie geht. Diese Implementierung ist natürlich selbst eine Form von Social Engineering, und Sie müssen dafür sorgen, dass Ihr Personal die Richtlinie kennt, deren Notwendigkeit versteht und weiß, wie es auf mutmaßliche Angriffe reagieren soll. Das wichtigste Element eines Social-Engineering-Angriffs ist Vertrauen: Das Opfer vertraut dem Hacker. Um dieser Angriffsform zu widerstehen, müssen Sie unter den Mitarbeitern ein gesundes Maß an Skepsis gegenüber allem Ungewöhnlichen erzielen und deren Vertrauen in die IT-Support-Infrastruktur des Unternehmens fördern.

Welche Elemente eine Bewusstseinskampagne umfassen sollte, richtet sich danach, wie Sie Ihre Mitarbeiter innerhalb des Unternehmens im Allgemeinen informieren. Zur Wahl stehen durchstrukturiertes Training, weniger formelle Zusammenkünfte, Plakatkampagnen oder andere Formen der Veröffentlichung von Sicherheitsrichtlinien. Je stärker Sie die Inhalte Ihrer Richtlinien betonen, desto größer sind die Chancen, dass sie auch angewendet werden. Wenngleich Sie das Sicherheitsbewusstsein durch entsprechende Veranstaltungen fördern können, ist es ebenso wichtig, Sicherheit im Alltag des Managements und des übrigen Personals groß zu schreiben. Sicherheit ist eine Geisteshaltung des Unternehmens. Deshalb müssen Vorschläge zur Steigerung des Sicherheitsbewusstseins von allen Beteiligten des Unternehmens kommen. Holen Sie die Meinungen von allen Abteilungen und von ganz verschiedenen Benutzern ein, insbesondere von denjenigen, die außerhalb der Büroumgebung arbeiten.

Umgang mit Vorfällen

Wenn es tatsächlich einmal zu einem Social-Engineering-Angriff kommt, muss das Service-Desk-Personal wissen, wie es reagieren soll. Im Rahmen der Vorgehensweisen in Verbindung mit der Sicherheitsrichtlinie sollten reaktive Protokolle vorhanden sein, doch Vorfallsmanagement bedeutet auch, dass Sie den Angriff als Anlass für weitere Sicherheitsprüfungen betrachten. Sicherheit ist kein Ziel, sondern ein Weg, da sich die Angriffsmittel ständig ändern.

Jeder Vorfall liefert neue Informationen für eine ständige Überprüfung der Sicherheit im Rahmen des Reaktionsmodells (siehe folgende Abbildung).

Abbildung 6. Modell für die Reaktion auf Vorfälle

Abbildung 6. Modell für die Reaktion auf Vorfälle

Wenn es zu neuen Vorfällen kommt, prüft der Sicherheitslenkungsausschuss, ob es sich um ein neues oder ein verändertes Risiko für das Unternehmen handelt, und erstellt oder erneuert die Richtlinien und Vorgehensweisen entsprechend. Alle Optimierungen der Sicherheitsrichtlinien sollten gemäß den Änderungsmanagementstandards Ihres Unternehmens erfolgen.

Zur Handhabung eines Vorfalls sollte das Service-Desk-Personal nach einem eindeutigen Berichterstattungsprotokoll vorgehen können, das die Aufzeichnung der folgenden Informationen vorsieht:

  • Name des Opfers

  • Abteilung des Opfers

  • Datum

  • Angriffsmittel

  • Beschreibung des Angriffs

  • Ergebnis des Angriffs

  • Auswirkung des Angriffs

  • Empfehlungen

Durch die Aufzeichnung von Vorfällen lassen sich bestimmte Muster erkennen und eventuell weitere Angriffe im Voraus erkennen. Eine Vorlage für einen Vorfallsbericht finden Sie in Anhang 1 am Ende dieses Dokuments.

Sonstige Aspekte

Bei der Auseinandersetzung mit dem Thema Sicherheit besteht die Gefahr, dass Sie die Vielzahl der potenziellen Bedrohungen Ihres Unternehmens überempfindlich bewerten. In Ihrer Sicherheitsrichtlinie muss deshalb auch darauf hingewiesen werden, dass das Hauptziel Ihres Unternehmens darin besteht, Geschäfte zu machen. Wenn hingegen die Sicherheitsfragen zulasten der Rentabilität der kommerziellen Tätigkeit Ihres Unternehmens gehen, sollte das Risiko möglicherweise noch einmal neu bewertet werden. Zwischen Sicherheit und geschäftlichem Nutzen muss ein gesundes Gleichgewicht herrschen.

Dabei ist allerdings auch zu erwähnen, dass es von geschäftlichem Vorteil sein kann, als sicherheitsbewusstes Unternehmen betrachtet zu werden. Eine solche Reputation wird nicht nur Hacker abschrecken, sondern auch das Ansehen Ihres Unternehmens bei Kunden und Partnern verbessern.

Social Engineering und das mehrschichtige Modell zur tief greifenden Verteidigung

Beim mehrschichtige Modell zur tief greifenden Verteidigung werden Sicherheitslösungen nach den möglichen Angriffspunkten eingeteilt, das heißt, nach den Schwachstellen, die Hacker zur Bedrohung Ihrer Computerumgebung ausnutzen könnten. Dabei kann es sich um folgende Angriffspunkte handeln:

  • Richtlinien, Vorgehensweisen und Bewusstsein. Die schriftlichen Regeln, die Sie aufstellen, um alle Bereiche der Sicherheit abzudecken, und die Schulungen, die Sie durchführen, um zu gewährleisten, dass die Mitarbeiter diese Regeln kennen, verstehen und befolgen.

  • Physische Sicherheit: Die Barrieren, die den Zugang zu Ihrem Betriebsgelände und Ihren Ressourcen einschränken. Dieser Punkt ist besonders wichtig: Wenn Sie beispielsweise Abfallcontainer außerhalb des Firmengeländes aufstellen, befinden sich diese außerhalb des physischen Sicherheitsbereichs des Unternehmens.

  • Daten. Ihre Unternehmensinformationen: Kontendaten, Post, E-Mail usw. In der Sicherheitsplanung zum Schutz vor Bedrohungen durch Social Engineering muss sowohl papiergestütztes als auch elektronisches Datenmaterial berücksichtigt werden.

  • Anwendung. Die Programme, die von Ihren Benutzern ausgeführt werden. Es ist wichtig, schon im Voraus zu erkennen, wie Social-Engineering-Hacker bestimmte Anwendungen, beispielsweise E-Mail- oder Instant Messaging-Anwendungen, unterminieren könnten.

  • Host. Ein Server- oder Clientcomputer in Ihrem Unternehmen. Schützen Sie die Benutzer vor direkten Angriffen auf diese Computer, indem Sie genau festlegen, welche Software auf Unternehmenscomputern verwendet werden darf und wie mit Sicherheitsvorkehrungen wie Benutzer-IDs und Kennwörtern umzugehen ist.

  • Internes Netzwerk. Das Netzwerk, über das Ihr Computersystem kommuniziert. Dabei kann es sich um ein lokales Netzwerk (LAN), ein drahtloses lokales Netzwerk (WLAN) oder ein Fernnetz (WAN) handeln. Das interne Netzwerk ist in den letzten Jahren weniger „intern“ geworden, da Heim- und Mobilarbeitsplätze immer beliebter werden. Deshalb müssen die Benutzer wissen, wie sie in den verschiedenen vernetzten Umgebungen sicher arbeiten können.

  • Umkreis. Die Kontaktstelle zwischen Ihren internen und externen Netzwerken, beispielsweise dem Internet oder Netzwerken, die Ihren Geschäftspartnern gehören, möglicherweise als Teil eines Extranets. Bei Social-Engineering-Angriffen wird häufig versucht, den Umkreis zu durchbrechen, um Zugriff auf Daten, Anwendungen und Hosts über das interne Netzwerk zu erlangen.

Abbildung 7. Das Sicherheitsmodell zur tief greifenden Verteidigung

Abbildung 7. Das Sicherheitsmodell zur tief greifenden Verteidigung

Beim Planen von Schutzvorkehrungen hilft Ihnen das Modell zur tief greifenden Verteidigung zu erkennen, welche Bereiche Ihres Unternehmens gefährdet sind. Das Modell gilt nicht spezifisch für Bedrohungen durch Social Engineering, doch in jeder der Schichten sollten auch Social-Engineering-Schutzvorkehrungen vorhanden sein.

Die übergeordneten Schutzvorkehrungen dieses Modells sind Sicherheitsrichtlinien, Vorgehensweisen und Bewusstsein. Bei diesen Schutzvorkehrungen geht es darum, den Mitarbeitern eines Unternehmens zu erklären, was wann weshalb und von wem zu tun ist. In den übrigen Schichten können diese Schutzvorkehrungen noch verfeinert werden, doch der wichtigste Schutz Ihrer IT-Umgebung besteht in gut strukturierten und den Mitabeitern bekannten Regeln.

Weitere Informationen über das Modell zur tief greifenden Verteidigung finden Sie unter Service-Management-Funktionen für die Sicherheitsverwaltung (möglicherweise in englischer Sprache) im Microsoft TechNet unter http://go.microsoft.com/fwlink/?linkid=37696.

Anhang 1: Checklisten für Social-Engineering-Sicherheitsrichtlinien

In diesem Dokument wurden mehrere Tabellen zum Erfassen von Social-Engineering-Anfälligkeiten und entsprechender Schutzvorkehrungen vorgestellt. Im vorliegenden Anhang finden Sie Vorlagen für solche Tabellen, die Sie kopieren und selbst ausfüllen können.

Anfälligkeiten des Unternehmens gegenüber Social-Engineering-Angriffen

Angriffsmittel

Beschreibung der Situation im Unternehmen

Anmerkungen

Online

 

 

E-Mail

 

 

Internet

 

 

Popupanwendungen

 

 

Instant Messaging

 

 

Telefon

 

 

Nebenstellenanlage

 

 

Service Desk

 

 

Abfallentsorgung

 

 

Intern

 

 

Extern

 

 

Persönliche Kontakte

 

 

Physische Sicherheit

 

 

Sicherheit der Büroräume

 

 

Sonstiges/Unternehmensspezifisches

 

 

 

 

 

Matrix für den Lenkungsausschuss zur Definition von Sicherheitsbedarf und Risiken

Angriffsmittel

Voraussichtlich erforderliche Richtlinie

Risikotyp / Vertrauliche Informationen / Glaubwürdigkeit des Unternehmens / Verfügbarkeit des Unternehmens / Ressourcen / Geld

Risikostufe hoch = 5 niedrig = 1

Aktion

Online

 

 

 

 

 

 

 

 

 

Telefon

 

 

 

 

 

 

 

 

 

Abfallentsorgung

 

 

 

 

 

 

 

 

 

Persönliche Kontakte

 

 

 

 

 

 

 

 

 

Sonstiges/
Unternehmensspezifisches

 

 

 

 

 

 

 

 

 

Erforderliche Vorgehensweisen und Dokumente des Lenkungsausschusses

Erforderliche Richtlinie

Erforderliche Vorgehensweisen/Dokumente

Aktion/Datum

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Checkliste für die Implementierung von Sicherheitsrichtlinien

Aktion

Beschreibung

Aktion/Datum

Entwickeln von Richtlinien für die Onlinesicherheit

 

 

Entwickeln von Richtlinien für die physische Sicherheit

 

 

Entwickeln von Richtlinien für die telefonische Sicherheit

 

 

Entwickeln von Richtlinien für die Abfallentsorgung

 

 

Entwickeln von Richtlinien für die Service-Desk-Sicherheit

 

 

Entwickeln eines Modells zur Reaktion auf Vorfälle

 

 

Entwickeln einer Bewusstseinskampagne

 

 

...

 

 

Vorfallbericht

Service-Desk-Mitarbeiter

                     

Name des Opfers

 

Abteilung des Opfers

 

Datum

 

Angriffsmittel

 

Beschreibung des Angriffs

 

Ergebnis des Angriffs

 

Auswirkung des Angriffs

 

Empfehlungen

 

Anhang 2: Glossar

Begriff

Definition

Zugriff

In Bezug auf den Datenschutz ist Zugriff die Möglichkeit einer Person, Informationen, die über diese Person erfasst wurden, einzusehen, zu bearbeiten und deren Richtigkeit und Vollständigkeit zu überprüfen. Zugriff ist ein Element der Fair Information Practices.

Antivirensoftware

Ein Computerprogramm mit der Aufgabe, bösartige Software, wie etwa Viren oder Würmer, zu erkennen und darauf zu reagieren. Das Reagieren kann in folgenden Aktionen bestehen: Blockieren des Benutzerzugriffs auf infizierte Dateien, Bereinigen von infizierten Dateien oder Computern oder Benachrichtigen des Benutzers über die Entdeckung eines infizierten Programms.

Angriff

Ein zielgerichteter Versuch, die Sicherheit eines Computersystems zu unterwandern oder andere an der Nutzung des Systems zu hindern.

Authentifizierung

Überprüfung der Anmeldeinformationen einer Person, eines Computerprozesses oder eines Geräts. Für eine Authentifizierung ist es nötig, dass die Person, der Vorgang oder das Gerät Anmeldeinformationen bereitstellt, durch die deren/dessen Identität nachgewiesen wird. Übliche Formen von Anmeldeinformationen sind digitale Signaturen, Smartcards, biometrische Daten und eine Kombination aus Benutzernamen und Kennwörtern.

Autorisierung

Die Gewährung von Zugriff auf bestimmte Informationen, Dienstleistungen oder Funktionen für eine Person, einen Computerprozess oder ein Gerät. Die Autorisierung leitet sich von der Identität der Person, des Computerprozesses oder Geräts ab, die/der/das durch die Authentifizierung überprüft wird.

Änderungsmanagement

Die Verwaltung von Änderungen mittels erprobter Methoden und Techniken zur Vermeidung neuer Fehler und zur Minimierung der Auswirkung von Änderungen.

Computersicherheit

Schutz von Informationen und Ressourcen durch Technologie, Prozesse und Training.

Cracker

Ein Übeltäter, der mithilfe von technologischen Strategien (nicht mittels Social Engineering) in ein Computersystem einbricht.

Download

Übertragung der Kopie einer Datei von einem Remotecomputer auf einen anfordernden Computer über ein Modem oder Netzwerk.

Extranet

Erweiterung des Intranets eines Unternehmens zur leichteren Kommunikation mit vertrauenswürdigen Geschäftspartnern. Über ein Extranet können solche vertrauenswürdige Partner eingeschränkten Zugriff auf die internen Geschäftsdaten des Unternehmens erhalten.

Firewall

Eine Sicherheitslösung, die einen Teil eines Netzwerks von einem anderen trennt, so dass nur autorisierter Netzwerkdatenverkehr gemäß den Filterregeln stattfinden kann.

Malware

Software, die die böswilligen Absichten eines Angreifers erfüllt, wenn sie ausgeführt wird. Dabei kann es sich zum Beispiel um Viren, Würmer und trojanische Pferde handeln.

Netzwerkanmeldung

Das Anmelden an einem Computer über ein Netzwerk. In der Regel meldet sich ein Benutzer zuerst interaktiv an einem lokalen Computer an und gibt dann seine Anmeldeinformationen für den Zugriff auf einen anderen Computer (z. B. einen Server) im Netzwerk ein, zu dessen Nutzung er autorisiert ist.

Kennwort

Eine Zeichenfolge, die ein Benutzer eingibt, um seine Identität in einem Netzwerk oder auf einem lokalen Computer nachzuweisen. Siehe auch „Sicheres Kennwort“.

Berechtigungen

Autorisierungen zur Durchführung von Vorgängen in Verbindung mit einer bestimmten gemeinsam genutzten Ressource, etwa einer Datei, einem Verzeichnis oder einem Drucker. Die Berechtigungen werden den einzelnen Benutzerkonten oder administrativen Gruppen von einem Systemadministrator erteilt.

Geheimzahl (Personal Identification Number, PIN)

Ein geheimer Identifizierungscode ähnlich einem Kennwort, der einem autorisierten Benutzer zugewiesen ist. Eine Geheimzahl wird meist in Verbindung mit einem Geldautomaten oder einer Smartcard verwendet, beispielsweise, um eine personenbezogene Funktion, etwa Zugriff auf ein Bankkonto, freizugeben.

Personenbezogene Informationen (Personally Identifiable Information, PII)

Alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Beispiele hierfür sind Name, Postadresse, E-Mail-Adresse, Kreditkartennummer, Sozialversicherungsnummer, Personenkennziffer, IP-Adresse oder eine sonstige eindeutige Kennung, die in einem anderen System mit den personenbezogene Informationen in Verbindung gebracht werden können. Personenbezogene Informationen werden auch als persönliche Informationen oder persönliche Daten bezeichnet.

Persönliche Daten

Siehe „Personenbezogene Informationen (Personally Identifiable Information, PII)“.

Phreaker

Ein böswilliger Benutzer, der unbefugt eine Nebenstellenanlage nutzt, um Telefonanrufe zu tätigen.

Phisher

Ein böswilliger Benutzer, der den Adressaten durch Täuschung dazu zu verleiten versucht, persönliche Informationen wie etwa Kennwörter oder Geheimzahlen preiszugeben. Ein Phisher verwendet meist irreführende E-Mails oder Onlinewerbung als Köder, mit denen arglose Benutzer auf betrügerische Websites gelockt werden, auf denen sie dann zur Angabe ihrer persönlichen Informationen verleitet werden sollen.

Physische Sicherheitsanfälligkeit

Fehlende physische Sicherheit für einen Computer. Beispiel: Eine Arbeitsstation wird ohne Sperrvorrichtung in einem Arbeitsbereich eingeschaltet gelassen, auf den unbefugte Benutzer Zugriff haben.

Datenschutz

Das Recht des Benutzers auf eigene Kontrolle über die Erfassung, Nutzung und Verbreitung seiner persönlichen Informationen.

Sicherheitsanfälligkeit

Eine Anfälligkeit in einer Software, die durch Microsoft-Sicherheitsupdates und Sicherheitsbulletins oder durch ein Service Pack behoben werden kann.

Spam

Unerwünschte Werbe-E-Mails. Wird auch als Junk-E-Mail bezeichnet.

Spoofing

Vortäuschen, dass eine Nachricht von einem anderen Absender als dem tatsächlichen Absender stammt.

Spyware

Software, die Werbung anzeigt (z. B. Popupwerbung), Informationen über einen Benutzer sammelt oder ohne dessen volle Zustimmung Einstellungen auf seinem Computer ändert.

Sicheres Kennwort

Kennwort, das einen wirksamen Schutz vor unbefugtem Zugriff auf eine Ressource bietet. Ein sicheres Kennwort besteht aus mindestens sechs Zeichen, enthält nicht den Kontonamen des Benutzers oder Teile davon, und enthält mindestens drei der vier folgenden Zeichentypen: Großbuchstaben, Kleinbuchstaben, Ziffern von 0 bis 9 und auf der Tastatur zu findende Symbole wie !, @ und #.

Trojanisches Pferd

Ein Programm, das nützlich oder harmlos erscheint, aber in sich Code verbirgt, der den Computer, auf dem das Programm ausgeführt wird, ausspionieren oder schädigen soll. Trojanische Pferde werden in der Regel über E-Mail-Nachrichten zugestellt, in denen der Zweck und die Funktion des Programms falsch dargestellt werden. Wird auch als Trojaner bezeichnet.

Upgrade

Ein Softwarepaket, das eine installierte Softwareversion durch eine neuere Version derselben Software ersetzt. Beim Aktualisierungsprozess bleiben in der Regel die bisherigen Kundendaten und Voreinstellungen erhalten, es wird lediglich die Software durch eine neuere Version ersetzt.

Benutzer-ID

Ein eindeutiger Name, mit dem sich ein Benutzer bei einem Computersystem anmelden kann.

Virus

Code, der absichtlich so geschrieben wird, dass er sich selbst vermehrt. Ein Virus versucht, sich von einem Computer zum anderen weiterzuverbreiten, indem er sich an ein Hostprogramm anhängt. Er kann Hardware, Software oder Daten beschädigen. Vergleiche „Wurm“. Siehe auch die von der Virus Info Alliance (f-secure.com) festgelegte Definition.

Sicherheitslücke

Jede Schwachstelle, administrative Vorgehensweise oder physische Schutzlosigkeit, die einen Computer für Bedrohungen anfällig macht.

Wurm

Sich selbst vermehrender bösartiger Code, der sich über Netzwerkverbindungen automatisch von einem Computer auf andere verteilen kann. Ein Wurm kann eine schädliche Wirkung zeigen, beispielsweise Netzwerkressourcen oder lokale Systemressourcen beanspruchen und unter Umständen Denial-of-Service-Angriffe (DoS-Angriffe) verursachen. Vergleiche „Virus“.


Download

Dokument „Schutz von Insidern vor Bedrohungen durch Social Engineering“ herunterladen


Anzeigen: