1. Datensicherung und Notfallwiederherstellung - tomtec
1. Datensicherung und Notfallwiederherstellung - tomtec
1. Datensicherung und Notfallwiederherstellung - tomtec
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
IT Sicherheitshandbuch für KMU<br />
ABWEHR VON SOCIAL ENGINEERING-ANGRIFFEN<br />
Als Social Engineering bezeichnet man das Manipulieren von Personen, um unbefugt Zugang zu vertraulichen<br />
Informationen oder IT-Systemen zu erhalten.<br />
Die Angriffe werden meistens über das Telefon, unter Umständen aber auch durch persönliches<br />
Auftreten des „Social Engineers“ geführt: Der Angreifer gibt sich als Mitarbeiter, K<strong>und</strong>e oder IT-<br />
Techniker des Unternehmens aus <strong>und</strong> überzeugt einen Benutzer durch geschickte Täuschung<br />
von seiner Identität. Bei geeigneter Gelegenheit – oft erst nach mehrmaligen Telefonaten –<br />
erhält er Informationen, die der Firmenmitarbeiter einem Unbekannten nie zukommen lassen<br />
würde; er kann sein Opfer auch zu unerlaubten Handlungen bewegen etc.<br />
Der Erfolg von Social Engineering-Angriffen kann nie ausgeschlossen werden. Ihre Gefährlichkeit<br />
liegt in der Ausnutzung menschlicher Eigenschaften <strong>und</strong> Schwächen: Hilfsbereitschaft<br />
<strong>und</strong> Höflichkeit, K<strong>und</strong>enfre<strong>und</strong>lichkeit, aber auch Autoritätshörigkeit <strong>und</strong> Angst. Einige Maßnahmen<br />
können aber helfen, das Risiko zu verringern:<br />
■ Schulungen der Mitarbeiter über Social Engineering-Strategien <strong>und</strong> -Methoden<br />
helfen, sie auf Angriffe dieser Art vorzubereiten.<br />
■ Alle Mitarbeiter müssen regelmäßig auf den Wert der von ihnen bearbeiteten<br />
Daten hingewiesen werden, insbesondere auf den Schaden, den ein Angreifer damit<br />
verursachen könnte.<br />
■ Schriftliche Festlegungen, welche Informationen vertraulich behandelt werden<br />
müssen <strong>und</strong> welche auch an Unbekannte weitergegeben werden dürfen, können den<br />
Benutzern zur Orientierung dienen <strong>und</strong> dem Unternehmen auch als Argumentationshilfe<br />
nach Sicherheitsvorfällen nützlich werden.<br />
■ Auch Festlegungen zur Anfragenform sind sinnvoll: Das Anfordern einer Rückrufnummer<br />
oder einer schriftlichen Anfrage kann einen Social Engineer unter Umständen<br />
bereits zurückschrecken <strong>und</strong> gibt den Mitarbeitern Gelegenheit zu Nachfragen.<br />
Auskünfte zu sensiblen Daten sollten ohnehin nur bei persönlichem Erscheinen<br />
erteilt werden.<br />
■ Besonders neuen Mitarbeitern sollte empfohlen werden, Anfragen, bei denen sie<br />
unsicher sind, ob eine Beantwortung zulässig ist, an ihre Vorgesetzten oder andere<br />
erfahrene Personen weiterzuleiten.<br />
■ Mitarbeiterkommunikation ist wichtig: Bei „verdächtigen“ Anfragen sollten auch<br />
die anderen Mitarbeiter informiert werden, um zu verhindern, dass ein abgewiesener<br />
Angreifer sein Glück bei anderen, zugänglicheren Kollegen versucht.<br />
40