Datenschutz am Arbeitsplatz – Fünf Prinzipien der Social-Engineering-Attacke

Nicht erst seit der EU-Datenschutz-Grundverordnung (DSGVO) steht das Thema Datenschutz im Fokus. Nahezu alle Arbeitsbereiche sehen sich mit der Herausforderung konfrontiert, Informationen sicher zu dokumentierten, weiterzuleiten und zu veröffentlichen. In unserem Beitrag erläutern wir die Gefahren am Bildschirmarbeitsplatz anhand der fünf Prinzipien der Social-Engineering-Attacke und geben Hinweise für die sichere Arbeitsplatzgestaltung.

Wer mehr über den Einsatz unserer cloudbasierten Arbeitsschutz-Software iManSys wissen möchte, dem empfehlen wir die Lektüre unseres kostenfreien E-Books „Das große Buch des digitalen HSQE-Managements“. Viel Spaß beim Lesen!

Datenschutz am Arbeitsplatz – Fünf Prinzipien der Social-Engineering-Attacke

Der Compliance-Barometer 2018 der CMS zeigt, dass ein beträchtlicher Teil der Compliance-Verantwortlichen (35 Prozent) den Datenschutz als wesentliches Risiko einschätzen. Der richtige Umgang mit (sensiblen) Daten und Informationen betrifft jedoch nahezu alle Unternehmensbereiche.

Insbesondere Bildschirmarbeitsplätze sind u. a. aufgrund von Netzwerkanbindungen von möglichen Cyberattacken bzw. Datenmissbrauch betroffen. Dabei sind es oftmals die Mitarbeiter, welche aufgrund sozialer Mechanismen auf Betrugsversuche hereinfallen oder gedankenlos mit dem Transfer von Daten umgehen.

Ein gängiges Vorgehen bei Cyberattacken ist es, das Vertrauen eines autorisierten Nutzers zu gewinnen und so an vertrauliche Informationen aus dem Netzwerk zu gelangen. Dieses Vorgehen wird auch als Social-Engineering-Attacke bezeichnet. Ferreira, Conventry und Lenzini (2015) haben fünf Prinzipien der Social-Engineering-Attacke identifiziert, mit welchen Menschen manipuliert werden können:

1. Autorität („authority“)

Angestellte sind es gewohnt, Anweisungen von Autoritätspersonen entgegenzunehmen (bspw. Geschäftsführer, Teamleiter). Autorität wird in diesem Zusammenhang auch durch Titel oder Statussymbole kommuniziert. Dies passiert beispielsweise in Phishing-E-Mails, welche die Adressaten dazu auffordern, die Zugangsdaten zu ihrem Online-Banking zur legitimieren.

2. Soziale Bewährtheit („social proof“)

Neue Mitarbeiter neigen dazu, das Verhalten ihrer Kollegen zu imitieren bzw. sich den Gegebenheiten anzupassen, um nicht aufzufallen. Das wird oftmals ausgenutzt, um mögliche Sicherheitsbedenken aus dem Weg zu räumen („Das haben die Kollegen bereits freigegeben.“ / „Das haben wir hier im Haus schon immer so gemacht.“).

3. Sympathie, Ähnlichkeit und Täuschung („liking, similarity, deception“)

Mitarbeiter sind eher dazu gewillt, einer Bitte nachzukommen, wenn ihr Gegenüber sympathisch und attraktiv erscheint oder gemeinsame Interessen bestehen. Werden also emotionale Bindungen vorgetäuscht, lassen sich auch etwaige mentale Hürden oder Bedenken der Mitarbeiter umgehen.

4. Verpflichtung, Reziprozität und Konsistenz („commitment, reciprociation, consistency“)

Haben sich Personen für etwas entscheiden, tendieren sie dazu, diese Entscheidung bis zum Ende zu tragen – ungeachtet dessen, ob die Konsequenzen eher nachteilig sein könnten. Dementsprechend folgen sie auch Anfragen, die zu ihren eigenen Entscheidungen passen. Hier besteht Manipulationsgefahr. Zudem fühlen sich viele Menschen dazu verpflichtet, für gewisse Gefälligkeiten – seien sie auch noch so klein – entsprechendes Entgegenkommen zu zeigen. Dieser Austauschgedanke wird ebenfalls ausgenutzt.

5. Ablenkung („distraction“)

Menschen haben in der Regel eine begrenzte mentale Kapazität – was zur Folge hat, dass für die Entscheidungsfindung nur die wichtigsten Rahmeninformationen herangezogen werden können. Durch gezielte Ablenkung kann es gelingen, mögliche Betrugsversuche zu verschleiern. Beispiele hierfür sind vorgetäuschte Wettbewerbe oder vermeintliche Last-Minute-Angebote.

Viele sog. Social Engineers machen sich diese Mechanismen zunutze, um ihren Gegenüber gezielt zu manipulieren. Sie nutzen dabei oft eine Kombination der Prinzipien. Was für die professionelle Arbeitswelt abwegig erscheinen mag, zeigt sich aber vielfach in der Praxis: Auch große Unternehmen sind vor Social-Engineering-Attacken nicht gefeit. Prominente Beispiele sind die Firma Leoni (Überweisung von 40 Millionen Euro an ein betrügerisches Konto), die FACC (50 Millionen Euro „verloren gegangen“) oder die Norsk-Hydro (Lösegeld-Angriff zur Entschlüsselung von Systemen).

Um den Risiken entgegenzuwirken, gilt es, alle Mitarbeiter eines Unternehmens regelmäßig für den richtigen Umgang mit Mailings oder Anfragen zu sensibilisieren. Für die Arbeit am Computer sowie für den richtigen Umgang mit sensiblen Daten haben wir einen kleinen Maßnahmenkatalog erstellt, der auch Mitarbeiter mit mangelnder IT-Affinität in ihrer täglichen Arbeit unterstützt.

Maßnahmen für einen sicheren Bildschirmarbeitsplatz

Der folgende kleine Maßnahmenkatalog mag gut geschulten Mitarbeiter als selbstverständlich oder gar banal erscheinen. Der Erfolg von Trickbetrügern zeigt jedoch, dass nicht jeder PC-Nutzer über die potenziellen Gefahren Bescheid weiß. In diesem Zusammenhang raten wir daher zum Leitmotto: Lieber einmal zu viel erzählt als einmal zu wenig.

Spam-Mails

• nicht beantworten, keine Links anklicken, keine Anhänge öffnen, keine Bilder nachladen

Phishing-Mails

• niemals nach einer Aufforderung per Mail Daten eingeben
• Links nur selber eintippen
• Zertifikate von Websites prüfen

Passwörter

• individuelle Passwörter verwenden
• mindestens acht, besser 12 gemischte Zeichen

Cloud-Dienste

• Datenhoheit beachten
• Verschlüsselung verwenden
• Zugang für Dritte kontrollieren
• Ablaufdaten für Freigaben planen

Mobile Datennutzung

• VPN-Verschlüsselung verwenden
• App-Berechtigungen auf mobilen Endgeräten kritisch einschätzen
• regelmäßige Software-Updates
• WLANs löschen, welche länger nicht verwendet wurden
• Hardwareverschlüsselung einschalten
• USB-Sticks und Festplatten nur verschlüsselt verwenden, Daten nach Verwendung löschen, physischen Zugriff sichern

 

Mehr zu den Themen digitale Unterweisung und Arbeitsschutz-Software finden Sie in unserer umfangreichen Content-Bibliothek. Hier haben wir u. a. kostenfreie Whitepaper, E-Books sowie Anwendungsszenarien und Erfolgsgeschichten mit unserer HSQE Compliance-Management-Software iManSys hinterlegt.

Weiterführende Informationen:

Arbeitsschutz-Software: Die wichtigsten Fakten im Überblick

CMS (2019): 4. CMS Compliance-Barometer: Unternehmen unterschätzen wesentliche Risiken. Online verfügbar unter https://cms.law/de/DEU/News-Information/4.-CMS-Compliance-Barometer-Unternehmen-unterschaetzen-wesentliche-Risiken (Zugriffsdatum: 15.10.2019).

Ferreira, A., Coventry, L., Lenzini, G.: Principles of persuasion in social engineering and their use in phishing. In: International Conference on Human Aspects of Information Security, Privacy, and Trust. pp. 36–47. Springer (2015).