Newsfeed abonnieren
Geht es um Schutz gegen Angriffe aus dem Internet, sind viele Unternehmen überzeugt, mit den neuesten Security Tools hochgerüstet zu sein und wenig befürchten zu müssen. Das mag im Hinblick auf Hacker und andere Bösewichte aus dem Internet richtig sein, doch nicht unbedingt im Falle des Social Engineerings. Diese „Technik“ beschreibt das Vorgehen von Cyber-Kriminellen, Kenntnis von internen Firmen-Daten über persönliche Beziehung zu Mitarbeitern auszuspionieren und nicht über irgendeine Software-Hintertür.
Das Problem ist zwar seit längerem bekannt, doch mit der zunehmenden Verbreitung von Social Media wie Facebook, Twitter und dergleichen eröffnen sich für Social Engineering ganz neue Möglichkeiten.
So lassen sich mit relativ einfachen Tricks Zugangsdaten von Facebook- oder Twitter-Usern herausfinden, sei es über freundschaftliche Kontaktaufnahmen oder simple Apps. Auf diesem Weg können Datenschnüffler immer tiefer in ein Netzwerk von Freunden oder Firmenkollegen eindringen und Informationen und E-Mail-Adressen sammeln. Damit lassen sich zum Beispiel gezielte E-Mail-Attacken mit präparierten Mails und Anhängen auf Firmen-Mailadressen starten. Je mehr Leute diese erhalten, desto wahrscheinlicher ist es, dass Anhänge mit Malware und Schnüffelprogrammen innerhalb des Firmennetzwerkes geöffnet werden und ihr böses Werk verrichten können. Angreifer können sich auch hinter firmeninternen Mailadressen verbergen und so vom Administrator etwa Passwörter oder von ahnungslosen anderen Mitarbeitern firmeninterne Informationen anfordern.
Die Lösung dieses Problems ist schwieriger als erwartet: Natürlich steht es Firmen frei, die Nutzung von Social- Media-Plattformen im Unternehmen zu untersagen oder zu sperren: Doch seit Social Media immer mehr zum Bestandteil auch von interner und externer Firmenkommunikation wird, sind Zugriffssperren nicht mehr besonders sinnvoll. Schutz bietet - neben umfangreicher firmeninterner Aufklärungsarbeit über Sicherheitslevels und Datenvertraulichkeit und obligatorischer, zusätzlicher Verschlüsselung von Firmendaten - ein Monitoring des Traffics auf den Social-Media-Seiten, was aber wiederum mit dem Datenschutzbeauftragten der Firma im Detail abgesprochen werden muss. Weiters sollte der Zugang zu Social Media-Seiten nur über bestimmte, vom Firmen-Intranet getrennte Kanäle verlaufen, was es leichter macht, Info-Löcher zu lokalisieren und zu schließen.
Hier gratis downloaden!
1/2012
8/2011
Mag. Dominik Troger gehört seit 1992 zum MONITOR-Team. Er begann als News-Redakteur und betreute viele Jahre die MONITOR Weiterbildungsbeilage "Job Training". Seit dem Jahre 2000 war er als Chef vom Dienst tätig, mit Dezember 2009 übernahm er die Chefredaktion. 