Datenschutz bei Social Engineering-Angriffen

Datenschutz bei Social Engineering-Angriffen

Im ersten Moment bemerkt ein Opfer oftmals die Tat des Social Engineerings gar nicht. Umso wichtiger ist es für uns alle, zu wissen, was Social Engineering ist und wie eine Person als Beschäftigte im Unternehmen sich möglichst davor schützen kann. Wie kann ein Verantwortlicher also den Datenschutz bei Social Engineering-Angriffen wahren?

Social Engineering

Das Social Engineering beschreibt eine Handlung, bei der ein Angreifer versucht, eine Person so zu manipulieren, dass sie freiwillig Informationen preisgibt oder in einer Weise handelt, die ihr bzw. dem Unternehmen, für das sie arbeitet, schadet und dem Angreifer Nutzen bringt – egal, in welcher Weise. Solch ein Ziel kann darin bestehen, dass er die betroffene Person dazu verleitet, unwissend Schad-Software zu installieren, dem Angreifer Geld zu überweisen oder sonstige interne Daten herauszugeben. Während des Social Engineerings befindet sich die betroffene Person im Glauben, zu helfen oder Anordnungen zu folgen. Folglich sind Social Engineering-Angriffe meist durch Ausnutzen der menschlichen Hilfsbereitschaft und der Angst, dem Vertrauen und dem Respekt vor Autorität erfolgreich.

Dringende, von der Unternehmensleitung angeordnete Geldüberweisung (Der falsche Chef)

Ein Vorzeigebeispiel für einen Social Engineering-Angriff ist der Fall, in dem ein Beschäftigter, meist in der Buchhaltung, eine Nachricht – oft von einer gefälschten E-Mail-Adresse – vom Chef erhält. Dabei benötigt der Chef unbedingt und streng vertraulich die Überweisung einer bestimmten Geldsumme, beispielsweise für eine wichtige und nur kurz verfügbare Investitionsmöglichkeit. Da der Beschäftigte befürchtet, etwas falsch zu machen, falls er dieser Aufforderung nicht nachkommt, handelt er in vielen Fällen unverzüglich. Bevor die betroffene Person dann eventuell näher über die Situation nachdenkt, ist das Geld schon an den Angreifer überwiesen.

Installation einer Software-Aktualisierung unbedingt notwendig

Aktualisierungen der IT sind notwendig. Eben, um gerade vor Angriffen zu schützen. Auch dies nutzen Social Engineering-Angreifer aus. Da ruft eventuell der vermeintliche IT-Administrator an und behauptet, die Installation eines bestimmten Software-Updates wäre unbedingt notwendig, um eine Schwachstelle zu beseitigen. Der Beschäftigte denkt, dabei zu helfen, eine Schwachstelle zu beseitigen, und installiert etwas, was sich dann als Schad-Software herausstellt.

Reparatur durch einen Handwerker

In Gebäuden kann es zu Schäden kommen, die ein Verantwortlicher möglichst schnell beseitigen möchte. Ein Beschäftigter weiß vielleicht nicht von einem Schaden, aber wenn der Handwerker von einem auszuführenden Auftragt spricht, wird es schon stimmen, und der Beschäftigte lässt die Person in das Gebäude. Während der Beschäftigte dann seiner Tätigkeit weiter nachgeht und der Handwerker unbeaufsichtigt ist, entwendet der Angreifer beispielsweise unbemerkt wichtige Hardware o. A.

Die Schwachstelle beim Social Engineering

Während ein Angreifer beim Social Engineering vorgibt, eine Schwachstelle zu beseitigen, nutzt er die Schwachstelle „Mensch“ aus. Ein Schaden für die Datensicherheit und damit den Datenschutz ist dann oft das Ergebnis. Dabei kann es sich um einen materiellen oder immateriellen Schaden handeln. Dieser Schaden kann sich beispielsweise in Form der Veröffentlichung von Geschäftsgeheimnissen, des Kapitalverlusts, des Kopierens von Daten oder der Nicht-Verfügbarkeit von Informationen ausdrücken. Wenn bei diesem Schadensfall auch personenbezogene Daten betroffen sind, liegt zusätzlich ein Datenschutzvorfall vor.

Schritte im Falle eines Datenschutzvorfalles

Tritt eine Datenschutzverletzung gemäß Art. 4 Nr. 12 DSGVO ein, muss ein Verantwortlicher überprüfen, ob ein Risiko für die Rechte und Freiheiten der betroffenen Personen entstanden ist. Schätzt er ein, dass ein solches Risiko vorliegt, muss er den Vorfall der jeweiligen zuständigen Datenschutzaufsichtsbehörde innerhalb von 72 Stunden melden (Art. 33 DSGVO). – Mehr zur Meldung von Social Engineering-Angriffen können Sie hier und zum Erkennen von Datenschutzvorfällen  in diesem Beitrag erfahren. – Wenn sich bei der Überprüfung der Datenschutzverletzung herausstellt, dass ein voraussichtlich hohes Risiko für die Betroffenen vorliegt, so muss ein Verantwortlicher auch die Betroffenen selbst über den Vorfall informieren (Art. 34 DSGVO).

Maßnahmen zur Vermeidung eines Social Engineering-Angriffes

Neben technischen Schutzmaßnahmen zur möglichst weitgehenden Reduzierung von technischen Schwachstellen (siehe BSI-Empfehlungen zum IT-Grundschutz und Checkliste „Good Practice bei technischen und organisatorischen Maßnahmen” des Bayerischen Landesamtes für Datenschutzaufsicht) sollte ein Verantwortlicher die Schwachstelle „Mensch“ soweit wie möglich durch entsprechende Sensibilisierung und Schulungen verbessern. Was kann ein Verantwortlicher also an organisatorischen Maßnahmen nach Art. 32 DSGVO ergreifen, um auch die Schwachstelle „Mensch“ zu verringern?

Sensibilisierung

Die eventuell effektivste Maßnahme ist, die Beschäftigten über das Social Engineering aufzuklären und sie zu dieser Bedrohung zu sensibilisieren. Dies kann ein Verantwortlicher im Zuge der regelmäßigen Datenschutzschulung vornehmen. Die Schulungen können vor Ort oder online erfolgen. Dabei helfen beispielsweise Testfragen, Vorführungen, Rollenspiele oder nachgestellte Angriffs-E-Mails, auch, um den Lernerfolg zu überprüfen.

Festgelegte interne Prozesse

Um den Beschäftigten etwaige Ängste zu nehmen, wenn sie eben einer Aufforderung aufgrund eines Gefühls eines Social Engineering-Angriffes nicht nachkommen, kann ein Verantwortlicher auf interne Prozesse hinweisen und dass diese ausschließlich dem jeweiligen Prozedere folgen. Möglicherweise entscheidet sich ein Verantwortlicher auch dafür, Praxistests durchzuführen. – Hierbei ist sicherzustellen, dass kein Beschäftigter bei einem negativen Ergebnis bloßgestellt wird. –

Notfallkontakte/Rücksprache mit dem nachgeahmten Absender

Im Fall einer Anweisung des vermeintlichen Vorgesetzten kann es hilfreich sein, den Beschäftigten eine Kontaktliste der weisungsberechtigten Personen oder Notfallkontakten zur Verfügung zu stellen. So kann jeder Beschäftigte beispielsweise die jeweilige Person anrufen, wenn sie von ihr die vermeintliche Nachricht mit einer Überweisungsaufforderung o. Ä. erhält. Folglich kann ein Verantwortlicher dann auch alle anderen Beschäftigten vor solchen Angriffsversuchen warnen und darauf hinweisen, die IT, Bereichsleiter o. Ä. über solche Angriffsversuche für Nachforschungen zu informieren.

Überprüfung der Absenderadresse/Rufnummer

Es ist lohnenswert, sich die Absenderadresse anzusehen. Da kann schon ein anderer E-Mail-Dienst als der vom Vorgesetzten bekannte auf eine dubiose Tat hinweisen. Ein Verantwortlicher sollte die Beschäftigten darüber informieren. Dies kann er beispielsweise mithilfe von Orientierungshilfen im Intranet umsetzen. Solche Hilfestellungen können informieren, wie Beschäftigte den erweiterten Header in einer E-Mail-Adresse in ihrem E-Mail-Programm aufrufen können. Dies hilft dann, zu erkennen, was daran verdächtig sein kann. Demnach werden Nummern in der E-Mail-Adresse in Firmen-E-Mail-Adressen, die meist eine ähnliche Form wie Name@Firma.de/com o. Ä. haben, meist auch auf Skepsis stoßen.

Wird solch eine Forderung telefonisch gestellt, eventuell mit Technik, die die Stimme der des Vorgesetzten oder des Chefs ähnlich klingen lässt, kann eine andere Redensweise, Tonart etc. Zweifel an der Integrität des Anrufes hervorrufen lassen. Des Weiteren kann auch ein Blick auf die Telefonnummer des Anrufers für (weitere) Aufklärung sorgen.

Rhetorik-/Grammatikfehler

Natürlich weisen auch Rhetorik- und/oder Grammatikfehler darauf hin, dass es sich um einen Angriff handelt. Ein Beschäftigter wird von seinem Chef auch einen gewissen Sprachstil gewöhnt sein.

Fazit

Wer noch nie von Social Engineering gehört hat, läuft Gefahr, ein leichtes Opfer zu werden – nicht nur im Arbeitsleben, sondern auch privat. Aufklärung, Sensibilisierung und Scharfsinn, aber auch technische Grundkenntnisse können vor einem erfolgreichen Social Engineering-Angriff schützen. Auf diese Weise kann ein Verantwortlicher auch negative Folgen für die Einrichtung vermeiden. Solche negativen Folgen können sich in einem Datenschutzvorfall, einer Geldbuße, im Ansehensverlust oder auch in Schadensersatzansprüchen materialisieren.

Wir möchten Ihnen helfen, den Erfolg eines Social Engineering-Angriffes möglichst zu vereiteln. Dabei können wir in Form von Datenschutzschulungen, gern auch als Unterstützung beim Aufbau eines Datenschutz-Management-Systems, beitragen. Kontaktieren Sie uns gern heute noch für ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.