Neuss So leicht lassen sich Mitarbeiter von Kriminellen ausspähen

Neuss · Oft reichen schon einfache Tricks, um bei Unternehmen an Daten zu gelangen. Darauf machte die Sicherheitskonferenz "Take aware" in Neuss aufmerksam. Mit Vorträgen und Spielen wurden die Teilnehmer für das Thema sensibilisiert.

 Es bedarf oft gar keiner großen Technik, um Mitarbeiter von Unternehmen auszuspionieren - ohne dass diese das merken.

Es bedarf oft gar keiner großen Technik, um Mitarbeiter von Unternehmen auszuspionieren - ohne dass diese das merken.

Foto: pixabay.com

Lassen sich Mitarbeiter am Telefon so sehr manipulieren, dass sie fast schon unbewusst Unternehmensinformationen herausgeben? "Ja", sagt die Diplompsychologin Ivona Matas vom Kölner Unternehmen Known-Sense. Ihre Studie stellte sie nun bei der Security-Awareness-Konferenz "Take aware", also einer Konferenz für ein Bewusstsein für Sicherheit von Daten, am Standort Neuss der Rheinischen Fachhochschule Köln (RFH) vor.

"Wir haben uns entschieden, die Konferenz in Neuss zu machen, weil in der Region viele DAX-Unternehmen ansässig sind", erklärt Holger Berens, der Leiter des Kompetenzzentrums Internationale Sicherheit der RFH (KIS). Zusammen mit den Awareness-Dienstleistern Mybreev und Known-Sense hatte dieses die Konferenz initiiert. Themen waren Datenschutz, Mitarbeiter-Sensibilisierung und Sicherheits-Kommunikation. Gekommen waren Unternehmen, Institutionen und Behörden. Zum Beispiel war die Stadt Neuss vertreten, aber auch die Ärztekammer Berlin. In Vorträgen sowie spielerisch konnten sich die Teilnehmer informieren.

Ivona Matas erklärte in ihrem Vortrag, was der Begriff "Social Engineering" bedeutet. "Auf das Thema Sicherheit bezogen bedeutet es die zwischenmenschliche Manipulation mit dem Ziel, unter Vortäuschung falscher Tatsachen unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen", sagte sie. Für die Studie stellte der Dienstleiter Known-Sense Mitarbeiter von Unternehmen auf die Probe.

Ein sogenannter Social Engineer hatte dabei die Aufgabe, die Mitarbeiter anzurufen und diese so zu manipulieren, dass sie unbewusst Informationen herausrücken. Der "Social Engineer" verwickelte die Angestellten in Gespräche. In allen Fällen erhielt er nach Angaben von Matas Informationen über das Unternehmen - obwohl die Mitarbeiter mit einem Anruf rechneten und keine Daten herausgeben sollten. Bei seiner Arbeit nutzte der "Social Engineer" eine Tatsache aus: Menschen sind soziale Wesen. Schon ein unerwartetes Zugehörigkeitsgefühl verbinde sie, so Matas, mit einem Fremden. "Wenn wir hören, dass jemand aus derselben Stadt kommt wie wir, finden wir ihn sofort nett", sagt Matas.

Einige Probanden waren in solchen Fällen redseliger und gaben Informationen raus. Diese waren zwar nicht immer empfindlich, aber auch scheinbar unwichtige Informationen können Außenstehende für ihre Zwecke nutzen. "Das waren jetzt keine Kontodaten, die der Social Engineer rausgefunden hat, aber auch schon Informationen über Dienstbesprechungen und Namen können weiterhelfen", erklärt Matas. So könne sich eine Person mit den Daten zum Beispiel Zutritt zu diesen Konferenzen verschaffen, obwohl sie gar nicht zum Unternehmen gehört. "Auch Infos, die aus Sicht der Mitarbeiter unwichtig sind und dann rausgegeben werden, können Firmen angreifbar machen", so Matas. "Viele Mitarbeiter wissen auch gar nicht, welche Daten empfindlich sind und welche nicht. Da müssen sie geschult werden."

Neben den Vorträgen gab es auch einen Sicherheitsparcours. Die Teilnehmer mussten einzelnen Szenarien die möglichen Risiken zuordnen und sich Schutzmaßnahmen überlegen. Das Spiel zeigte, dass das Erlernen eines Bewusstseins für den sensiblen Umgang mit Daten nicht trocken sein muss, sondern auch in lockerer Runde gelingen kann.

(eler)
Meistgelesen
Neueste Artikel
Zum Thema
Aus dem Ressort