Y wie You

In unserem Azubi-Blog erklären wir jede Woche einen Begriff aus dem ABC der IT-Security. Heute: Y wie You

Wenn “DU” zur Sicherheitslücke wirst, können technische Schutzmaßnahmen noch so gut sein.  Wenn der User sorglos mit den Daten umgeht, helfen diese Maßnahmen leider nicht. Neben der Technik ist daher auch die Berücksichtigung des Faktors „Mensch“ beim Thema IT-Sicherheit entscheidend. Bedrohungen können längst nicht nur durch externe Angriffe entstehen, sondern auch bewusst oder unbewusst intern durch Mitarbeiter.

Ein häufig genutztes Verfahren, um die Schwachstelle “Mensch” auszunutzen, ist die sogenannte Social-Engineering-Attacke. Eine der verbreitetsten Formen dafür sind Phishing-Mails. Dies sind gut getarnte E-Mails, zum Beispiel von der vermeintlichen Hausbank, die zu Überprüfungszwecken nach Kontodaten oder PIN und TAN von Online-Banking-Zugängen fragen. Übergibt das Opfer die Daten, kann der Betrüger eine Geldüberweisung zu Lasten des Opfers tätigen.

Eine weitere Form des Social-Engineering ist das “Prexting”. Dabei wird mit einer ausgeklügelten Identität eine bestehende persönliche oder geschäftliche Beziehung zum Unternehmen vorgetäuscht. Das Ziel ist, an persönliche oder geschäftliche Mails zu gelangen. Der Angreifer gibt sich beispielsweise als Dienstleister, Lieferant oder Techniker aus und gibt vor bestimmte Daten zu benötigen.

Auch mobile Geräte wie Laptops, Smartphones oder Tablets, die mittlerweile für viele zum Arbeitsalltag gehören, sind ein potenzieller Risikofaktor. Bei Verlust oder Diebstahl entstehen nicht nur Kosten für die Wiederbeschaffung, sondern besteht auch die Gefahr das der Dieb oder der sogenannte „Finder“ unberechtigt Zugriff auf firmeninterne Informationen erhält. Weitere Gefahren lauern etwa bei E-Mail-Anhängen, die Schadsoftware enthalten.

Wer ist davon betroffen?

Grundsätzlich kann jedes Unternehmen durch eine Social Engineering Attacke angegriffen werden. Vor allem da, wo Menschen der Schlüssel zu Geld oder wertvollen Informationen sind. Die Zielgruppe sind Mitarbeiter, über die im Internet recht einfach Daten wie die E-Mail-Adresse oder andere persönliche Informationen herauszufinden sind und Mitarbeiter, die Zugang zu wichtigen Unternehmensdaten haben.

Wie die Beispiele zeigen, sollte es für Unternehmen unerlässlich sein, ihre Mitarbeiter auf das Thema Informationssicherheit und IT-Sicherheit vorzubereiten. Es müssen Verhaltensregeln eingeführt werden, die den Anforderungen des Unternehmens entsprechen.  Regelmäßige Schulungen und Kampagnen zur Informationssicherheit sollen dem Mitarbeiter die notwendige Awareness verleihen.