Teaser Bild für Business NewsWissen
bewegt

Social Engineering & Datenschutz: So schützen sich Unternehmen vor Angreifern

Erstellt am 15.03.2018 von Patryk Czechowski in Kategorie(n): Business News

Digitale Grafik, die Datenschutz mit einem Schloss darstelltDas Thema IT-Sicherheit gehört nicht nur in Großkonzernen, sondern auch im Mittelstand mittlerweile zur Tagesordnung. Die Digitalisierung hat für Unternehmen viele Sonnen- aber auch Schattenseiten. Im Datenschutz ist die DSGVO der beste Beweis dafür. Der Schutz vor Sicherheitsrisiken ist dabei nicht nur eine technische Frage. Die größten Gefahren gehen von den Menschen im Unternehmen aus. „Social Engineering“ ist die absichtliche Manipulation von Personen mit dem Ziel, Informationen zu stehlen. Noch nie war es so wichtig, bei Mitarbeitern Bewusstsein für IT-Sicherheit zu schaffen, um das Unternehmen vor Cyberattacken zu schützen.

Cyberkriminelle: Sind wir die ganze Zeit in Gefahr?

Verrückter Mann umhüllt in Alufolie

Angst vor Cybercrime? Kein Grund für den Aluhut

Die Zeit vor dem Internet kommt einem manchmal vor, wie die Erinnerung an ein früheres Leben. Wie viel Zeit verbringen wir heute im Internet? Das allgegenwärtige Online-Sein hat offensichtlich seine Gründe: Jederzeit erreichbar und informiert zu sein, das macht nicht nur Spaß, sondern hat immense praktische Vorteile. Wir leben jedoch in keiner Utopie, sondern in einer Welt mit Cyberkriminalität. Die Lage der IT-Sicherheit in Deutschland 2018 des BSI (Bundesamt für Sicherheit in der Informationstechnik) schreibt: „Knapp 70 Prozent der Unternehmen und Institutionen in Deutschland sind in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden.“

Man muss der Wahrheit also ins Gesicht schauen: Jede Sekunde, die wir online sind, stellt eine Gefahr dar. Doch wie gehen wir damit um? Anstatt uns von der Welt auszustöpseln und den Aluhut aufzusetzen, sollten wir wachsam und handlungsfähig werden. Internet ja, aber sicher bitte. Es gibt vor allem für Unternehmen Wege und Möglichkeiten, sich zu schützen. Wer nicht weiß, wo er bei den Themen Social Engineering, Cyberkriminalität und Datenschutz anfangen soll, greift zum Experten.

Social Engineering erklärt: Der Mensch als Schwachstelle

Für viele Unternehmen scheint die Lösung gegen Cyberkriminalität klar zu sein. Es gibt eine IT-Abteilung und die hält die Technik auf dem neuesten Stand. Damit ist das Thema Datenschutz gegessen. Methoden wie das Social Engineering ignorieren jedoch technische Systeme vollkommen, denn es geht viel einfacher. Der Faktor Mensch kann ausgenutzt werden. Menschen sind leichtgläubig, vertrauenswürdig, kooperativ und gestresst – das perfekte Angriffsziel. Einer Umfrage bei der IT-Sicherheitsmesse Command Control zufolge sehen 61 Prozent der Fachleute die eigenen Mitarbeiter als möglichen Schwachpunkt. Social Engineers studieren menschliche Eigenschaften, wie Wünsche, Ängste und Charaktereigenschaften und nutzen sie für ihre Zwecke aus.

Definition Social Engineering

Wie geht der Social Engineer vor? Beim Social Engineering geht es um die psychologische Manipulation einer Person mit dem Ziel, sie zu einer bestimmten Handlung zu verleiten oder vertrauliche Informationen zu teilen. Das schafft der Social Engineer über eine geschickte E-Mail oder einen Anruf. Social Engineers sind moderne Trickbetrüger. Sie nehmen andere Identitäten an und geben vor, jemand anders zu sein, um das Vertrauen von Personen zu gewinnen und Daten zu erhaschen. Sie verleiten ihre Opfer dazu, unwissentlich Schadsoftware zu installieren oder sensible Daten herauszugeben. Eine E-Mail führt den nichtsahnenden Nutzer auf eine Fake-Website, die so professionell gestaltet ist und so offiziell aussieht, dass kein Gedanke einen Betrug möglich macht. Am Telefon spielen sie mit psychologischen Tricks und Gesprächstechniken, um andere zu überzeugen. Besonders in größeren Unternehmen, in denen Mitarbeiter sich untereinander nicht unbedingt kennen, ist die Gefahr größer. Folgende Angriffswege gibt es beim Social Engineering:

  • Anrufe
  • E-Mails
  • Öffentliche Quellen wie Firmenprofile in Social Media
  • Angriffe vor Ort am Arbeitsplatz
  • Kombinationen von Angriffen zu Großangriffen

Das Beispiel „Phishing“

Ein beliebtes Mittel des Angriffs auf Unternehmen oder Mitarbeiter ist das „Phishing“. Der Hacker „angelt“ nach Passwörtern, indem er die Opfer mit Gewinnspielen oder lukrativen Angeboten ködert. Beim sogenannten „Spear-Phishing“ werden einzelne Personen gezielt mit individualisierten E-Mails adressiert. Die Informationen dazu erhalten die Angreifer über die Firmenwebsite oder Social Media. Je mehr Informationen sie finden, desto authentischer kommen ihre Geschichten rüber. Die Machenschaften im Social Engineering werden dabei immer professioneller. Beim CEO-Betrug gehen die Betrüger mit sehr viel Aufwand und Vorbereitung vor, Geschäftsführer (CEO) zu sein, um Mitarbeiter zum Durchführen von Finanztransaktionen zu bewegen. Die finanziellen Schäden sind hier besonders hoch.

Wer ist verantwortlich im Unternehmen?

Das Problem von Cyberattacken ist, dass bereits das Lahmlegen eines Unternehmensprozesses Geldschäden verursacht. Genau das wollen Cyberkriminelle: Schaden anrichten. Allein einen IT-Mitarbeiter auf die Verteidigung eines Cyberangriffs anzusetzen, kostet bereits Ressourcen. Nebenbei besteht die Gefahr der Imageschädigung, sollten Ihre Kunden und Partner herausfinden, dass Sie ihre Daten verloren haben, weil Sie einem Social Engineer zum Opfer gefallen sind. Datenschutz und IT-Sicherheit sind deshalb schon lange nicht nur Aufgabe der IT-Abteilung, sondern auch der Geschäftsführung. Sie hat die Verantwortung, das Unternehmen und seine Mitarbeiter vorzubereiten und aufzuklären. Insgesamt geht Datenschutz heute alle an.

Na, auch die DSGVO verpennt?

Mann im Bademantel verschlafen in der U-Bahn

So sehen viele Datenschutzexperten aktuell Unternehmen

Nicht nur, dass Hacker uns das Leben schwer machen, auch die Regierung legt Unternehmen rechtliche Stolpersteine in den Weg. Die Datenschutz-Grundverordnung (DSGVO) betrifft kurz gesagt jedes Unternehmen, das eine Internetseite pflegt. Das Ziel der DSGVO ist es, personenbezogene Daten von Privatpersonen zu schützen. Für Unternehmen bedeutet das: Sie müssen nicht nur sich selbst, sondern auch ihre Kunden(daten) mehr als bisher schützen. Tun sie das nicht und kommt es z. B. zu einem erfolgreichen Cyberangriff, werden sie fortan gleich doppelt und dreifach bestraft: Sie müssen die Cyberattacke überstehen, der Kunde und damit ihr Ruf als Unternehmen leidet und sie zahlen an die Aufsichtsbehörde. Die Bußgelder bei Verstoß gegen die DSGVO sind enorm: Bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes.

Kernpunkte der DSGVO

  • Grundsätze für die Verarbeitung personenbezogener Daten
  • Regelung von Einwilligungen und Betroffenenrechten
  • Dokumentations- und Nachweispflichten
  • Anforderungen für Datenschutzbeauftragte
  • Maßnahmen zur Datenschutz-Folgenabschätzung
  • Engere Zusammenarbeit mit Datenschutzaufsichtsbehörden

Grundregeln für den Schutz gegen Social-Engineering-Tricks

Wie gehen wir angesichts von Cyberattacken und strengeren rechtlichen Regelungen vor? Wir haben das Problem bereits festgestellt: Es sind die Mitarbeiter. Wenn wir Social-Engineering-Tricks verhindern möchten, müssen wir diese Mitarbeiter in den Fokus nehmen. Wir müssen sie ausbilden und auf die möglichen Gefahren vorbereiten. Wissen ist die beste Waffe gegen Social Engineering. In diesem Sinne schreibt das BSI:

Unternehmen setzen zunehmend auf Sensibilisierungsmaßnahmen zur Schulung der Mitarbeiter. Meist werden diese Schulungen aber nur sporadisch angeboten, das heißt, es mangelt an Regelmäßigkeit und dem zeitnahen Hinweis auf aktuelle Methoden und Varianten der Angreifer. Umfassender Schutz gegen Social Engineering kann nur durch kontinuierliche und in ein Gesamtkonzept eingebundene Sensibilisierungsmaßnahmen erzielt werden.

Als Grundregeln für den Schutz gegen Social Engineering können wir deshalb festhalten:

  • Schulungen zur Sensibilisierung der Mitarbeiter für psychologische Tricks (Security Awareness im Unternehmen schaffen)
  • Rechtlich im Sinne der DSGVO absichern
  • Einen internen oder externen Datenschutzbeauftragten einsetzen
  • Technische Absicherung nicht vergessen (Wer kann z. B. wie auf sensible Dokumente in Ihrem Unternehmen zugreifen?)

Wie kann eine IT-Security-Schulung helfen?

Das Ziel einer Schulung ist es nicht, Angst im Unternehmen zu schüren. Ihre Mitarbeiter müssen zuerst einmal zu der Einsicht kommen, dass sie potentielle Angriffstellen darstellen. Vorsicht ist besser als Nachsicht. Eine Schulung wird in diesem Sinne das Risikobewusstsein Ihrer Mitarbeiter schärfen, damit diese ein gesundes Misstrauen entwickeln. Im nächsten Schritt kann Achtsamkeit (Security Awareness) als Sicherheitskultur im Unternehmen etabliert werden. Das kann z. B. beinhalten, dass Ihr Unternehmen Verhaltensregeln aufstellt. Social-Media-Guidelines klären beispielsweise, wie sich Mitarbeiter in Sozialen Netzwerken verhalten sollen, um betriebsinterne Informationen nicht versehentlich weiterzugeben. Die Frage “Wie verhalte ich mich im öffentlichen Raum?” bezieht sich nicht nur auf das Internet. Ihre Mitarbeiter müssen auch lernen, in der Öffentlichkeit nicht über firmeninterne Angelegenheiten zu sprechen und die Sichtbarkeit auf Laptops einzuschränken. Insgesamt geht es darum, eine IT-Sicherheitskultur einzuführen, die das Bewusstsein und Verhalten von Mitarbeitern schärft. Das beginnt in der Managementebene Ihres Unternehmens.

Schützen Sie Ihr Unternehmen über eine professionelle Schulung

  • Seminare im Bereich digitale Kompetenzen: Wir haben eine Reihe von Seminaren entwickelt, die sich mit Kompetenzen für die Digitalisierung beschäftigen. Was muss eine Führungskraft im digitalen Zeitalter wissen und können? Wie bereiten Unternehmen Mitarbeiter auf digitale Herausforderungen vor? Wie kann der Einstieg in die Digitalisierung angepackt werden?
  • Bewusstsein für IT-Sicherheit schaffen: Aufklärung für IT-Risiken ist heute eine digitale Grundlagenkompetenz. Welche IT-Security-Begriffe sollten Mitarbeiter kennen? Welche Angriffswege existieren auf sie? Wir geben Ihnen und Ihren Mitarbeitern eine umfassende Einführung mit leicht anwendbaren Praxistipps, um sicher zu bleiben.

  • Social Engineering und Security Awareness: Wie kann sich Ihr Unternehmen im Zeitalter des Social Engineering schützen? Social Engineering ist ein besonderes Sicherheitsrisiko, das gezielt Menschen im Visier hat. Wir geben Ihren Mitarbeitern eine umfassende Einführung in das Thema und schulen sie in Regeln, um Informations- und Datendiebstählen nicht zum Opfer zu fallen.

  • Die EU-Datenschutz-Grundverordnung (DSGVO) und das BDSG-neu im Überblick: Hat Ihr Unternehmen eine Unternehmenswebsite? Dann sind Sie höchstwahrscheinlich in der Verarbeitung personenbezogener Daten involviert. Die DSGVO hat Pflichten für Unternehmen festgelegt. Seit dem 25.05.2018 gibt es kein Zurück mehr und auch Ihr Unternehmen wird bei Datenschutzfragen zur Rechenschaft gezogen. Wir geben einen praktischen Überblick mit Handlungsempfehlungen zur DSGVO.

  • Der Datenschutzbeauftragter inklusive DSGVO und BDSG-neu: Die Rolle des Datenschutzbeauftragten kann nicht unterschätzt werden. Ab einer Unternehmensgröße von mehr als 10 Personen sind Unternehmen verpflichtet, einen Datenschutzbeauftragten einzuberufen. Das ist im Zuge der DSGVO nicht nur Gesetz, sondern hat wirtschaftliche Vorteile. Schaffen Sie einen Verantwortlichen im Unternehmen, der Ansprechpartner für Datenschutzfragen ist. Wir bilden Sie in diesem Seminar DSGVO-konform zum Datenschutzbeauftragten aus.

Geförderte Weiterbildung zum Datenschutzbeauftragten

Der Datenschutzbeauftragte als Berufsfeld bietet im Zuge der DSGVO viele neue Chancen auf dem Arbeitsmarkt. Die Weiterbildung zum Datenschutzbeauftragten ist staatlich gefördert und dauert bei uns einen Monat:



×
Telefonkontakt
Berlin Prenzlauer Berg+49 (030) 84 78 84 87 - 0
Berlin Charlottenburg+49 (030) 86 00 86 06 - 0
Frankfurt am Main +49 (069) 40 15 85 - 13
Basel (Schweiz)+41 (061) 50 01 6 - 71
×