Teaser Bild für Business NewsWissen
bewegt

Social Engineering & Datenschutz: So schützen sich Unternehmen vor Angreifern

Erstellt am 15.03.2018 von Patryk Czechowski in Kategorie(n): Business News

Digitale Grafik, die Datenschutz mit einem Schloss darstelltDas Thema IT-Sicherheit gehört nicht nur in Großkonzernen, sondern auch im Mittelstand mittlerweile zur Tagesordnung. Die Digitalisierung hat für Unternehmen viele Sonnen- aber auch Schattenseiten. Die jeden Tag näher rückende DSGVO zeigt z. B., wie viel Arbeit im Datenschutz auf Unternehmen zukommt. Der Schutz vor Sicherheitsrisiken ist dabei nicht nur eine technische Frage. Die größten Gefahren gehen von den Menschen im Unternehmen aus. Social Engineering ist die absichtliche Manipulation von Personen mit dem Ziel, Informationen zu stehlen. Noch nie war es so wichtig, Mitarbeiter für die Themen Social Engineering und Security Awareness zu schulen, um das Unternehmen vor Cyberattacken zu schützen.

Cyberkriminelle: Sind wir die ganze Zeit in Gefahr?

Verrückter Mann umhüllt in Alufolie

Angst vor Cybercrime? Kein Grund für den Aluhut

Die Zeit vor dem Internet kommt einem manchmal vor, wie die Erinnerung an ein früheres Leben. Wie viel Zeit verbringen wir heute im Internet? Das allgegenwärtige Online-Sein hat offensichtlich seine Gründe: Jederzeit erreichbar und informiert zu sein, das macht nicht nur Spaß, sondern hat immense praktische Vorteile. Wir leben jedoch in keiner Utopie und so gehören Cyberkriminelle zur Tagesordnung. Die Lage der IT-Sicherheit in Deutschland 2017 des BSI (Bundesamt für Sicherheit in der Informationstechnik) schreibt: „Die Schäden, die dabei für die Gesellschaft entstehen, gehen in die Millionen.“

Man muss der Wahrheit also ins Gesicht schauen: Jede Sekunde, die wir online sind, stellt eine Gefahr dar. Doch wie gehen wir damit um? Anstatt uns von der Welt auszustöpseln und den Aluhut aufzusetzen, sollten wir wachsam und handlungsfähig werden. Internet ja, aber sicher bitte. Es gibt vor allem für Unternehmen Wege und Möglichkeiten, sich zu schützen. Wer nicht weiß, wo er bei den Themen Social Engineering, Cyberkriminalität und Datenschutz anfangen soll, greift zum Experten.

Social Engineering erklärt: Der Mensch als Schwachstelle

Für viele Unternehmen scheint die Lösung gegen Cyberkriminalität klar zu sein. Es gibt eine IT-Abteilung und die hält die Technik auf dem neuesten Stand. Damit ist das Thema Datenschutz gegessen. Methoden wie das Social Engineering ignorieren jedoch technische Systeme vollkommen, denn es geht viel einfacher. Der Faktor Mensch kann ausgenutzt werden. Menschen sind leichtgläubig, vertrauenswürdig, kooperativ und gestresst – das perfekte Angriffsziel. Einer Umfrage bei der IT-Sicherheitsmesse Command Control zufolge sehen 61 Prozent der Fachleute die eigenen Mitarbeiter als möglichen Schwachpunkt. Social Engineers studieren menschliche Eigenschaften, wie Wünsche, Ängste und Charaktereigenschaften und nutzen sie für ihre Zwecke aus.

Definition Social Engineering

Wie geht der Social Engineer vor? Beim Social Engineering geht es um die psychologische Manipulation einer Person mit dem Ziel, sie zu einer bestimmten Handlung zu verleiten oder vertrauliche Informationen zu teilen. Das schafft der Social Engineer über eine geschickte E-Mail oder einen Anruf. Social Engineers sind moderne Trickbetrüger. Sie nehmen andere Identitäten an und geben vor, jemand anders zu sein, um das Vertrauen von Personen zu gewinnen und Daten zu erhaschen. Sie verleiten ihre Opfer dazu, unwissentlich Schadsoftware zu installieren oder sensible Daten herauszugeben. Eine E-Mail führt den nichtsahnenden Nutzer auf eine Fake-Website, die so professionell gestaltet ist und so offiziell aussieht, dass kein Gedanke einen Betrug möglich macht. Am Telefon spielen sie mit psychologischen Tricks und Gesprächstechniken, um andere zu überzeugen. Besonders in größeren Unternehmen, in denen Mitarbeiter sich untereinander nicht unbedingt kennen, ist die Gefahr größer. Folgende Angriffswege gibt es beim Social Engineering:

  • Anrufe
  • E-Mails
  • Öffentliche Quellen wie Firmenprofile in Social Media
  • Angriffe vor Ort am Arbeitsplatz
  • Kombinationen von Angriffen zu Großangriffen

Das Beispiel „Phishing“

Ein beliebtes Mittel des Angriffs auf Unternehmen oder Mitarbeiter ist das „Phishing“. Der Hacker „angelt“ nach Passwörtern, indem er die Opfer mit Gewinnspielen oder lukrativen Angeboten ködert. Beim sogenannten „Spear-Phishing“ werden einzelne Personen gezielt mit individualisierten E-Mails adressiert. Die Informationen dazu erhalten die Angreifer über die Firmenwebsite oder Social Media. Je mehr Informationen sie finden, desto authentischer kommen ihre Geschichten rüber. Die Machenschaften im Social Engineering werden dabei immer professioneller. Beim CEO-Betrug gehen die Betrüger mit sehr viel Aufwand und Vorbereitung vor, Geschäftsführer (CEO) zu sein, um Mitarbeiter zum Durchführen von Finanztransaktionen zu bewegen. Die finanziellen Schäden sind hier besonders hoch.

Wer ist verantwortlich im Unternehmen?

Das Problem von Cyberattacken ist, dass bereits das Lahmlegen eines Unternehmensprozesses Geldschäden verursacht. Genau das wollen Cyberkriminelle: Schaden anrichten. Allein einen IT-Mitarbeiter auf die Verteidigung eines Cyberangriffs anzusetzen, kostet bereits Ressourcen. Nebenbei besteht die Gefahr der Imageschädigung, sollten Ihre Kunden und Partner herausfinden, dass Sie ihre Daten verloren haben, weil Sie einem Social Engineer zum Opfer gefallen sind. Datenschutz und IT-Sicherheit sind deshalb schon lange nicht nur Aufgabe der IT-Abteilung, sondern auch der Geschäftsführung. Sie hat die Verantwortung, das Unternehmen und seine Mitarbeiter vorzubereiten und aufzuklären. Insgesamt geht Datenschutz heute alle an.

Na, auch die DSGVO verpennt?

Mann im Bademantel verschlafen in der U-Bahn

So sehen viele Datenschutzexperten aktuell Unternehmen

Nicht nur, dass Hacker uns das Leben schwer machen, auch die Regierung legt Unternehmen rechtliche Stolpersteine in den Weg. Die Datenschutz-Grundverordnung (DSGVO) wird ab dem 25.05.2018 wirksam und betrifft kurz gesagt jedes Unternehmen, das eine Internetseite pflegt. Das Ziel der DSGVO ist es, personenbezogene Daten von Privatpersonen zu schützen. Für Unternehmen bedeutet das: Sie müssen nicht nur sich selbst, sondern auch ihre Kunden(daten) mehr als bisher schützen. Tun sie das nicht und kommt es z. B. zu einem erfolgreichen Cyberangriff, werden sie fortan gleich doppelt und dreifach bestraft: Sie müssen die Cyberattacke überstehen, der Kunde und damit ihr Ruf als Unternehmen leidet und sie zahlen an die Aufsichtsbehörde. Die Bußgelder bei Verstoß gegen die DSGVO sind enorm: Bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes. Bisher lagen diese bei 50.000 bis 300.000 Euro. Es wird also ernst für Unternehmen und vor allem wird die Zeit knapp.

Kernpunkte der DSGVO

  • Neue Grundsätze für die Verarbeitung personenbezogener Daten
  • Strengere Regelungen bei Einwilligungen und Betroffenenrechten
  • Mehr Dokumentations- und Nachweispflichten
  • Neue Anforderungen für Datenschutzbeauftragte
  • Maßnahmen zur Datenschutz-Folgenabschätzung
  • Engere Zusammenarbeit mit Datenschutzaufsichtsbehörden

Die Zeit rennt davon

Laut des Berufsverbandes der Rechtsjournalisten e.V. sind 90 % der Betriebe in Deutschland in Bezug auf die DSGVO im Rückstand. Dies betrifft vor allem das E-Mail-Marketing und die Dokumentationspflicht. Wenn auch Sie die DSGVO bisher verschlafen haben, gibt es keinen Grund, in Panik zu geraten. Ein kurzer Blick in Google Trends zeigt, dass Sie nicht alleine sind. Seit Jahresbeginn 2018 schießen die Suchanfragen zum Thema DSGVO in die Höhe. Firmen setzen sich jetzt daran, sich professionell beraten und schulen zu lassen. Im IFM-Wissensbrunch: DSGVO stellten wir Ende 2017 dasselbe fest. Unternehmen begannen zögerlich, sich dem Thema DSGVO zu nähern, obwohl sie mit der Dringlichkeit vertraut waren. Spätestens jetzt sollte jedem klar sein: Die Uhr tickt. Vergessen Sie nicht, Zeit zur Umsetzung der DSGVO-konformen Maßnahmen einzuplanen.

Google Trends zum Suchbegriff DSGVO von 2017-2018 zeigt enormen Anstieg seit 2018

Grundregeln für den Schutz gegen Social-Engineering-Tricks

Wie gehen wir angesichts von Cyberattacken und strengeren rechtlichen Regelungen vor? Wir haben das Problem bereits festgestellt: Es sind die Mitarbeiter. Wenn wir Social-Engineering-Tricks verhindern möchten, müssen wir diese Mitarbeiter in den Fokus nehmen. Wir müssen sie ausbilden und auf die möglichen Gefahren vorbereiten. Wissen ist die beste Waffe gegen Social Engineering. In diesem Sinne schreibt das BSI:

Unternehmen setzen zunehmend auf Sensibilisierungsmaßnahmen zur Schulung der Mitarbeiter. Meist werden diese Schulungen aber nur sporadisch angeboten, das heißt, es mangelt an Regelmäßigkeit und dem zeitnahen Hinweis auf aktuelle Methoden und Varianten der Angreifer. Umfassender Schutz gegen Social Engineering kann nur durch kontinuierliche und in ein Gesamtkonzept eingebundene Sensibilisierungsmaßnahmen erzielt werden.

Als Grundregeln für den Schutz gegen Social Engineering können wir deshalb festhalten:

  • Schulungen zur Sensibilisierung der Mitarbeiter für psychologische Tricks (Security Awareness im Unternehmen schaffen)
  • Rechtlich im Sinne der DSGVO absichern
  • Einen internen oder externen Datenschutzbeauftragten einsetzen
  • Technische Absicherung nicht vergessen (Wer kann z. B. wie auf sensible Dokumente in Ihrem Unternehmen zugreifen?)

Wie genau kann eine Schulung helfen? Das Ziel einer Schulung ist es nicht, Angst im Unternehmen zu schüren. Ihre Mitarbeiter müssen zuerst einmal zu der Einsicht kommen, dass sie potentielle Angriffstellen darstellen. Vorsicht ist besser als Nachsicht. Eine Schulung wird in diesem Sinne das Risikobewusstsein Ihrer Mitarbeiter schärfen, damit diese ein gesundes Misstrauen entwickeln. Im nächsten Schritt kann Achtsamkeit (Security Awareness) als Sicherheitskultur im Unternehmen etabliert werden. Das kann z. B. beinhalten, dass Ihr Unternehmen Verhaltensregeln aufstellt. Social-Media-Guidelines klären beispielsweise, wie sich Mitarbeiter in Sozialen Netzwerken verhalten sollen, um betriebsinterne Informationen nicht versehentlich weiterzugeben. Die Frage “Wie verhalte ich mich im öffentlichen Raum?” bezieht sich nicht nur auf das Internet. Ihre Mitarbeiter müssen auch lernen, in der Öffentlichkeit nicht über firmeninterne Angelegenheiten zu sprechen und die Sichtbarkeit auf Laptops einzuschränken. Insgesamt geht es darum, eine IT-Sicherheitskultur einzuführen, die das Bewusstsein und Verhalten von Mitarbeitern schärft. Das beginnt in der Managementebene Ihres Unternehmens.

Schützen Sie Ihr Unternehmen über eine professionelle Schulung

  • Social Engineering und Security Awareness: Wie kann sich Ihr Unternehmen im Zeitalter des Social Engineering schützen? Wir geben Ihren Mitarbeitern eine umfassende Einführung in das Thema und schulen sie darin, welche Regeln es zu beachten gibt, um Informations- und Datendiebstählen nicht zum Opfer zu fallen.

  • Die neue EU-Datenschutz-Grundverordnung (DSGVO) und das BDSG-neu im Überblick: Hat Ihr Unternehmen eine Unternehmenswebsite? Dann sind Sie höchstwahrscheinlich in der Verarbeitung personenbezogener Daten involviert. Die DSGVO schafft neue Pflichten für Unternehmen. Ab dem 25.05.2018 gibt es kein Zurück mehr und auch Ihr Unternehmen wird bei Datenschutzfragen zur Rechenschaft gezogen. Wir geben einen praktischen Überblick mit Handlungsempfehlungen zur DSGVO. Die Uhr tickt. Worauf warten Sie?

  • Der Datenschutzbeauftragter inklusive DSGVO und BDSG-neu: Die Rolle des Datenschutzbeauftragten kann nicht unterschätzt werden. Ab einer Unternehmensgröße von mehr als 10 Personen sind Unternehmen verpflichtet, einen Datenschutzbeauftragten einzuberufen. Das ist im Zuge der DSGVO nicht nur Gesetz, sondern hat wirtschaftliche Vorteile. Schaffen Sie einen Verantwortlichen im Unternehmen, der Ansprechpartner für Datenschutzfragen ist. Wir bilden Sie in diesem Seminar DSGVO-konform zum Datenschutzbeauftragten aus.

Geförderte Weiterbildung zum Datenschutzbeauftragten

Der Datenschutzbeauftragte als Berufsfeld bietet im Zuge der DSGVO viele neue Chancen auf dem Arbeitsmarkt. Die Weiterbildung zum Datenschutzbeauftragten ist staatlich gefördert und dauert bei uns einen Monat:



×
Telefonkontakt
Berlin Prenzlauer Berg+49 (030) 84 78 84 87 - 0
Berlin Charlottenburg+49 (030) 86 00 86 06 - 0
Frankfurt am Main +49 (069) 40 15 85 - 13
Basel (Schweiz)+41 (061) 50 01 6 - 71
×