|
|
Angriffe aus dem Netz
|
|
|
Schweizer KMU gehören weltweit zu den Innovations- und Technologieführern. Ihr Wissen und Know-how ist am Weltmarkt bares Geld wert. Kein Wunder, dass hiesige Unternehmen immer häufiger Ziel von Hackerangriffen werden. Und die Techniken der Kriminellen werden immer ausgefeilter. Dagegen müssen sich KMU schützen –
damit nicht andere die Früchte ihrer Arbeit ernten.
|
|
|
Viele Angriffe aus dem Netz sind nur deswegen erfolgreich, weil Unternehmen ihre IT nicht ausreichend schützen und mit vertraulichen Firmendaten oftmals zu leichtfertig umgehen. In Sachen Wirtschaftsspionage schützt ein gesundes Mass an Misstrauen in vielen Fällen vor Schaden, denn neben bekannten technischen Spionage-Möglichkeiten, setzen Kriminelle heute vermehrt auf die Vertrauensseligkeit der Mitarbeitenden.
|
|
Technische Möglichkeiten
Notebooks und oder andere Datenträger mit heiklen Firmendaten werden viel häufiger gestohlen oder gehen verloren als man glauben mag. Deswegen empfiehlt es sich, die Daten auf der Festplatte generell zu verschlüsseln, damit im Ernstfall der Schaden begrenzt wird. Der Einsatz von Verschlüsselungstechniken bietet sich auch für E-Mails mit sensiblen Inhalten oder die firmeneigenen Wireless-Netzwerke an. Darüber hinaus macht es Sinn nicht allen Mitarbeitenden die gleichen Zugriffsrechte auf sämtliche Firmendaten zu gewähren. Eine Differenzierung nach ja nach Funktion und Hierarchiestufe erweist oft gute Dienste.
|
|
Tückische Freeware
Es lohnt sich in jedem Fall, die eigenen Mitarbeiter konsequent dazu anzuhalten, keine kostenlose Freeware auf den Rechner am Arbeitsplatz zu laden. Diese Programme haben in vielen Fällen Virenangriffe, Programmabstürze oder sogar einen Totalausfall der IT zur Folge. Je genauer die IT-Verantwortlichen wissen, was auf den Firmencomputern läuft, desto besser können sie die Daten schützen und Angriffe aus dem Netz abwehren.
|
|
Gefahr durch Social Engineering
Internetkriminalität ist ein lukratives Feld und ist heutzutage professionell organisiert. Längst versuchen Hacker nicht mehr nur die Firewall des Unternehmens zu durchbrechen um so an vertrauliche Daten zu gelangen. Bei Social Engineering oder Social Hacking bedienen sich die Spione meist der eigenen Mitarbeiter oder Partnerunternehmen und versuchen durch eine gezielte zwischenmenschliche Beeinflussung an Passwörter oder andere Zugangsinformationen zu gelangen. Social Engineering funktioniert zum Beispiel über einen fingierten Telefonanruf, bei dem sich der Eindringling als Techniker ausgibt, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Aus öffentlich zugänglichen Quellen oder vorangegangenen gescheiterten Telefonaten hat er sich zu diesem Zeitpunkt bereits kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen. Der Angreifer verwirrt sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, den Vorgesetzten stören zu müssen. So gelangt er schliesslich an die gewünschte Information.
|
|
Phishing als Spionagetrend
Bei dieser unpersönlichen Form des Social Engineering wird der Empfänger eines E-Mails dazu aufgefordert, seine Zugangsdaten zu offenbaren. Begründet wird diese Notwendigkeit meist durch angebliche technische Schwierigkeiten auf Seiten des Providers oder fingierte Tests. Dabei werden Layout und Aufmachung der E-Mails oder gefälschten Webseiten an das Original angepasst, um das Opfer der Phishing-Attacke in Sicherheit zu wiegen.
|
|
Schutz vor Spionage-Aktivitäten
Die Abwehr von Social Engineering ist keine einfache Angelegenheit. Der Angreifer nutzt eine im Grunde positive menschliche Eigenschaften aus: Den Wunsch, in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren. Wichtigster Schutzmechanismus ist deshalb ein gesundes Misstrauen gegenüber Unbekannten. Mitarbeitende sollten die Identität und Berechtigung eines Ansprechenden zweifellos sicherstellen bevor irgendwelche Aktionen eingeleitet werden. Höflich um Geduld zu bitten, wenn eine heikle Anfrage auch noch so dringend vorgetragen wird, sollte deshalb gezielt trainiert werden. Bestätigt sich ein Verdacht, ist es überaus wichtig andere potenzielle Opfer so schnell wie möglich zu warnen. Empfehlenswert ist ausserdem:
|
|
- Grundmass an Misstrauen gegenüber unbekannten Absendern oder unklaren Identitäten
- Auch scheinbar unwichtige Daten dürfen nicht sorglos am Telefon an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können.
- Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder finanzielle Daten preisgegeben werden, egal von wem das E-Mail kommt.
- Keine Links aus E-Mails verwenden, welche die Eingabe persönlicher Daten verlangen. Stattdessen die URL selbst im Browser eingeben.
- Bei Unklarheit über die Echtheit des Absenders diesen nochmals telefonisch kontaktieren, um die Authentizität der E-Mail zu überprüfen.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
