Arctic Wolf gibt anlässlich des Safer-Internet-Day Tipps, wie man sich in wenigen Schritten vor passivem Social-Engineering schützen kann – denn Cyberkriminelle schlagen nicht nur online zu. Sie sammeln auch „im echten Leben“ Daten und Informationen, um sie dann für Online-Betrügereien, Erpressung oder Identitätsdiebstahl im Netz zu nutzen.
Was ist passives Social-Engineering?
Unter Social-Engineering versteht man die zwischen-menschlichen Beeinflussungen von Personen mit dem Ziel, Vertrauen zu einer Person aufzubauen und so an sensible Informationen zu gelangen. Für passives Social-Engineering braucht es noch nicht einmal die zwischen-menschliche Komponente in Form von Gesprächen, Anrufen und Direktnachrichten. Täterinnen und Täter operieren noch subtiler: ein unauffälliger Blick über die Schulter, eine Inspektion der Dokumente im Abfalleimer oder das Zurücklassen eines präparierten USB-Sticks.
„Die besten technischen Lösungen kommen an ihre Grenzen, wenn Angreifer die Unsicherheit und Unwissenheit von Teams und Mitarbeitenden ausnutzen können. Kein Sicherheitskonzept ist komplett, wenn nicht auch die „Schwachstelle Mensch“ mitbedacht wird. Security-Awareness-Trainings unterstützen Unternehmen dabei, diese Schwachstelle zu schließen und die Belegschaft für potenzielle Bedrohungen zu sensibilisieren. Mitarbeitende sollen dabei nicht nur lernen, verdächtige E-Mail-Anhänge und manipulierte Websites zu erkennen und entsprechend zu handeln, sondern auch, wie sie sich vor passivem Social Engineering in ihrem Arbeitsalltag schützen“, erklärt Dr. Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf.
Acht Tipps gegen passives Social-Engineering
Auf die Umgebung achten: Viele Unternehmen geben ihren Mitarbeitenden die Freiheit, von überall aus zu Arbeiten – das kann im Homeoffice sein, aber auch im Café, Zug oder Flugzeug. Insbesondere an öffentlichen Orten ist Aufmerksamkeit gefragt: Ist jemand in der Nähe? Können unbefugte Personen den eigenen Bildschirm oder Arbeitsunterlagen einsehen? Zudem sollten Dokumente und Geräte zu keinem Zeitpunkt unbeaufsichtigt bleiben – auch nicht für wenige Sekunden, um sich beispielsweise im Café ein neues Getränk zu holen. Kriminellen reichen wenige Augenblicke, um Informationen abzufotografieren oder sich mit einigen Klicks Zugang zu Daten zu verschaffen.
Blickschutzfilter verwenden: Blickschutzfilter sind flache Kunststoffscheiben, die den Blickwinkel einschränken. Sie werden vor den Bildschirm gelegt und können Daten so vor neugierigen, unbefugten Einblicken schützen.
Speichermedien und Dokumente korrekt entsorgen:Speichermedien, von Festplatten bis hin zu USB-Sticks, müssen fachgerecht gelöscht werden, um sicherzustellen, dass Daten nicht in falsche Hände geraten. Die NIST Special Publication 800-88 Revision 1 klärt in ihren Richtlinien zur Medienbereinigung auf, wie Speichermedien effektiv gelöscht und entsorgt werden. Doch auch bei papiergebundenen Dokumenten ist die fachgerechte Vernichtung unumgänglich – auch im Homeoffice! – damit Kriminelle beim Durchwühlen der Papiertonnen nicht auf wahre Datenschätze stoßen, die ihnen Tür und Tor zu Systemen, Datenbanken und mehr öffnen.
Geräte sicher verwahren: Sämtliche Geräte – von Laptop, über Tablet bis hin zum Smartphone – sollten ausreichend geschützt und physisch sicher verwahrt sein, wenn sie nicht in Benutzung sind. Und nein: Das Auto oder ein eingecheckter Koffer sind nicht solche sicheren Orte.
Gerätezugang schützen: Alle Geräte sollten mit einem Passwort oder biometrischen Faktoren gesichert sein. Sensible Systeme müssen zudem mittels Multi-Faktor-Authentifizierung zusätzlich geschützt werden.
„Fernortung und Löschung“ aktivieren: Um im Falle eines Diebstahls zu verhindern, dass Daten in falsche Hände gelangen, sollte auf den Geräten die Funktion „Fernortung und Löschen“ aktiviert werden.
Finger weg von fremden Speichermedien oder Kabeln! Ein USB-Stick, der im öffentlichen Raum herumliegt und niemandem gehört? Verdächtig! Er könnte bewusst von Cyberkriminellen mit Schadsoftware präpariert und zurückgelassen worden sein, damit ein Argloser es findet und damit eigene Geräte und Systeme schädigt. Daher gilt: Niemals fremde Geräte, Speichermedien oder Kabel an den Laptop anschließen!
Alle Arten von Daten schützen! Cyberkriminelle verschaffen sich Informationen auf unterschiedlichsten Wegen, um sich Zugang zu Geräten, Systemen, Anwendungen oder Nutzer-Accounts zu verschaffen. Daher gilt es, ALLE Arten von Daten zu schützen – papiergebundene Dokumente, Computer, mobile Geräte und sonstige Datenträger.
Arctic Wolf bietet Unternehmen im Rahmen seines Security-Operations-Portfolios Security-Awareness-Trainings, um Mitarbeitende für Bedrohungen und Sicherheitsvorfälle zu sensibilisieren, damit sie solche erkennen und richtig handeln können. Die Managed-Security-Awareness-Schulungen von Arctic Wolf setzen auf informative, interaktive Formate, die unterhaltsam aufbereitet sind. Statt jährlicher Blockschulungen, erhalten Mitarbeitende wöchentlich kompakte, neue Inhalte wie Videos, um neues Wissen zu erlernen und bekannte Informationen aufzufrischen.
#ArticWolf
