Social Engineering – Datenschutz am Telefon
Es gibt gewisse Arten der Manipulation beim Social Engineering, um bei einer Person eine bestimmte Verhaltensweise hervorzurufen. Beispielsweise ist es damit das Ziel, vertrauliche Informationen heraus zu locken. Die Rede ist von sensiblen Daten, wie zum Beispiel Passwörtern. Genau hierum geht es auch beim Datenschutz am Telefon und dem Social Engineering. Ein typisches Beispiel ist, sich als Systemadministrator auszugeben und um ein neues Passwort bei einer Telefongesellschaft zu bitten. Diese Masche funktionierte in den achtziger Jahren für zahlreiche Betrugsfälle.
So gehen Angreifer beim Social Engineering vor
Fingierte Telefonanrufe bieten quasi das Grundmuster und die Basis beim Social Engineering. Oft geben sich die Kriminellen als Techniker aus, die bei einem Unternehmen anrufen. Es werden vertrauliche Zugangsdaten gefordert, damit wichtige Arbeiten damit abgeschlossen werden können. Über die typischen Verfahrensweisen des Unternehmens gibt es zu diesem Zeitpunkt bereits schon Informationen aus öffentlich zugänglichen Quellen. Dazu gehören unter anderem auch die Hierarchie im Unternehmen oder das tägliche Gerede im Büro. Diese zusammengetragenen Informationen bilden die Basis beim Social Engineering. Genau diese Daten helfen nämlich beim zwischenmenschlichen Manipulieren. Jemand gibt sich als Insider des Unternehmens aus, obwohl das gar nicht ist. Technisch ungebildete Opfer werden zunehmend absichtlich verwirrt. Über scheinbar gemeinsame Kollegen wird regelrecht Sympathie mit gefinkeltem Smalltalk aufgebaut. Der Respekt vor den Autoritäten wird ausgenutzt - oft wird auch gedroht, sich an den Vorgesetzten zuwenden. Spektakuläre Datendiebstähle gelingen genau mit dieser Methode beim Social Engineering.
Erfolgreiche Massnahmen gegen Social Engineering
Es ist nicht einfach, sich gegen das Social Engineering zu wehren. Im Grunde nützen die Angreifer nämlich immer die menschlichen positiven Eigenschaften aus. Oft wird darauf abgezielt, in einer Notsituation unbürokratische Hilfe zu erhalten, manchmal wird auch mit Gegenhilfe gerechnet. Social Engineering kann nur dann bekämpft werden, wenn die Berechtigung, sowie die Identität des telefonischen Anrufers ohne Zweifel sichergestellt werden, bevor eine Handlung vorgenommen wird.
Wenn der Angreifer schlecht informiert ist, kann es bereits reichen, nach der Telefonnummer oder nach dem Namen zu fragen. Auch wenn die Anfrage sehr dringend vorgetragen wird, sollte der Anrufer immer etwas Geduld aufbringen. Einem Unbekannten sollten auch keinerlei nutzlose oder geringfügige Infos offengelegt werden. Ansonsten werden diese Daten bei der weiteren Kontaktaufnahme missbraucht. Gemeinsam mit vielen anderen scheinbar nutzlosen Informationen ergeben sie dann ein Gesamtbild und bilden die Basis für einem Angriff beim Social Engineering.
Daher sollten vertrauliche Informationen niemals am Telefon weitergegeben werden. Niemand sollte sich jemals am Telefon verunsichern lassen, auch Drohungen oder Bedrängnis sind hier fehl am Platz. Etwas Zeit sollte dafür erbeten werden, um den jeweiligen Sachverhalt klären zu können. Viele Anrufer können diese Geduld dann nicht aufbringen und geben auf. Wenn der Verdacht auf einen Social Engineering Angriff besteht, sollte sofort der Datenschutzbeauftragte benachrichtigt werden.