26.08.2021 / Kategorie: Cybersecurity, Security Awareness
Die Tage des Home-Office sind gezählt? Wohl kaum, aber immer mehr Unternehmen holen ihre Mitarbeitenden wieder zurück ins Büro. Es ist an der Zeit, dass sich die Mitarbeitenden live austauschen können. Direkter persönlicher Kontakt findet wieder statt. So werden vermutlich die ersten Apéros durchgeführt oder gemeinsame Teamkaffees zelebriert. Doch sind Ihre Mitarbeitenden überhaupt noch ausreichend Büro-fit. Erkennen Sie Social Engineering, Tailgaiting? Wenn nicht, hier ein kleiner Refresher zum Teilen.
Die Gefahren sind sehr vielschichtig. So können Racheakte erfolgen mit dem Ziel, dem Unternehmen möglichst viel zu schaden, bis hin zu Unternehmensspionage oder Datenklau. Grundsätzlich, je nach Erfahrung des Täters und der Absichten, kann die Vernachlässigung von physischer Sicherheit dem Unternehmen schweren Schaden zufügen. Der Zugriff zu den internen Systemen wird durch einen Einbruch viel einfacher. So können via Keylogger, präpariertem USB-Stick oder mit einem Malware-Angriff grosse Teile der IT bzw. des Unternehmens lahmgelegt werden. Aus diesem Grund ist es wichtig, Ihre IT auch physisch zu schützen und nicht nur gegen die virtuellen Gefahren.
Dies ist ein Phänomen, das vor allem mittelgrosse bis grosse Unternehmen betrifft, in denen die Mitarbeitenden sich nicht mehr persönlich kennen. Wem öffnet man die Tür, wem nicht? Grundsätzlich gilt es, immer sehr misstrauisch zu sein. Auch bei Handwerkern sollte man prinzipiell skeptisch sein und den internen Prozess beachten. Hier macht es auch keinen Sinn, sich wichtigtuerisch als Polizist aufzuspielen, sondern höflich zu fragen, ob man helfen dürfe und zu der entsprechenden Person zu begleiten. Jede Person könnte auch ein Kunde sein und so könnte man als Unternehmen unseriös wirken. Man glaubt es fast nicht, aber das Angebot wird eigentlich immer angenommen und wird als sehr nett und höflich angesehen.
Die Identifikation von Social Engineering ist grundsätzlich schwierig. Meist versucht der Angreifer mit Tricks Informationen oder Zugang zum Objekt zu erhalten. Mit den Informationen kann der Angreifer wiederum eine gezielte Phishing-Attacke starten. Zudem kann sich die Person so auch Zugang zum Unternehmen verschaffen. Dies gekoppelt mit nicht sicheren Netzwerkbuchsen oder geöffneten USB-Ports kann fatale Folgen für das Unternehmen haben.
Grundsätzlich gilt es, immer skeptisch zu sein, auch am Telefon und nur so viele Informationen wie nötig preiszugeben. Falls möglich, sollte man den Anrufer identifizieren und gegebenfalls verifizieren, ob er wirklich zum Unternehmen XYZ gehört. Das gilt vor allem am Telefon. Man sollte jederzeit freundlich und zuvorkommend sein und nicht den Polizisten spielen. Schliesslich könnten es auch Ihre Kunden sein.
Im Homeoffice gibt es das kaum, umso wichtiger ist es, den Punkt in unserem Back to the Office Blog nochmals zu refreshen. In Zusammenhang mit Tailgaiting können vertrauliche Informationen sehr heikel werden. Wichtige Informationen können aus dem Unternehmen der Öffentlichkeit zugespielt werden. Aber seien wir einmal ehrlich: Es macht sich auch nicht gut, wenn jemand aus der Personalabteilung oder aus dem Accounting die Lohnliste offen herumliegen lässt, sodass jeder Mitarbeitende sieht, was sein Kollege verdient. Ein grosses Problem ist teilweise die Situation mit dem Ausdrucken. Wie macht man das eigentlich mit vertraulichen Dokumenten? Die meisten Drucker haben eine Funktion, die sicheres Ausdrucken ermöglicht. So muss man sich mit einem Code oder der Smartcard am Drucker authentifizieren.
Es ist plausibel, dass Mitarbeitende mit dem Zug oder Auto ins Office fahren. Der Zug ist grundsätzlich eine öffentliche Zone. Wie oft hört man, dass jemand wichtige Geschäftsunterlagen im öffentlichen Verkehr vergessen hat? Wie viele Geschäftsgeheimnisse wurden so schon geleakt? Wahrscheinlich zu viele. Doch die physischen Unterlagen sind nur ein Problem. Auch der Laptop kann zum Problem werden. Kennen Sie in Ihrem Unternehmen Full Disk Decryption? Viele Mitarbeitende nehmen an, dass sie im Zug geschützt sind. Doch es ist ein leichtes, auch Daten vom Screen auszulesen, ohne entsprechenden Screen-Filter. Auch sollte man nicht Arbeit, für die viel Konzentration notwendig ist, während der Zugfahrt erledigen und zwischendurch kontrollieren, ob nicht doch jemand auf den Bildschirm schaut.
Auf jeden Fall sollten Sie Ihren Mitarbeitenden in Erinnerung rufen, dass die meisten IT-Attacken mit Phishing beginnen. Mit gefälschten E-Mails, Kurznachrichten oder Websites beschaffen sich Cyberkriminelle die persönlichen Daten von Mitarbeitenden, etwa Login-Daten, und haben damit mühelos Zugang zu den internen Systemen. Es ist notwendig, sich diese Gefahr selbst und den Kolleginnen und Kollegen immer wieder ins Gedächtnis zu rufen und einen bewussten Umgang in sämtlichen Kommunikationskanälen zu fördern.
Back to the Office tönt gut? Sind Sie als Unternehmen und sind Ihre Mitarbeitenden gerüstet? Benötigen Sie einen Awareness-Refresher in Ihrem Unternehmen? Nehmen Sie mit uns Kontakt auf.
Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.
ISPIN 7/24 Incident Hotline: 0848 800 017 | cyberdefense[at]ispin.ch
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications