Informationssicherheit

Informationssicherheit ist wie der Name schon sagt, die Sicherheit bzw. der Schutz vertraulicher Informationen und Daten vor fremden Blicken. Wie sicher etwas wirklich ist, darüber gibt es die unterschiedlichsten Ansichten. Hier gilt wie in anderen Prozessen auch: Die Kette des Sicherheitskonzeptes ist immer nur so stark, wie das schwächste Glied.

Glieder dieser Kette sind unter anderem der Mensch und die Technik, welche in Unternehmen wirken. Die Technik wurde im Laufe der Zeit immer weiter verbessert, sodass es für Angreifer schwerer wird, diese zu überwinden. Hier kommt dann der Angriff auf Mitarbeiter im Unternehmen,  das sogenannte Social Engineering zum Einsatz.

Social Engineering sind Strategien, mit denen ein Angreifer menschliche Eigenschaften ausnutzt um an vertrauliche Informationen zu gelangen. Oft ist es die Vorbereitung für einen Einbruch oder Sabotage einer Organisation oder Firma. Kurz gesagt, wenn man die Technik nicht knacken kann ist es doch einfacher einen Mitarbeiter nach dem Passwort oder den gewünschten Informationen zu fragen.

Zum eigentlichen Schaden kommt oft noch ein Reputationsverlust, bzw. ein Angriff auf Persönlichkeiten im Unternehmen hinzu. Ein hoher Imageschaden, gepaart mit Informationsverlust kann durchaus zum finanziellen Ruin führen.

Abschließend noch ein Zitat aus der deutschsprachigen Wikipedia beim Artikel Social Engineering, besser könnten wir es auch nicht ausdrücken:

Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen gescheiterten Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen, sich als Insider des Unternehmens auszugeben. Zusätzlich verwirrt er sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, bei vom Opfer unterlassener Kooperation dessen Vorgesetzten stören zu müssen. Unter Umständen hat der Social Engineer bereits im Vorfeld Informationen gesammelt, dass ein bestimmter Mitarbeiter sogar wirklich technische Hilfe angefordert hat und bereits tatsächlich einen derartigen Anruf erwartet.